GitHub ha publicado cambios en las políticas que describen las políticas relativas a la publicación de exploits y la investigación de malware, así como el cumplimiento de la Ley de Derechos de Autor del Milenio Digital (DMCA) de EE. UU. Los cambios aún se encuentran en estado de borrador y estarán disponibles para discusión dentro de 30 días.
Además de la prohibición anterior de distribuir y garantizar la instalación o entrega de malware y exploits activos, se han agregado los siguientes términos a las reglas de cumplimiento de la DMCA:
- Prohibición explícita de colocar en el repositorio tecnologías para eludir los medios técnicos de protección de derechos de autor, incluidas claves de licencia, así como programas para generar claves, eludir la verificación de claves y extender el período gratuito de trabajo.
- Se está introduciendo un procedimiento para presentar una solicitud para eliminar dicho código. El solicitante de la supresión debe proporcionar detalles técnicos y declarar su intención de presentar la solicitud para su examen antes del bloqueo.
- Cuando el repositorio está bloqueado, prometen brindar la posibilidad de exportar emisiones y relaciones públicas, y ofrecer servicios legales.
Los cambios en las reglas de exploits y malware abordan las críticas que surgieron después de que Microsoft eliminara un prototipo de exploit de Microsoft Exchange utilizado para lanzar ataques. Las nuevas reglas intentan separar explícitamente el contenido peligroso utilizado para ataques activos del código que respalda la investigación de seguridad. Cambios realizados:
- Está prohibido no sólo atacar a los usuarios de GitHub publicando contenido con exploits o utilizar GitHub como medio para distribuir exploits, como era el caso antes, sino también publicar código malicioso y exploits que acompañan a los ataques activos. En general, no está prohibido publicar ejemplos de exploits preparados durante la investigación de seguridad y que afecten a vulnerabilidades que ya han sido solucionadas, pero todo dependerá de cómo se interprete el término "ataques activos".
Por ejemplo, la publicación de código JavaScript en cualquier forma de texto fuente que ataque a un navegador se incluye en este criterio: nada impide que el atacante descargue el código fuente en el navegador de la víctima mediante fetch y lo parchee automáticamente si el prototipo del exploit se publica en un formato inoperable. y ejecutándolo. Lo mismo ocurre con cualquier otro código, por ejemplo en C++: nada le impide compilarlo en la máquina atacada y ejecutarlo. Si se descubre un repositorio con código similar, se planea no eliminarlo, sino bloquear el acceso a él.
- La sección que prohíbe el "spam", las trampas, la participación en el mercado de trampas, los programas para violar las reglas de cualquier sitio, el phishing y sus intentos se ha movido más arriba en el texto.
- Se añade un párrafo explicando la posibilidad de presentar recurso de apelación en caso de disconformidad con el bloqueo.
- Se ha agregado un requisito para los propietarios de repositorios que albergan contenido potencialmente peligroso como parte de la investigación de seguridad. La presencia de dicho contenido debe mencionarse explícitamente al principio del archivo README.md y la información de contacto debe proporcionarse en el archivo SECURITY.md. Se afirma que, en general, GitHub no elimina los exploits publicados junto con las investigaciones de seguridad para vulnerabilidades ya reveladas (no de día 0), pero se reserva la oportunidad de restringir el acceso si considera que persiste el riesgo de que estos exploits se utilicen para ataques reales. y en el servicio el soporte de GitHub ha recibido quejas sobre el código utilizado para los ataques.
Fuente: opennet.ru