GitHub: Ето как променяме правилата си за изследване на уязвимостта на зловредния софтуер и софтуера

GitHub, собственост на Microsoft, актуализира своите политики за споделяне на злонамерен софтуер и експлойти на сайта, за да подпомогне по-добре изследователите на сигурността, споделящи така наречения софтуер с „двойна употреба“ – или софтуер, който може да се използва за проучване на сигурността, но който може да се използва за атака на мрежи.

Той признава, че езикът, който преди е използвал, е „прекалено широк“.

„Ние изрично разрешаваме технологии за сигурност с двойна употреба и съдържание, свързани с изследване на уязвимости, злонамерен софтуер и експлойти,“ казва Майкъл Ханли, главен директор по сигурността на GitHub, в публикация в блог.

Технологиите с двойна употреба включват инструменти като рамката Metasploit и Mimikatz, които се използват от защитници, хакерски атакуващи агенти и спонсорирани от държавата актьори за заплаха, за да компрометират мрежите и да се движат из мрежите, след като са компрометирани.

„Въпреки че много от тези инструменти могат да бъдат злоупотребявани, ние не възнамеряваме или не искаме да преценяваме намерението или да решим въпроса за злоупотребата с проекти с двойна употреба, които се хостват в GitHub,“ компанията заяви в искането си за изтегляне по отношение на политиките за експлойт и злонамерен софтуер.

„Много от проектите, цитирани в настоящата дискусия, като mimikatz, metasploit и други, са невероятно ценни инструменти и целта е допълнително да се предпазим от това, което смятахме, че е твърде широк език в съществуващите ни [Acceptable Use Policies] което може да се разглежда като враждебно към тези проекти, както е написано. “

GitHub също така изясни кога може да наруши продължаващите атаки, които използват GitHub като мрежа за доставка на съдържание (CDN) за разпространение на експлойти или злонамерен софтуер. GitHub призна, че езикът му около термина “вреда” е твърде широк.

„Не разрешаваме използването на GitHub в директна поддръжка на незаконни атаки, които причиняват техническа вреда, която по-нататък определихме като прекомерно потребление на ресурси, физическа повреда, престой, отказ на услуга или загуба на данни“, отбелязва Ханли.

Той също така актуализира раздели на политиката, призовава изследователите, работещи по проекти с двойна употреба, да предоставят контактна точка, но това не е задължително.

Актуализацията на политиката е след преглед, който GitHub инициира през април, след като изтегли код от изследователя Нгуен Джанг през март. Jang е публикувал код за доказателство за концепция (PoC), насочен към две от четирите уязвимости с нулев ден – наречен ProxyLogon – засягащи локалните сървъри на Exchange.

Microsoft пусна корекции за грешките на 2 март, но предупреди, че финансирана от държавата китайска група Hafnium е използвала недостатъците, преди да пусне корекции. Microsoft също предупреди, че грешките могат бързо да бъдат използвани от други участници в заплахата, преди клиентите да приложат корекции.

На 9 март Джанг сподели своя експлойт с доказателство за концепция на GitHub, както съобщава The Record. Въпреки че е само PoC за два от недостатъците на Exchange, кодът може да бъде променен с малко усилия, за да се използват уязвими сървъри за електронна поща на Exchange и да се получи отдалечено изпълнение на код, според експерти.

И в този момент много организации все още не са закърпили засегнатите сървъри на Exchange.

На дънна платка, GitHub свали PoC на Jang няколко часа след като го публикува поради потенциалните щети, които може да причини, но призна, че кодът за експлоатация на PoC може да бъде полезен на общността за сигурност за изследователски цели.

GitHub беше подложен на обстрел от изследователи по сигурността, защото изглеждаше, че прави изключение за PoC експлойт код, засягащ софтуера на Microsoft майка, като същевременно позволява на изследователите да споделят PoC код за продукти, които не са на Microsoft на сайта, както посочи в Twitter изследователят на сигурността на Google Тавис Орманди.

Другият вариант на политика е да се забрани споделянето на код за експлоатация на PoC, но Орманди заяви, че това би било лош резултат за защитниците.

“Казвам, че професионалистите в областта на сигурността се възползват от откритото споделяне на научни изследвания и достъп до инструменти и ни правят по-безопасни. Бихме могли да кажем” не споделяне “, така че има достъп само до черния пазар до експлойти. , “написа Орманди.



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com