Libretro/RetroArch-Hacker恶意破坏Buildbot和GitHub组织

2020-08-17 00:07:22

大约5小时前,我们的关键基础设施遭到有预谋的网络犯罪攻击。

他访问了我们的buildbot服务器,使夜间/稳定的buildbot服务和网络大堂服务瘫痪。现在,核心更新器和Netplay游说团体不会工作。这些网站目前也无法访问。

他在Github上冒充团队中一名非常值得信任的成员访问了我们的Libretro组织,并强行将空白的初始承诺强制提交给我们相当比例的存储库,有效地清除了它们。他设法破坏了9页资料库中的3页。RetroArch和它在第3页之前的所有东西在他的访问被限制之前都是完好无损的。

我们仍在等待Github的任何回应或支持。我们希望他们能够帮助我们将一些被破坏的Github Repos恢复到正确的状态,并帮助我们缩小攻击者的身份范围。

我们想澄清一下这个消息传出后可能出现的一些困惑:

任何核心或回拱安装都不应被视为受损。攻击者只是简单地清除了我们的buildbot服务器,没有分发任何可以被认为对您的系统恶意的东西。这里什么都没有发生,没有必要担心。

目前,核心安装程序在另行通知之前不起作用。对于RetroArch用户通常具有访问权限的所有其他联机服务(如Netplay大厅服务),也可以使用相同的方法更新资源、更新覆盖、更新着色器。

他在执行此操作时使用的IP是‘54.167.104.253’,这似乎指向了AWS。

我们仍在评估情况,但展望未来,我们认为最好不要继续使用今天早些时候被攻破的buildbot服务器。我们有一些迁移到新服务器的长期迁移计划,但这总是被推迟,因为我们觉得我们还没有做好迁移方面的准备。事实可能的确如此,这是一种催化剂,使您可以使用新服务器从头开始,而不是尝试迁移旧服务器。这意味着更常见的Linux/Windows/Android版本将立即可用,但所有专门的系统,如控制台、旧的MSVC版本等等,都必须等待稍后,直到我们将其适当地适应新系统。

这把我们带到了另一个关键问题上-缺乏备份。我们上一次备份buildbot服务器大约是在几个月前。事实是,虽然我们已经按月支付了一大笔服务器费用,但也没有足够的钱来堆积自动备份。我们真的需要您对Patreon的支持来帮助我们减轻这里的财务负担,特别是考虑到这种现在几乎是强制性的服务器更换可能会让我们前期花费不多的钱,同时我们还会让当前的服务器多运行一个月。

那么,我们要如何修复这些东西呢?我们希望Github能够恢复受影响的存储库。如果他们无法做到这一点,我们可以依靠用户的善意,向我们提供完整历史的git存储库。

至于建筑机器人呢?我不知道怎么坦率地说。如果我们切换到新服务器,您将再次提早启动并运行Android/Windows/Linux,但在此过程中必须添加所有其他平台。

令人遗憾的是,仿真和自制软件社区正在发生的事情。当不是开发商决定不再值得这样做时,像byuu这样有声望的开发商正被迫提前退休,因为令人讨厌的在线帮派跟踪者。在我们的情况下,我们不能排除其中一些攻击来自相同的惯常嫌疑人的可能性(这不是我们第一次看到他们滥用AWS进行一些此类攻击,我们一年前就遇到过针对我们的大堂服务的攻击)。不管他们的目的是什么,虽然他们不会阻止我们继续这项工程的意愿,但他们肯定会暂时增加我们的维护和成本负担。为此,在我们试图提出解决这些问题的计划时,我们需要你们的理解和支持。通过Patreon支持我们是一个很好的帮助我们的方式,特别是如果我们能达到1300美元的目标,这意味着我们每个月可以多花一点钱来确保我们的东西得到适当的备份。

Android的新商店政策要求我们与新的贡献者协调,拿出一个可行的解决方案,这一点似乎还不够令人头疼。在你们的帮助和支持下,我们将克服这一困难,走出困境,变得比以前更强大。

虽然我们简短地谈到了这个主题,但当它离题时,我们觉得有必要非常迅速地解决这个问题。我们可能会制作一个版本的RetroArch Android,它只适用于Google Play。这将意味着核心安装程序将不可用,核心将打包在可以安装的附加APK中。显然,在它开始需要8.0以上的Android版本之前,它有一个50核的额外APK限制。因此,在努力不人为地提高Android OS系统要求的同时,我们目前决定将核心APK限制为50。希望我们能在如此狭窄的限制范围内容纳几乎大多数的核心。

在我们的下载网站(和F-Droid)上,我们将有一个RetroArch Android版本,它将像以前一样工作-核心安装程序功能完全保持不变。我们觉得这是一个比Play Store上的版本好得多的版本,但不幸的是谷歌将迫使我们在这里出手。