GitHub ha pubblicato modifiche alle politiche che delineano le politiche relative alla pubblicazione di exploit e alla ricerca di malware, nonché la conformità al Digital Millennium Copyright Act (DMCA) degli Stati Uniti. Le modifiche sono ancora allo stato di bozza, disponibili per la discussione entro 30 giorni.
Oltre al divieto precedentemente presente di distribuire e garantire l'installazione o la consegna di malware ed exploit attivi, alle regole di conformità DMCA sono stati aggiunti i seguenti termini:
- Divieto esplicito di inserire nel repository tecnologie per aggirare i mezzi tecnici di protezione del copyright, comprese le chiavi di licenza, nonché programmi per generare chiavi, aggirare la verifica delle chiavi ed estendere il periodo di lavoro gratuito.
- È stata introdotta una procedura per presentare una richiesta di rimozione di tale codice. Il richiedente la cancellazione è tenuto a fornire dettagli tecnici, con la dichiarata intenzione di sottoporre la domanda ad esame prima del blocco.
- Quando il repository viene bloccato, promettono di fornire la possibilità di esportare problemi e PR e di offrire servizi legali.
Le modifiche agli exploit e alle regole del malware affrontano le critiche emerse dopo che Microsoft ha rimosso un prototipo di exploit di Microsoft Exchange utilizzato per lanciare attacchi. Le nuove regole tentano di separare esplicitamente i contenuti pericolosi utilizzati per attacchi attivi dal codice che supporta la ricerca sulla sicurezza. Modifiche apportate:
- È vietato non solo attaccare gli utenti di GitHub pubblicando contenuti con exploit o utilizzare GitHub come mezzo per diffondere exploit, come avveniva in precedenza, ma anche pubblicare codice dannoso ed exploit che accompagnano gli attacchi attivi. In generale, non è vietato pubblicare esempi di exploit preparati durante le ricerche sulla sicurezza e che colpiscono vulnerabilità già risolte, ma tutto dipenderà da come viene interpretato il termine “attacchi attivi”.
Ad esempio, la pubblicazione di codice JavaScript in qualsiasi forma di testo sorgente che attacchi un browser rientra in questo criterio: nulla impedisce all'aggressore di scaricare il codice sorgente nel browser della vittima utilizzando fetch, applicando automaticamente la patch se il prototipo dell'exploit viene pubblicato in una forma inutilizzabile. , ed eseguirlo. Allo stesso modo con qualsiasi altro codice, ad esempio in C++, nulla impedisce di compilarlo sulla macchina attaccata ed eseguirlo. Se viene scoperto un repository con codice simile, si prevede di non eliminarlo, ma di bloccarne l'accesso.
- La sezione che vieta lo "spam", gli imbrogli, la partecipazione al mercato degli imbrogli, i programmi per violare le regole di qualsiasi sito, il phishing e i suoi tentativi è stata spostata più in alto nel testo.
- È stato aggiunto un paragrafo che spiega la possibilità di presentare ricorso in caso di disaccordo con il blocco.
- È stato aggiunto un requisito per i proprietari di repository che ospitano contenuti potenzialmente pericolosi come parte della ricerca sulla sicurezza. La presenza di tale contenuto deve essere menzionata esplicitamente all'inizio del file README.md e le informazioni di contatto devono essere fornite nel file SECURITY.md. Si precisa che in generale GitHub non rimuove gli exploit pubblicati insieme alle ricerche di sicurezza per le vulnerabilità già divulgate (non 0-day), ma si riserva la possibilità di limitare l'accesso se ritiene che permanga il rischio che tali exploit vengano utilizzati per attacchi reali e nel servizio GitHub il supporto ha ricevuto reclami riguardo al codice utilizzato per gli attacchi.
Fonte: opennet.ru