Sono stati giorni di paura per il prezioso “scrigno” di codice custodito sui server di SourceForge.net : il repository dell’open source, casa di oltre 260mila progetti noti e meno noti presso il grande pubblico, ha subito un attacco da parte di ignoti che ha costretto gli amministratori a prendere decisioni drastiche nel tentativo di minimizzare i danni e far sì che episodi del genere non si verifichino più in futuro.
Stando all’analisi condotta dai tecnici di SourceForge – controllata da Geeknet – tra le “spiacevolezze” individuate sui server di SourceForge.net dopo l’attacco c’è un demone SSH modificato con il compito di catturare le password. SourceForge.net “non ha motivo di credere” che tale tentativo di furto delle credenziali di accesso al sito sia andato a buon fine, nondimeno è stata presa la decisione di invalidare tutte le passoword dei due milioni e passa di account utente registrati sul sito.
Qualcuno ha suggerito che uno degli obiettivi dell’attacco fosse quello di “corrompere” il codice dei progetti ospitati sui server di SourceForge, e per questo gli amministratori hanno deciso di prendersi tutto il tempo necessario per verificare questa possibilità nonostante il periodo di downtime “causi gravi problemi” ai progetti più attivi.
SourceForge dice che l’attacco da parte di ignoti sarà l’occasione giusta per il restyling di alcuni dei componenti chiave della piattaforma nella prospettiva di fornirle una maggiore sicurezza: i tecnici accelereranno il miglioramento del servizio di hosting web Project Web , e cambieranno il sistema di “versioning” del software passando da CVS a Subversion.
Alfonso Maruccia