Το GitHub δημοσίευσε αλλαγές πολιτικής που περιγράφουν πολιτικές σχετικά με τη δημοσίευση εκμεταλλεύσεων και έρευνας για κακόβουλο λογισμικό, καθώς και τη συμμόρφωση με τον Νόμο για τα δικαιώματα πνευματικής ιδιοκτησίας στην ψηφιακή εποχή των ΗΠΑ (DMCA). Οι αλλαγές εξακολουθούν να είναι σε πρόχειρη κατάσταση, διαθέσιμες για συζήτηση εντός 30 ημερών.
Εκτός από την προηγούμενη απαγόρευση για τη διανομή και τη διασφάλιση της εγκατάστασης ή παράδοσης ενεργού κακόβουλου λογισμικού και εκμεταλλεύσεων, οι ακόλουθοι όροι έχουν προστεθεί στους κανόνες συμμόρφωσης με το DMCA:
- Ρητή απαγόρευση τοποθέτησης στο αποθετήριο τεχνολογιών για την παράκαμψη τεχνικών μέσων προστασίας πνευματικών δικαιωμάτων, συμπεριλαμβανομένων των κλειδιών άδειας χρήσης, καθώς και προγραμμάτων για τη δημιουργία κλειδιών, την παράκαμψη της επαλήθευσης κλειδιού και την παράταση της δωρεάν περιόδου εργασίας.
- Εισάγεται διαδικασία για την υποβολή αίτησης για αφαίρεση τέτοιου κωδικού. Ο αιτών για διαγραφή υποχρεούται να παράσχει τεχνικές λεπτομέρειες, με δηλωμένη πρόθεση να υποβάλει την αίτηση για εξέταση πριν από τον αποκλεισμό.
- Όταν το αποθετήριο μπλοκάρεται, υπόσχονται να παρέχουν τη δυνατότητα εξαγωγής θεμάτων και PR και να προσφέρουν νομικές υπηρεσίες.
Οι αλλαγές στους κανόνες εκμετάλλευσης και κακόβουλου λογισμικού ανταποκρίνονται στην κριτική που ακολούθησε η Microsoft αφότου η Microsoft αφαίρεσε ένα πρωτότυπο εκμετάλλευσης του Microsoft Exchange που χρησιμοποιήθηκε για την εκτόξευση επιθέσεων. Οι νέοι κανόνες επιχειρούν να διαχωρίσουν ρητά το επικίνδυνο περιεχόμενο που χρησιμοποιείται για ενεργές επιθέσεις από τον κώδικα που υποστηρίζει την έρευνα ασφάλειας. Αλλαγές που έγιναν:
- Απαγορεύεται όχι μόνο η επίθεση σε χρήστες του GitHub δημοσιεύοντας περιεχόμενο με εκμεταλλεύσεις σε αυτό ή η χρήση του GitHub ως μέσο παροχής εκμεταλλεύσεων, όπως συνέβαινε πριν, αλλά και η δημοσίευση κακόβουλου κώδικα και εκμεταλλεύσεων που συνοδεύουν ενεργές επιθέσεις. Γενικά, δεν απαγορεύεται η ανάρτηση παραδειγμάτων εκμεταλλεύσεων που προετοιμάζονται κατά τη διάρκεια έρευνας ασφαλείας και επηρεάζουν ευπάθειες που έχουν ήδη επιδιορθωθεί, αλλά όλα θα εξαρτηθούν από τον τρόπο ερμηνείας του όρου «ενεργές επιθέσεις».
Για παράδειγμα, η δημοσίευση κώδικα JavaScript σε οποιαδήποτε μορφή πηγαίου κειμένου που επιτίθεται σε ένα πρόγραμμα περιήγησης εμπίπτει σε αυτό το κριτήριο - τίποτα δεν εμποδίζει τον εισβολέα να πραγματοποιήσει λήψη του πηγαίου κώδικα στο πρόγραμμα περιήγησης του θύματος χρησιμοποιώντας fetch, διορθώνοντάς τον αυτόματα εάν το πρωτότυπο του exploit δημοσιευτεί σε μη λειτουργική μορφή , και την εκτέλεσή του. Ομοίως με οποιονδήποτε άλλο κώδικα, για παράδειγμα στη C++ - τίποτα δεν σας εμποδίζει να τον μεταγλωττίσετε στο μηχάνημα που δέχεται επίθεση και να τον εκτελέσετε. Εάν ανακαλυφθεί ένα αποθετήριο με παρόμοιο κώδικα, σχεδιάζεται να μην διαγραφεί, αλλά να αποκλειστεί η πρόσβαση σε αυτό.
- Η ενότητα που απαγορεύει το "spam", την εξαπάτηση, τη συμμετοχή στην αγορά εξαπάτησης, τα προγράμματα παραβίασης των κανόνων οποιωνδήποτε ιστότοπων, το ηλεκτρονικό "ψάρεμα" και τις προσπάθειές του έχει μετακινηθεί ψηλότερα στο κείμενο.
- Προστέθηκε μια παράγραφος που εξηγεί τη δυνατότητα υποβολής προσφυγής σε περίπτωση διαφωνίας με τον αποκλεισμό.
- Προστέθηκε μια απαίτηση για τους κατόχους αποθετηρίων που φιλοξενούν δυνητικά επικίνδυνο περιεχόμενο ως μέρος της έρευνας ασφάλειας. Η παρουσία τέτοιου περιεχομένου πρέπει να αναφέρεται ρητά στην αρχή του αρχείου README.md και τα στοιχεία επικοινωνίας πρέπει να παρέχονται στο αρχείο SECURITY.md. Αναφέρεται ότι γενικά το GitHub δεν αφαιρεί εκμεταλλεύσεις που δημοσιεύονται μαζί με έρευνα ασφαλείας για ήδη αποκαλυπτόμενα τρωτά σημεία (όχι 0 ημερών), αλλά διατηρεί την ευκαιρία να περιορίσει την πρόσβαση εάν θεωρεί ότι εξακολουθεί να υπάρχει κίνδυνος χρήσης αυτών των εκμεταλλεύσεων για πραγματικές επιθέσεις και στην υπηρεσία η υποστήριξη GitHub έχει λάβει παράπονα σχετικά με τον κώδικα που χρησιμοποιείται για επιθέσεις.
Πηγή: opennet.ru