GitHub opublikował zmiany w zasadach, które określają zasady dotyczące publikowania exploitów i badań nad złośliwym oprogramowaniem, a także zgodności z amerykańską ustawą Digital Millennium Copyright Act (DMCA). Zmiany mają nadal status wersji roboczej i można je omówić w ciągu 30 dni.
Oprócz wcześniej obowiązującego zakazu rozpowszechniania i zapewniania instalacji lub dostarczania aktywnego złośliwego oprogramowania i exploitów, do zasad zgodności z ustawą DMCA dodano następujące warunki:
- Wyraźny zakaz umieszczania w repozytorium technologii omijających techniczne środki ochrony praw autorskich, w tym kluczy licencyjnych, a także programów do generowania kluczy, omijających weryfikację kluczy i przedłużających bezpłatny okres pracy.
- Wprowadzana jest procedura składania wniosku o usunięcie takiego kodu. Osoba składająca wniosek o usunięcie ma obowiązek podać dane techniczne, z zadeklarowanym zamiarem poddania wniosku do rozpatrzenia przed zablokowaniem.
- Gdy repozytorium jest zablokowane, obiecują zapewnić możliwość eksportu spraw i PR oraz oferują usługi prawne.
Zmiany w zasadach dotyczących exploitów i złośliwego oprogramowania stanowią odpowiedź na krytykę, która pojawiła się po usunięciu przez firmę Microsoft prototypowego exploita Microsoft Exchange używanego do przeprowadzania ataków. Nowe zasady próbują wyraźnie oddzielić niebezpieczną treść wykorzystywaną do aktywnych ataków od kodu wspierającego badania nad bezpieczeństwem. Zmiany dokonane:
- Zabrania się nie tylko atakowania użytkowników GitHuba poprzez zamieszczanie na nim treści zawierających exploity lub wykorzystywania GitHuba do dostarczania exploitów, jak miało to miejsce wcześniej, ale także publikowania złośliwego kodu i exploitów towarzyszących aktywnym atakom. Ogólnie rzecz biorąc, nie jest zabronione publikowanie przykładów exploitów przygotowanych w trakcie badań bezpieczeństwa i wpływających na luki, które zostały już naprawione, ale wszystko będzie zależeć od tego, jak rozumieć termin „aktywne ataki”.
Na przykład publikowanie kodu JavaScript w jakiejkolwiek formie tekstu źródłowego, który atakuje przeglądarkę, podlega temu kryterium - nic nie stoi na przeszkodzie, aby osoba atakująca załadowała kod źródłowy do przeglądarki ofiary za pomocą polecenia pobierania, automatycznie załatając go, jeśli prototyp exploita zostanie opublikowany w niedziałającej formie i wykonanie go. Podobnie z każdym innym kodem, np. w C++ - nic nie stoi na przeszkodzie, aby skompilować go na zaatakowanej maszynie i wykonać. W przypadku odkrycia repozytorium z podobnym kodem planuje się nie jego usunięcie, lecz zablokowanie dostępu do niego.
- Sekcja zakazująca „spamu”, oszukiwania, udziału w rynku oszukańczym, programów naruszających regulamin jakichkolwiek witryn, phishingu i jego prób została przeniesiona wyżej w tekście.
- Dodano akapit wyjaśniający możliwość złożenia odwołania w przypadku braku zgody na blokadę.
- Dodano wymóg dla właścicieli repozytoriów zawierających potencjalnie niebezpieczną zawartość w ramach badań bezpieczeństwa. O obecności takich treści należy wyraźnie wspomnieć na początku pliku README.md, a w pliku SECURITY.md należy podać dane kontaktowe. Stwierdza się, że ogólnie GitHub nie usuwa exploitów opublikowanych wraz z badaniami bezpieczeństwa dla już ujawnionych luk (nie 0-day), ale zastrzega sobie możliwość ograniczenia dostępu, jeśli uzna, że nadal istnieje ryzyko wykorzystania tych exploitów do rzeczywistych ataków oraz w serwisie GitHub otrzymał skargi dotyczące kodu wykorzystywanego do ataków.
Źródło: opennet.ru