GitHub aktualizuje politiku na odstránenie zneužitia kódu pri použití v aktívnych útokoch

Platforma na hosťovanie kódu GitHub v piatok oficiálne oznámila sériu aktualizácií pravidiel stránky, ktoré sa ponoria do toho, ako spoločnosť zaobchádza s malvérom a zneužívaním kódu nahraného do jej služby.

„Výslovne povoľujeme bezpečnostné technológie s dvojakým použitím a obsah súvisiaci s výskumom zraniteľností, malvéru a exploitov,“ uviedla spoločnosť vlastnená Microsoftom. “Chápeme, že mnohé bezpečnostné výskumné projekty na GitHub majú dvojaké použitie a sú všeobecne prospešné pre bezpečnostnú komunitu. Predpokladáme pozitívny zámer a využitie týchto projektov na podporu a riadenie zlepšení v celom ekosystéme.”

Spoločnosť uviedla, že nepovolí používanie GitHubu na priamu podporu nezákonných útokov alebo malvérových kampaní, ktoré spôsobujú technickú škodu, a uviedla, že môže podniknúť kroky na prerušenie prebiehajúcich útokov, ktoré využívajú platformu ako exploit alebo sieť na doručovanie škodlivého softvéru (CDN ).

Používatelia preto nesmú nahrávať, uverejňovať, hosťovať alebo prenášať akýkoľvek obsah, ktorý by sa mohol použiť na doručenie škodlivých spustiteľných súborov alebo zneužitie GitHubu ako útočnej infraštruktúry, povedzme organizovaním útokov DoS (Denial-of-service) alebo riadením príkazov. -and-control (C2) servery.

„Technické škody znamenajú nadmernú spotrebu zdrojov, fyzické poškodenie, prestoje, odmietnutie služby alebo stratu údajov bez implicitného alebo explicitného účelu dvojitého použitia pred zneužitím,“ uviedol GitHub.

V scenároch, kde dochádza k aktívnemu a rozšírenému zneužívaniu obsahu s dvojakým použitím, spoločnosť uviedla, že môže obmedziť prístup k takémuto obsahu tým, že ho postaví za bariéry overenia totožnosti, a ako „poslednú možnosť“ zakáže prístup alebo ho úplne odstráni, ak dôjde k inému obmedzeniu. opatrenia nie sú realizovateľné. GitHub tiež poznamenal, že bude kontaktovať príslušných vlastníkov projektov ohľadom zavedených ovládacích prvkov, ak je to možné.

Zmeny nadobudnú účinnosť po tom, čo spoločnosť koncom apríla začala žiadať spätnú väzbu o svojej politike v oblasti bezpečnostného výskumu, malvéru a exploitov na platforme s cieľom fungovať za jasnejších podmienok, ktoré by odstránili nejednoznačnosť okolo „aktívne škodlivého“. obsah“ a „kód v pokoji“ na podporu výskumu bezpečnosti.

Neodstránením exploitov, pokiaľ príslušný repozitár alebo kód nie je začlenený priamo do aktívnej kampane, je revízia zásad GitHubu tiež priamym výsledkom rozšírenej kritiky, ktorá nasledovala po zneužití kódu proof-of-concept (PoC). ktorý bol odstránený z platformy v marci 2021.

Kód, ktorý nahral bezpečnostný výskumník, sa týkal súboru bezpečnostných chýb známych ako ProxyLogon, o ktorých Microsoft prezradil, že ich zneužívali čínske štátom sponzorované hackerské skupiny na narušenie serverov Exchange po celom svete. GitHub v tom čase uviedol, že odstránil PoC v súlade so svojimi zásadami prijateľného používania, pričom uviedol, že obsahuje kód „pre nedávno odhalenú zraniteľnosť, ktorá sa aktívne využíva“.