GitHub heeft beleidswijzigingen gepubliceerd die het beleid schetsen met betrekking tot het plaatsen van exploits en malware-onderzoek, evenals de naleving van de Amerikaanse Digital Millennium Copyright Act (DMCA). De wijzigingen bevinden zich nog in de conceptstatus en kunnen binnen 30 dagen worden besproken.
Naast het eerder geldende verbod op het verspreiden en garanderen van de installatie of levering van actieve malware en exploits, zijn de volgende voorwaarden toegevoegd aan de DMCA-nalevingsregels:
- Expliciet verbod op het in de repository plaatsen van technologieën voor het omzeilen van technische middelen voor auteursrechtbescherming, inclusief licentiesleutels, evenals programma's voor het genereren van sleutels, het omzeilen van sleutelverificatie en het verlengen van de gratis werkperiode.
- Er wordt een procedure ingevoerd voor het indienen van een aanvraag tot verwijdering van een dergelijke code. De aanvrager van verwijdering is verplicht technische details te verstrekken, met de verklaarde intentie om de aanvraag voor onderzoek in te dienen voorafgaand aan de blokkering.
- Wanneer de repository wordt geblokkeerd, beloven ze de mogelijkheid te bieden om kwesties en PR's te exporteren en juridische diensten aan te bieden.
De wijzigingen in de exploits en malwareregels komen tegemoet aan de kritiek die kwam nadat Microsoft een prototype van Microsoft Exchange-exploit had verwijderd dat werd gebruikt om aanvallen uit te voeren. De nieuwe regels proberen gevaarlijke inhoud die wordt gebruikt voor actieve aanvallen expliciet te scheiden van code die beveiligingsonderzoek ondersteunt. Veranderingen gemaakt:
- Het is niet alleen verboden om GitHub-gebruikers aan te vallen door inhoud met exploits erop te plaatsen of om GitHub te gebruiken als middel om exploits te leveren, zoals voorheen het geval was, maar ook om kwaadaardige code en exploits te plaatsen die met actieve aanvallen gepaard gaan. Over het algemeen is het niet verboden om voorbeelden te posten van exploits die tijdens beveiligingsonderzoek zijn voorbereid en die kwetsbaarheden beïnvloeden die al zijn opgelost, maar alles zal afhangen van hoe de term ‘actieve aanvallen’ wordt geïnterpreteerd.
Het publiceren van JavaScript-code in elke vorm van brontekst die een browser aanvalt, valt bijvoorbeeld onder dit criterium: niets weerhoudt de aanvaller ervan de broncode met behulp van fetch naar de browser van het slachtoffer te downloaden en deze automatisch te patchen als het exploit-prototype in een onbruikbare vorm wordt gepubliceerd. , en het uitvoeren ervan. Hetzelfde geldt voor elke andere code, bijvoorbeeld in C++: niets belet je om deze op de aangevallen machine te compileren en uit te voeren. Als een repository met soortgelijke code wordt ontdekt, is het de bedoeling deze niet te verwijderen, maar de toegang daartoe te blokkeren.
- Het gedeelte dat “spam”, bedrog, deelname aan de markt voor bedrog, programma’s voor het overtreden van de regels van sites, phishing en de pogingen daartoe verbiedt, is hoger in de tekst geplaatst.
- Er is een paragraaf toegevoegd waarin wordt uitgelegd wat de mogelijkheid is om in beroep te gaan als u het niet eens bent met de blokkering.
- Er is een vereiste toegevoegd voor eigenaren van opslagplaatsen die potentieel gevaarlijke inhoud hosten als onderdeel van beveiligingsonderzoek. De aanwezigheid van dergelijke inhoud moet expliciet worden vermeld aan het begin van het README.md-bestand, en contactgegevens moeten worden verstrekt in het SECURITY.md-bestand. Er wordt gesteld dat GitHub exploits die samen met beveiligingsonderzoek zijn gepubliceerd voor reeds bekendgemaakte kwetsbaarheden (niet 0-day) in het algemeen niet verwijdert, maar zich de mogelijkheid voorbehoudt om de toegang te beperken als het van mening is dat er een risico blijft bestaan dat deze exploits voor echte aanvallen worden gebruikt. en in de dienst heeft GitHub-ondersteuning klachten ontvangen over de code die wordt gebruikt voor aanvallen.
Bron: opennet.ru