GitHub zveřejnil změny zásad, které nastiňují zásady týkající se zveřejňování exploitů a průzkumu malwaru, jakož i souladu s americkým zákonem Digital Millennium Copyright Act (DMCA). Změny jsou stále ve stavu konceptu, k dispozici k projednání do 30 dnů.
Kromě dříve platného zákazu distribuce a zajištění instalace nebo dodání aktivního malwaru a exploitů byly do pravidel souladu se zákonem DMCA přidány následující podmínky:
- Výslovný zákaz umísťovat do úložiště technologie pro obcházení technických prostředků ochrany autorských práv včetně licenčních klíčů, jakož i programů pro generování klíčů, obcházení ověřování klíčů a prodlužování volné doby práce.
- Zavádí se postup pro podání žádosti o odstranění takového kódu. Žadatel o výmaz je povinen poskytnout technické podrobnosti s deklarovaným úmyslem podat žádost o přezkoušení před zablokováním.
- Když je úložiště zablokováno, slibují, že poskytnou možnost exportovat problémy a PR a nabídnou právní služby.
Změny v pravidlech exploitů a malwaru řeší kritiku, která přišla poté, co Microsoft odstranil prototyp zneužití Microsoft Exchange používaného k zahájení útoků. Nová pravidla se snaží explicitně oddělit nebezpečný obsah používaný k aktivním útokům od kódu, který podporuje bezpečnostní výzkum. Provedené změny:
- Je zakázáno nejen útočit na uživatele GitHubu zveřejňováním obsahu s exploity nebo používat GitHub jako prostředek k doručování exploitů, jak tomu bylo dříve, ale také zveřejňovat škodlivý kód a exploity, které doprovázejí aktivní útoky. Obecně platí, že není zakázáno zveřejňovat příklady exploitů připravených během bezpečnostního výzkumu a ovlivňujících zranitelnosti, které již byly opraveny, ale vše bude záviset na tom, jak je interpretován pojem „aktivní útoky“.
Například publikování kódu JavaScript v jakékoli formě zdrojového textu, který útočí na prohlížeč, spadá pod toto kritérium – nic nebrání útočníkovi stáhnout zdrojový kód do prohlížeče oběti pomocí načtení a automaticky jej opravit, pokud je prototyp exploitu publikován v nefunkční formě. a jeho provedení. Podobně s jakýmkoli jiným kódem, například v C++ - nic vám nebrání jej zkompilovat na napadeném stroji a spustit. Pokud je objeveno úložiště s podobným kódem, neplánuje se jeho odstranění, ale zablokování přístupu k němu.
- Část zakazující „spam“, podvádění, účast na podvodném trhu, programy na porušování pravidel jakýchkoli stránek, phishing a jeho pokusy byla v textu posunuta výše.
- Byl doplněn odstavec vysvětlující možnost podat odvolání v případě nesouhlasu s blokací.
- V rámci bezpečnostního výzkumu byl přidán požadavek pro vlastníky úložišť, která hostí potenciálně nebezpečný obsah. Přítomnost takového obsahu musí být výslovně uvedena na začátku souboru README.md a kontaktní informace musí být uvedeny v souboru SECURITY.md. Uvádí se, že obecně GitHub neodstraňuje exploity publikované spolu s bezpečnostním výzkumem pro již odhalené zranitelnosti (nikoli 0 dní), ale vyhrazuje si možnost omezit přístup, pokud se domnívá, že přetrvává riziko, že tyto exploity budou použity ke skutečným útokům. a ve službě podpora GitHub obdržela stížnosti na kód používaný k útokům.
Zdroj: opennet.ru