GitHub je objavio promjene politike koje navode politike u vezi s objavljivanjem eksploatacija i istraživanja zlonamjernog softvera, kao i usklađenost sa Zakonom o autorskim pravima u digitalnom tisućljeću (DMCA) SAD-a. Izmjene su još uvijek u statusu nacrta, dostupne za raspravu u roku od 30 dana.
Uz prethodno prisutnu zabranu distribucije i osiguravanja instalacije ili isporuke aktivnog zlonamjernog softvera i eksploatacije, sljedeći uslovi su dodani u DMCA pravila usklađenosti:
- Izričita zabrana stavljanja u repozitorijum tehnologija za zaobilaženje tehničkih sredstava zaštite autorskih prava, uključujući licencne ključeve, kao i programe za generisanje ključeva, zaobilaženje verifikacije ključeva i produženje slobodnog perioda rada.
- Uvodi se postupak za podnošenje zahtjeva za uklanjanje takve šifre. Podnosilac zahtjeva za brisanje je dužan dostaviti tehničke podatke, sa izjavljenom namjerom da podnese prijavu na ispitivanje prije blokiranja.
- Kada je spremište blokirano, obećavaju da će pružiti mogućnost izvoza izdanja i PR-a i ponuditi pravne usluge.
Izmjene pravila o eksploataciji i zlonamjernom softveru rješavaju kritike koje su uslijedile nakon što je Microsoft uklonio prototip Microsoft Exchange eksploatacije koji se koristio za pokretanje napada. Nova pravila pokušavaju da eksplicitno odvoje opasni sadržaj koji se koristi za aktivne napade od koda koji podržava istraživanje sigurnosti. Izmjene napravljene:
- Zabranjeno je ne samo napadati GitHub korisnike objavljivanjem sadržaja sa eksploatacijama ili koristiti GitHub kao sredstvo za isporuku eksploata, kao što je to bio slučaj ranije, već i objavljivanje zlonamjernog koda i eksploata koji prate aktivne napade. Općenito, nije zabranjeno objavljivati primjere eksploatacija pripremljenih tokom istraživanja sigurnosti i koji utiču na ranjivosti koje su već otklonjene, ali će sve ovisiti o tome kako se tumači pojam „aktivni napadi“.
Na primjer, objavljivanje JavaScript koda u bilo kojem obliku izvornog teksta koji napada pretraživač potpada pod ovaj kriterij - ništa ne sprječava napadača da preuzme izvorni kod u pretraživač žrtve koristeći dohvat, automatski ga zakrpa ako je prototip eksploatacije objavljen u neoperativnom obliku , i izvršavanje. Slično sa bilo kojim drugim kodom, na primjer u C++ - ništa vas ne sprječava da ga kompajlirate na napadnutom stroju i izvršite. Ukoliko se otkrije spremište sa sličnim kodom, planira se da se ne briše, već da se blokira pristup njemu.
- Odjeljak koji zabranjuje „spam“, varanje, učešće na tržištu varanja, programi za kršenje pravila bilo kojeg sajta, phishing i njegovi pokušaji pomaknut je više u tekstu.
- Dodan je paragraf koji objašnjava mogućnost podnošenja žalbe u slučaju neslaganja sa blokiranjem.
- Dodan je zahtjev za vlasnike spremišta u kojima se nalaze potencijalno opasni sadržaji kao dio sigurnosnog istraživanja. Prisustvo takvog sadržaja mora biti eksplicitno navedeno na početku datoteke README.md, a kontakt informacije moraju biti navedene u datoteci SECURITY.md. Navodi se da generalno GitHub ne uklanja eksploatacije objavljene zajedno sa sigurnosnim istraživanjima za već otkrivene ranjivosti (ne 0-day), ali zadržava mogućnost da ograniči pristup ako smatra da postoji rizik da se ovi eksploati koriste za stvarne napade a u servisu GitHub podrška je primila žalbe na kod koji se koristi za napade.
izvor: opennet.ru