GitHub опублікував зміни правил, що визначають політику щодо розміщення експлоїтів та результатів дослідження шкідливого ПЗ, а також дотримання чинного в США Закону про авторське право у цифрову епоху (DMCA). Зміни поки що перебувають у стані чернетки, доступної для обговорення протягом 30 днів.
До правил дотримання DMCA, крім раніше присутньої заборони розповсюдження та забезпечення встановлення або доставки активного шкідливого ПЗ та експлоїтів, додано такі умови:
- Явна заборона розміщення у репозиторії технологій для обходу технічних засобів захисту авторських прав, включаючи ліцензійні ключі, а також програми для генерації ключів, обходу перевірки ключів та продовження безкоштовного періоду роботи.
- Запроваджується порядок подання заявки на видалення такого коду. Від того, хто подає заявку на видалення, потрібно надати технічні деталі, із задекларованим наміром передати цю заявку на експертизу до блокування.
- При блокуванні репозиторію обіцяють забезпечити можливість експортувати їх і PR-и, і запропонувати юридичні послуги.
Зміни, внесені до правил, що стосуються експлоїтів та шкідливого ПЗ, враховують критику, яка пролунала після видалення компанією Microsoft прототипу експлоїту для Microsoft Exchange, що використовується для атак. У нових правилах зроблено спробу явного відділення вмісту, що надає небезпеку та використовується для здійснення активних атак, та коду, що супроводжує дослідження в галузі безпеки. Внесені зміни:
- Заборонено не лише атакувати користувачів GitHub шляхом розміщення на ньому контенту з експлоїтами або використовувати GitHub як засіб доставки експлоїтів, як було раніше, але й розміщувати шкідливий код та експлоїти, що супроводжують проведення активних атак. У загальному вигляді не заборонено розміщення прикладів експлоїтів, підготовлених у ході досліджень безпеки і які стосуються вже виправлених уразливостей, але все залежатиме від того, як трактувати термін «активні атаки».
Наприклад, публікація в будь-якому вигляді вихідних текстів JavaScript-коду, що атакує браузер, підпадає під даний критерій - зловмиснику нічого не заважає завантажити вихідний код у браузер жертви fetch-ем, автоматично пропатчити, якщо прототип експлоїту опубліковано в непрацездатному вигляді, і виконати. Аналогічно з будь-яким іншим кодом, наприклад на C++, - ніщо не заважає скомпілювати його на машині, що атакується, і виконати. При виявленні репозиторію з подібним кодом планується не видаляти, а закривати до нього доступ.
- Перенесено вище за текстом розділ, що забороняє «спам», накрутки, участь у ринку накруток, програми для порушення правил будь-яких сайтів, фішинг та його спроби.
- Додано пункт із поясненням можливості подання апеляції у разі незгоди з блокуванням.
- Додано вимогу до власників репозиторіїв, у яких у межах досліджень безпеки розміщується потенційно небезпечний вміст. Наявність такого вмісту має бути явно згадано спочатку файлу README.md, а файлі SECURITY.md повинні бути надані контактні дані для зв'язку. Вказано, що в загальному вигляді GitHub не видаляє експлоїти, опубліковані разом з дослідженнями безпеки для вже розкритих вразливостей (не 0-day), але залишає за собою можливість обмежити доступ, якщо вважатиме, що зберігається ризик застосування цих експлоїтів для реальних атак та служби. підтримки GitHub надходять скарги щодо використання коду для атак.
Джерело: opennet.ru