GitHub đã công bố những thay đổi về chính sách nhằm phác thảo các chính sách liên quan đến việc đăng các hoạt động khai thác và nghiên cứu phần mềm độc hại, cũng như việc tuân thủ Đạo luật bản quyền thiên niên kỷ kỹ thuật số (DMCA) của Hoa Kỳ. Những thay đổi vẫn ở trạng thái dự thảo, sẵn sàng để thảo luận trong vòng 30 ngày.
Ngoài lệnh cấm phân phối và đảm bảo cài đặt hoặc phân phối phần mềm độc hại đang hoạt động và các hoạt động khai thác hiện hành, các điều khoản sau đã được thêm vào quy tắc tuân thủ DMCA:
- Cấm rõ ràng việc đưa vào kho các công nghệ để vượt qua các phương tiện kỹ thuật bảo vệ bản quyền, bao gồm cả khóa cấp phép, cũng như các chương trình tạo khóa, bỏ qua xác minh khóa và kéo dài thời gian làm việc miễn phí.
- Một thủ tục nộp đơn xin xóa mã như vậy đang được giới thiệu. Người nộp đơn yêu cầu xóa phải cung cấp các chi tiết kỹ thuật, với ý định đã tuyên bố là nộp đơn để kiểm tra trước khi chặn.
- Khi kho lưu trữ bị chặn, họ hứa sẽ cung cấp khả năng xuất các vấn đề và PR, đồng thời cung cấp các dịch vụ pháp lý.
Những thay đổi về quy tắc khai thác và phần mềm độc hại giải quyết những lời chỉ trích xuất hiện sau khi Microsoft loại bỏ nguyên mẫu khai thác Microsoft Exchange được sử dụng để khởi động các cuộc tấn công. Các quy tắc mới cố gắng tách biệt rõ ràng nội dung nguy hiểm được sử dụng cho các cuộc tấn công đang hoạt động khỏi mã hỗ trợ nghiên cứu bảo mật. Những thay đổi đã làm:
- Nghiêm cấm không chỉ tấn công người dùng GitHub bằng cách đăng nội dung có các khai thác trên đó hoặc sử dụng GitHub như một phương tiện để thực hiện các khai thác, như trường hợp trước đây, mà còn đăng mã độc hại và các khai thác đi kèm với các cuộc tấn công đang hoạt động. Nói chung, không bị cấm đăng các ví dụ về các cách khai thác được chuẩn bị trong quá trình nghiên cứu bảo mật và ảnh hưởng đến các lỗ hổng đã được sửa, nhưng mọi thứ sẽ phụ thuộc vào cách giải thích thuật ngữ “các cuộc tấn công tích cực”.
Ví dụ: xuất bản mã JavaScript dưới bất kỳ dạng văn bản nguồn nào tấn công trình duyệt đều thuộc tiêu chí này - không có gì ngăn cản kẻ tấn công tải mã nguồn vào trình duyệt của nạn nhân bằng cách sử dụng tìm nạp, tự động vá mã nếu nguyên mẫu khai thác được xuất bản ở dạng không thể hoạt động , và thực hiện nó. Tương tự với bất kỳ mã nào khác, ví dụ như trong C++ - không có gì ngăn cản bạn biên dịch nó trên máy bị tấn công và thực thi nó. Nếu một kho lưu trữ có mã tương tự được phát hiện, kế hoạch sẽ không xóa nó mà chặn quyền truy cập vào nó.
- Phần cấm “spam”, gian lận, tham gia vào thị trường gian lận, các chương trình vi phạm quy tắc của bất kỳ trang web nào, lừa đảo và các nỗ lực của nó đã được chuyển lên cao hơn trong văn bản.
- Một đoạn đã được thêm vào giải thích khả năng nộp đơn kháng cáo trong trường hợp không đồng ý với việc ngăn chặn.
- Một yêu cầu đã được thêm vào đối với chủ sở hữu kho lưu trữ nội dung nguy hiểm tiềm tàng như một phần của nghiên cứu bảo mật. Sự hiện diện của nội dung đó phải được đề cập rõ ràng ở đầu tệp README.md và thông tin liên hệ phải được cung cấp trong tệp SECURITY.md. Người ta tuyên bố rằng nhìn chung, GitHub không xóa các khai thác được công bố cùng với nghiên cứu bảo mật đối với các lỗ hổng đã được tiết lộ (không phải 0 ngày), nhưng có cơ hội hạn chế quyền truy cập nếu cho rằng vẫn có nguy cơ các khai thác này được sử dụng cho các cuộc tấn công thực sự và trong dịch vụ, bộ phận hỗ trợ GitHub đã nhận được khiếu nại về việc mã được sử dụng để tấn công.
Nguồn: opennet.ru