GitHub zverejnil zmeny pravidiel, ktoré načrtávajú pravidlá týkajúce sa uverejňovania exploitov a výskumu škodlivého softvéru, ako aj súladu so zákonom DMCA (Digital Millennium Copyright Act). Zmeny sú stále v stave konceptu, k dispozícii na diskusiu do 30 dní.
Okrem predtým platného zákazu distribúcie a zabezpečenia inštalácie alebo doručovania aktívneho malvéru a exploitov boli do pravidiel dodržiavania zákona DMCA pridané nasledujúce podmienky:
- Výslovný zákaz umiestňovať do úložiska technológie na obchádzanie technických prostriedkov ochrany autorských práv vrátane licenčných kľúčov, ako aj programov na generovanie kľúčov, obchádzanie overovania kľúčov a predlžovanie voľnej doby práce.
- Zavádza sa postup podania žiadosti o odstránenie takéhoto kódu. Žiadateľ o výmaz je povinný poskytnúť technické podrobnosti s deklarovaným úmyslom podať žiadosť na preskúmanie pred zablokovaním.
- Keď je úložisko zablokované, sľubujú, že poskytnú možnosť exportovať problémy a PR a ponúknu právne služby.
Zmeny v pravidlách exploitov a malvéru riešia kritiku, ktorá prišla po tom, čo Microsoft odstránil prototyp zneužitia Microsoft Exchange používaného na spustenie útokov. Nové pravidlá sa pokúšajú explicitne oddeliť nebezpečný obsah používaný na aktívne útoky od kódu, ktorý podporuje bezpečnostný výskum. Vykonané zmeny:
- Je zakázané nielen útočiť na používateľov GitHubu tým, že na ňom zverejňujete obsah s exploitmi alebo používať GitHub ako prostriedok na poskytovanie exploitov, ako tomu bolo predtým, ale aj zverejňovať škodlivý kód a exploity, ktoré sprevádzajú aktívne útoky. Vo všeobecnosti nie je zakázané zverejňovať príklady exploitov pripravených počas bezpečnostného výskumu a ovplyvňujúcich zraniteľnosti, ktoré už boli opravené, ale všetko bude závisieť od toho, ako sa bude interpretovať pojem „aktívne útoky“.
Napríklad publikovanie kódu JavaScript v akejkoľvek forme zdrojového textu, ktorý útočí na prehliadač, spadá pod toto kritérium – nič nebráni útočníkovi stiahnuť zdrojový kód do prehliadača obete pomocou funkcie načítania a automaticky ho opraviť, ak je prototyp exploitu zverejnený v nefunkčnej forme. a jeho vykonaním. Podobne ako pri akomkoľvek inom kóde, napríklad v C++ - nič vám nebráni skompilovať ho na napadnutom stroji a spustiť. Ak sa nájde úložisko s podobným kódom, plánuje sa ho nevymazať, ale zablokovať k nemu prístup.
- Časť zakazujúca „spam“, podvádzanie, účasť na podvádzacom trhu, programy na porušovanie pravidiel akýchkoľvek stránok, phishing a jeho pokusy bola v texte posunutá vyššie.
- Pridaný odsek vysvetľujúci možnosť podania odvolania v prípade nesúhlasu s blokovaním.
- V rámci bezpečnostného výskumu bola pridaná požiadavka pre vlastníkov úložísk, ktoré hosťujú potenciálne nebezpečný obsah. Prítomnosť takéhoto obsahu musí byť výslovne uvedená na začiatku súboru README.md a kontaktné informácie musia byť uvedené v súbore SECURITY.md. Uvádza sa, že vo všeobecnosti GitHub neodstraňuje exploity publikované spolu s bezpečnostným výskumom pre už odhalené zraniteľnosti (nie 0 dní), ale vyhradzuje si možnosť obmedziť prístup, ak usúdi, že pretrváva riziko použitia týchto exploitov na skutočné útoky. a podpora GitHub v službe dostala sťažnosti na kód používaný na útoky.
Zdroj: opennet.ru