GitHub уТСсточаСт ΠΏΡ€Π°Π²ΠΈΠ»Π°, связанныС с Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ΠΌ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² исслСдований бСзопасности

GitHub ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π» измСнСния ΠΏΡ€Π°Π²ΠΈΠ», ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΡΡŽΡ‰ΠΈΡ… ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΡƒ Π² ΠΎΡ‚Π½ΠΎΡˆΠ΅Π½ΠΈΠΈ размСщСния эксплоитов ΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² исслСдования врСдоносного ПО, Π° Ρ‚Π°ΠΊΠΆΠ΅ соблюдСния Π΄Π΅ΠΉΡΡ‚Π²ΡƒΡŽΡ‰Π΅Π³ΠΎ Π² БША Π—Π°ΠΊΠΎΠ½Π° ΠΎΠ± авторском ΠΏΡ€Π°Π²Π΅ Π² Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΡƒΡŽ эпоху (DMCA). ИзмСнСния ΠΏΠΎΠΊΠ° находятся Π² состоянии Ρ‡Π΅Ρ€Π½ΠΎΠ²ΠΈΠΊΠ°, доступного для обсуТдСния Π² Ρ‚Π΅Ρ‡Π΅Π½ΠΈΠ΅ 30 Π΄Π½Π΅ΠΉ.

Π’ ΠΏΡ€Π°Π²ΠΈΠ»Π° соблюдСния DMCA, ΠΏΠΎΠΌΠΈΠΌΠΎ Ρ€Π°Π½Π΅Π΅ ΠΏΡ€ΠΈΡΡƒΡ‚ΡΡ‚Π²ΠΎΠ²Π°Π²ΡˆΠ΅Π³ΠΎ Π·Π°ΠΏΡ€Π΅Ρ‚Π° распространСния ΠΈ обСспСчСния установки ΠΈΠ»ΠΈ доставки Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ врСдоносного ПО ΠΈ эксплоитов, Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ условия:

  • Π―Π²Π½Ρ‹ΠΉ Π·Π°ΠΏΡ€Π΅Ρ‚ помСщСния Π² Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΉ для ΠΎΠ±Ρ…ΠΎΠ΄Π° тСхничСских срСдств Π·Π°Ρ‰ΠΈΡ‚Ρ‹ авторских ΠΏΡ€Π°Π², Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΎΠ½Π½Ρ‹Π΅ ΠΊΠ»ΡŽΡ‡ΠΈ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ для Π³Π΅Π½Π΅Ρ€Π°Ρ†ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, ΠΎΠ±Ρ…ΠΎΠ΄Π° ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΈ продлСния бСсплатного ΠΏΠ΅Ρ€ΠΈΠΎΠ΄Π° Ρ€Π°Π±ΠΎΡ‚Ρ‹.
  • Вводится порядок ΠΏΠΎΠ΄Π°Ρ‡ΠΈ заявки Π½Π° ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ Ρ‚Π°ΠΊΠΎΠ³ΠΎ ΠΊΠΎΠ΄Π°. ΠžΡ‚ ΠΏΠΎΠ΄Π°ΡŽΡ‰Π΅Π³ΠΎ заявку Π½Π° ΡƒΠ΄Π°Π»Π΅Π½ΠΈΠ΅ трСбуСтся прСдоставлСниС тСхничСских Π΄Π΅Ρ‚Π°Π»Π΅ΠΉ, с Π·Π°Π΄Π΅ΠΊΠ»Π°Ρ€ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹ΠΌ Π½Π°ΠΌΠ΅Ρ€Π΅Π½ΠΈΠ΅ΠΌ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‚ΡŒ эту заявку Π½Π° экспСртизу Π΄ΠΎ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΈ.
  • ΠŸΡ€ΠΈ Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ΅ рСпозитория ΠΎΠ±Π΅Ρ‰Π°ΡŽΡ‚ ΠΎΠ±Π΅ΡΠΏΠ΅Ρ‡ΠΈΡ‚ΡŒ Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΡΠΊΡΠΏΠΎΡ€Ρ‚ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ issuΠ΅ ΠΈ PR-Ρ‹, ΠΈ ΠΏΡ€Π΅Π΄Π»ΠΎΠΆΠΈΡ‚ΡŒ ΡŽΡ€ΠΈΠ΄ΠΈΡ‡Π΅ΡΠΊΠΈΠ΅ услуги.

ИзмСнСния, внСсённыС Π² ΠΏΡ€Π°Π²ΠΈΠ»Π°, ΠΊΠ°ΡΠ°ΡŽΡ‰ΠΈΠ΅ΡΡ эксплоитов ΠΈ врСдоносного ПО, ΡƒΡ‡ΠΈΡ‚Ρ‹Π²Π°ΡŽΡ‚ ΠΊΡ€ΠΈΡ‚ΠΈΠΊΡƒ, ΠΏΡ€ΠΎΠ·Π²ΡƒΡ‡Π°Π²ΡˆΡƒΡŽ послС удалСния ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠ΅ΠΉ Microsoft ΠΏΡ€ΠΎΡ‚ΠΎΡ‚ΠΈΠΏΠ° эксплоита для Microsoft Exchange, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ для ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π°Ρ‚Π°ΠΊ. Π’ Π½ΠΎΠ²Ρ‹Ρ… ΠΏΡ€Π°Π²ΠΈΠ»Π°Ρ… прСдпринята ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠ° явного отдСлСния содСрТимого, ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰Π΅Π³ΠΎ ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠ³ΠΎ для ΡΠΎΠ²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡ Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ, ΠΈ ΠΊΠΎΠ΄Π°, ΡΠΎΠΏΡ€ΠΎΠ²ΠΎΠΆΠ΄Π°ΡŽΡ‰Π΅Π³ΠΎ исслСдования Π² области бСзопасности. ВнСсённыС измСнСния:

  • Π—Π°ΠΏΡ€Π΅Ρ‰Π΅Π½ΠΎ Π½Π΅ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π°Ρ‚Π°ΠΊΠΎΠ²Π°Ρ‚ΡŒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ GitHub ΠΏΡƒΡ‚Ρ‘ΠΌ размСщСния Π½Π° Π½Ρ‘ΠΌ ΠΊΠΎΠ½Ρ‚Π΅Π½Ρ‚Π° с эксплоитами ΠΈΠ»ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ GitHub ΠΊΠ°ΠΊ срСдство доставки эксплоитов, ΠΊΠ°ΠΊ Π±Ρ‹Π»ΠΎ Ρ€Π°Π½ΡŒΡˆΠ΅, Π½ΠΎ ΠΈ Ρ€Π°Π·ΠΌΠ΅Ρ‰Π°Ρ‚ΡŒ врСдоносный ΠΊΠΎΠ΄ ΠΈ эксплоиты, ΡΠΎΠΏΡƒΡ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΡ€ΠΎΠ²Π΅Π΄Π΅Π½ΠΈΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ. Π’ ΠΎΠ±Ρ‰Π΅ΠΌ Π²ΠΈΠ΄Π΅ Π½Π΅ Π·Π°ΠΏΡ€Π΅Ρ‰Π΅Π½ΠΎ Ρ€Π°Π·ΠΌΠ΅Ρ‰Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΈΠΌΠ΅Ρ€ΠΎΠ² эксплоитов, ΠΏΠΎΠ΄Π³ΠΎΡ‚ΠΎΠ²Π»Π΅Π½Π½Ρ‹Ρ… Π² Ρ…ΠΎΠ΄Π΅ исслСдований бСзопасности ΠΈ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‰ΠΈΡ… ΡƒΠΆΠ΅ исправлСнныС уязвимости, Π½ΠΎ всё Π±ΡƒΠ΄Π΅Ρ‚ Π·Π°Π²ΠΈΡΠ΅Ρ‚ΡŒ ΠΎΡ‚ Ρ‚ΠΎΠ³ΠΎ, ΠΊΠ°ΠΊ Ρ‚Ρ€Π°ΠΊΡ‚ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Π΅Ρ€ΠΌΠΈΠ½ «Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹Π΅ Π°Ρ‚Π°ΠΊΠΈ».

    НапримСр, публикация Π² любом Π²ΠΈΠ΄Π΅ исходных тСкстов JavaScript-ΠΊΠΎΠ΄Π°, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ Π±Ρ€Π°ΡƒΠ·Π΅Ρ€, ΠΏΠΎΠ΄ΠΏΠ°Π΄Π°Π΅Ρ‚ ΠΏΠΎΠ΄ Π΄Π°Π½Π½Ρ‹ΠΉ ΠΊΡ€ΠΈΡ‚Π΅Ρ€ΠΈΠΉ — Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΡƒ Π½ΠΈΡ‡Π΅Π³ΠΎ Π½Π΅ ΠΌΠ΅ΡˆΠ°Π΅Ρ‚ Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ исходный ΠΊΠΎΠ΄ Π² Π±Ρ€Π°ΡƒΠ·Π΅Ρ€ ΠΆΠ΅Ρ€Ρ‚Π²Ρ‹ fetch-Π΅ΠΌ, автоматичСски ΠΏΡ€ΠΎΠΏΠ°Ρ‚Ρ‡ΠΈΡ‚ΡŒ, Ссли ΠΏΡ€ΠΎΡ‚ΠΎΡ‚ΠΈΠΏ эксплоита ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½ Π² нСработоспособном Π²ΠΈΠ΄Π΅, ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ. Аналогично с Π»ΡŽΠ±Ρ‹ΠΌ Π΄Ρ€ΡƒΠ³ΠΈΠΌ ΠΊΠΎΠ΄ΠΎΠΌ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€ Π½Π° C++, — Π½ΠΈΡ‡Ρ‚ΠΎ Π½Π΅ ΠΌΠ΅ΡˆΠ°Π΅Ρ‚ ΡΠΊΠΎΠΌΠΏΠΈΠ»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Π΅Π³ΠΎ Π½Π° Π°Ρ‚Π°ΠΊΡƒΠ΅ΠΌΠΎΠΉ машинС, ΠΈ Π²Ρ‹ΠΏΠΎΠ»Π½ΠΈΡ‚ΡŒ. ΠŸΡ€ΠΈ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠΈ рСпозитория с ΠΏΠΎΠ΄ΠΎΠ±Π½Ρ‹ΠΌ ΠΊΠΎΠ΄ΠΎΠΌ Π΅Π³ΠΎ планируСтся Π½Π΅ ΡƒΠ΄Π°Π»ΡΡ‚ΡŒ, Π° Π·Π°ΠΊΡ€Ρ‹Π²Π°Ρ‚ΡŒ ΠΊ Π½Π΅ΠΌΡƒ доступ.

  • ΠŸΠ΅Ρ€Π΅Π½Π΅ΡΡ‘Π½ Π²Ρ‹ΡˆΠ΅ ΠΏΠΎ тСксту Ρ€Π°Π·Π΄Π΅Π», Π·Π°ΠΏΡ€Π΅Ρ‰Π°ΡŽΡ‰ΠΈΠΉ «ΡΠΏΠ°ΠΌ», Π½Π°ΠΊΡ€ΡƒΡ‚ΠΊΠΈ, участиС Π² Ρ€Ρ‹Π½ΠΊΠ΅ Π½Π°ΠΊΡ€ΡƒΡ‚ΠΎΠΊ, ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ для Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ ΠΏΡ€Π°Π²ΠΈΠ» ΠΊΠ°ΠΊΠΈΡ…-Π»ΠΈΠ±ΠΎ сайтов, Ρ„ΠΈΡˆΠΈΠ½Π³ ΠΈ Π΅Π³ΠΎ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½ ΠΏΡƒΠ½ΠΊΡ‚ с пояснСниСм возмоТности ΠΏΠΎΠ΄Π°Ρ‡ΠΈ апСлляции Π² случаС нСсогласия с Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠΎΠΉ.
  • Π”ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ Ρ‚Ρ€Π΅Π±ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΊ Π²Π»Π°Π΄Π΅Π»ΡŒΡ†Π°ΠΌ Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π², Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π² Ρ€Π°ΠΌΠΊΠ°Ρ… исслСдований бСзопасности размСщаСтся ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ опасноС содСрТимоС. НаличиС ΠΏΠΎΠ΄ΠΎΠ±Π½ΠΎΠ³ΠΎ содСрТимого Π΄ΠΎΠ»ΠΆΠ½ΠΎ Π±Ρ‹Ρ‚ΡŒ явно упомянуто Π²Π½Π°Ρ‡Π°Π»Π΅ Ρ„Π°ΠΉΠ»Π° README.md, Π° Π² Ρ„Π°ΠΉΠ»Π΅ SECURITY.md Π΄ΠΎΠ»ΠΆΠ½Ρ‹ Π±Ρ‹Ρ‚ΡŒ прСдоставлСны ΠΊΠΎΠ½Ρ‚Π°ΠΊΡ‚Π½Ρ‹Π΅ Π΄Π°Π½Π½Ρ‹Π΅ для связи. Π£ΠΊΠ°Π·Π°Π½ΠΎ, Ρ‡Ρ‚ΠΎ Π² ΠΎΠ±Ρ‰Π΅ΠΌ Π²ΠΈΠ΄Π΅ GitHub Π½Π΅ удаляСт эксплоиты, ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Π½Ρ‹Π΅ вмСстС с исслСдованиями бСзопасности для ΡƒΠΆΠ΅ раскрытых уязвимостСй (Π½Π΅ 0-day), Π½ΠΎ оставляСт Π·Π° собой Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΡ‚ΡŒ доступ, Ссли посчитаСт, Ρ‡Ρ‚ΠΎ сохраняСтся риск примСнСния Π΄Π°Π½Π½Ρ‹Ρ… эксплоитов для Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Ρ… Π°Ρ‚Π°ΠΊ ΠΈ Π² слуТбу ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ GitHub ΠΏΠΎΡΡ‚ΡƒΠΏΠ°ΡŽΡ‚ ΠΆΠ°Π»ΠΎΠ±Ρ‹ ΠΎΠ± использовании ΠΊΠΎΠ΄Π° для Π°Ρ‚Π°ΠΊ.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru