MavenGate, il Central Repo e una vicenda che (spero di no) potrebbe essere kafkiana

[Fabrizio Giudici]

Ciao lista.

Innanzitutto, siccome è da tempo immemore che non scrivo qui (ma leggo sempre), un saluto a tutti i vecchi amici che non sento (e purtroppo non vedo) da tempo.

Vi racconto un inconveniente che mi è capitato, da cui spero di uscire facilmente (perché il problema letteralmente non esiste), ma che ha l'aria di una vicenda un po' kafkiana; motivo per cui vorrei confrontarmi con voi prima di procedere. Inoltre è una tematica di sicurezza legata agli artifact repo che può essere di interesse generale.

Contesto: Maven Central, come penso tutti sappiate, all'inizio dell'anno ha cambiato drasticamente l'infrastruttura e di conseguenza chi aveva un profilo su OSS Sonatype ha dovuto ricrearlo. Io negli ultimi mesi non ho pubblicato nuovi artefatti e dunque sto provvedendo all'aggiornamento solo ora.

Effettuata la registrazione sul nuovo sistema, ho provato a riassociare il mio profilo con il namespace (aka groupId) 'it.tidalwave', ma il sistema non mi permette di inserire la richiesta (dunque ben prima di andare a validarla via DNS). Chiesto supporto all'assistenza tecnica, mi dicono che it.tidalwave è in una lista di namespace “compromessi" secondo una società di consulenza, che ha individuato delle vulnerabilità in come sono stati gestiti sinora i repo. L'attacco è descritto qui:

https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/

Ora qui io stavo già con la mente a pensare che qualcuno si fosse introdotto nei miei sistemi, rubato la chiave privata, pubblicato chissà che con il mio namespace, eccetera, ma il concetto è molto più semplice (almeno così pare). A scanso di mie incomprensioni, copio il testo originale della procedura con cui è stata compilata la lista:

But mavenCentral, the largest and default repository for Android and many Java projects, discloses all the statistics, so we did the following research:

1. Took all the groupId values from mavenCentral and converted them to domains.
2. Checked these domains to see if they could be immediately purchased or auctioned using the GoDaddy Bulk Domain Search tool. GoDaddy does not register some national domains, so we had to check them through their national registrars.

Il concetto chiave, per come lo capisco, è che Tizio può aver fatto le cose il regola in passato, associando alla propria identità un namespace provando di essere il possessore del dominio associato, ma successivamente il dominio potrebbe essere stato abbandonato, comprato da un Cattivo che potrebbe aver pubblicato aggiornamenti di artefatti ritenuti affidabili con del malware dentro. Detto così fila... Il nocciolo del controllo pare essere l'aver cercato con il tool di GoDaddy, che evidentemente deve essere fallato, visto che tidalwave.it è stato registrato quasi venticinque anni fa e sempre rinnovato automaticamente, senza interruzioni. Daltronde whois così riporta:

Domain:             tidalwave.it
Status:             ok
Signed:             no
Created:            2000-07-13 00:00:00
Last Update:        2024-08-25 00:45:37
Expire Date:        2025-08-09

Registrant
  Organization:     Fabrizio Giudici
  Address:          ...
  Created:          2007-03-01 10:29:57
  Last Update:      2011-07-19 13:24:46

eccetera, e non compaiono mai altri nomi di registrant, admin e technical contact. A me sembra che sia una prova sufficiente del fatto che non ci sono stati cambi di proprietà e che a OverSecured non hanno fatto bene il proprio lavoro (onestamente sono molto perplesso da tutta la faccenda: la procedura per come è descritta va bene per provare il concetto e provare a fornire qualche statistica, ma è assurdo che sia automaticamente usata per segnalare un namespace). Ma, prima di inoltrare un reclamo, vi chiedo un parere e eventualmente una conferma.

A dopo.

-- 
Fabrizio Giudici - Java Architect @ Tidalwave s.a.s. 
"We make Java work. Everywhere."
http://tidalwave.it/fabrizio/blog - fabrizio...@tidalwave.it

[Matteo Mortari]

Ciao Fabrizio,

innanzi tutto mi spiace degli impatti sulle tue pubblicazioni su Maven.

Non ho capito però se per questi il bulk search di GoDaddy è stato usato anche per domini .it, dove dicono:

GoDaddy does not register some national domains, so we had to check them through their national registrars.

Ad ogni modo qui non mi è chiaro se c'è qualche "non hanno fatto del tutto bene il proprio lavoro" anche qualcun altro, nel senso che per come descritto questo mi puzza un po' di "è stato riportato un ~CVE, manco lo contestiamo, prendiamolo per buono" che in questo caso vorrebbe dire prendere per buona la lista compilata da OverSecured? E' solo una ipotesi, non lo so di per certo.

MM

--
jugmilano.it - youtube.com/c/JUGMilano - twitter.com/JUGMilano - gitter.im/jugmilano/jugmilano
---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "JUGMilano - JVM User Group Milano" di Google Gruppi.
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a jugmilano+...@googlegroups.com.
Per visualizzare questa discussione, visita https://groups.google.com/d/msgid/jugmilano/e25976e3-1976-4f9a-8f9b-9eb3d80af7c3%40tidalwave.it.

--

Matteo Mortari

youtube.com/@MatteoMortari

linkedin.com/in/matteomortari