GitHub je objavio promjene pravila koje ocrtavaju pravila koja se odnose na objavljivanje exploita i istraživanja zlonamjernog softvera, kao i usklađenost s američkim Zakonom o autorskim pravima u digitalnom tisućljeću (DMCA). Promjene su još uvijek u statusu nacrta, dostupne za raspravu u roku od 30 dana.
Uz prethodno postojeću zabranu distribucije i osiguravanja instalacije ili isporuke aktivnog zlonamjernog softvera i eksploatacija, sljedeći su uvjeti dodani pravilima usklađenosti sa DMCA:
- Izričita zabrana postavljanja u repozitorij tehnologija za zaobilaženje tehničkih sredstava zaštite autorskih prava, uključujući licencne ključeve, kao i programa za generiranje ključeva, zaobilaženje provjere ključeva i produljenje besplatnog razdoblja rada.
- Uvodi se postupak podnošenja zahtjeva za uklanjanje takvog koda. Podnositelj zahtjeva za brisanje dužan je dostaviti tehničke podatke, uz iskaz namjere podnošenja zahtjeva na ispitivanje prije blokiranja.
- Kada je repozitorij blokiran, obećavaju da će omogućiti izvoz problema i PR-ova te ponuditi pravne usluge.
Promjene pravila o eksploataciji i zlonamjernom softveru odnose se na kritike koje su uslijedile nakon što je Microsoft uklonio prototip Microsoft Exchange eksploatacije korištene za pokretanje napada. Nova pravila pokušavaju eksplicitno odvojiti opasni sadržaj koji se koristi za aktivne napade od koda koji podržava sigurnosna istraživanja. Izvršene izmjene:
- Zabranjeno je ne samo napadati korisnike GitHuba objavljivanjem sadržaja s exploit-ima ili koristiti GitHub kao sredstvo za isporuku exploita, kao što je bio slučaj prije, već i objavljivati zlonamjerni kod i exploit-e koji prate aktivne napade. Općenito, nije zabranjeno objavljivati primjere exploita pripremljenih tijekom sigurnosnih istraživanja koji utječu na ranjivosti koje su već popravljene, no sve će ovisiti o tome kako se tumači pojam "aktivni napadi".
Na primjer, objavljivanje JavaScript koda u bilo kojem obliku izvornog teksta koji napada preglednik potpada pod ovaj kriterij - ništa ne sprječava napadača da preuzme izvorni kod u žrtvin preglednik pomoću dohvaćanja, automatski ga krpajući ako je prototip iskorištavanja objavljen u neoperabilnom obliku , i njegovo izvršavanje. Slično s bilo kojim drugim kodom, na primjer u C++ - ništa vas ne sprječava da ga kompajlirate na napadnutom stroju i izvršite. Ako se otkrije spremište sa sličnim kodom, planira se ne izbrisati, već blokirati pristup njemu.
- Odjeljak koji zabranjuje "spam", varanje, sudjelovanje na tržištu varanja, programe za kršenje pravila bilo kojih stranica, phishing i njegove pokušaje pomaknut je više u tekstu.
- Dodan je stavak koji objašnjava mogućnost podnošenja žalbe u slučaju neslaganja s blokadom.
- Dodan je zahtjev za vlasnike repozitorija koji ugošćuju potencijalno opasan sadržaj kao dio sigurnosnog istraživanja. Prisutnost takvog sadržaja mora biti izričito navedena na početku datoteke README.md, a kontakt podaci moraju biti navedeni u datoteci SECURITY.md. Navedeno je da općenito GitHub ne uklanja exploite objavljene zajedno sa sigurnosnim istraživanjem za već otkrivene ranjivosti (ne 0-dnevne), ali zadržava priliku ograničiti pristup ako smatra da postoji rizik da se ti exploiti koriste za stvarne napade i u servisu GitHub podrška je primila pritužbe o kodu koji se koristi za napade.
Izvor: opennet.ru