- Регистрация
- 18.01.19
- Сообщения
- 1,603
- Депозит
- 60,333 ₽
- Сделки (гарант)
- 13
Предлагаемые изменения подразумевают, что GitHub установит более четкие правила, относительно того, что должно считаться кодом, который используется для исследования уязвимостей, а что считается кодом, которым злоумышленники злоупотребляют для настоящих атак. Проблема в том, что сейчас эта грань размыта. Любой может загрузить на GitHub малварь или эксплоит, сопроводив пометкой «для исследования безопасности», и сотрудники GitHub, скорее всего, не тронут такой код.
Теперь GitHub просит владельцев проектов четко обозначать природу своего кода и указывать, может ли он использоваться для причинения вреда другим. Также сотрудники GitHub хотят иметь возможность вмешиваться в ситуацию в определенных случаях, в частности, ограничивать или удалять код, предназначенный для ИБ-исследований, если тот уже применяется для реальных атак.
Хэнли и представители GitHub просят сообщество оставлять отзывы об этой инициативе, чтобы совместно определить, где проходит граница между исследованиями безопасности и реальным вредоносным кодом.
Происходящее — прямое следствие скандала, берущего начало еще в прошлом месяце. Напомню, что в начале марта 2021 года компания Microsoft, которой принадлежит GitHub, сообщила о серии уязвимостей ProxyLogon, которые использовались хакерскими группами для взлома серверов Exchange по всему миру.
Тогда производитель ОС выпустил патчи, а неделю спустя вьетнамский ИБ-исследователь отреверсил эти исправления и создал на их основе PoC-экслоит для ProxyLogon, который потом загрузил на GitHub. Через считанные часы после загрузки кода на GitHub, команда безопасности Microsoft вмешалась и удалила PoC эксперта, что вызвало волну возмущения в отрасли и критику в адрес Microsoft.
Хотя тогда Microsoft просто стремилась защитить от атак владельцев серверов Exchange, а GitHub в итоге позволила исследователю и другим лицам повторно загрузить код эксплоита на сайт, теперь в GitHub все же хотят устранить все двусмысленности в политиках своей платформы, чтобы подобные ситуации больше не повторялись.
Пока неясно, планирует ли GitHub прислушиваться к поученному от людей фидбеку, или компания в любом случае добрит предложенные изменения, таким образом, получив возможность возможностью вмешиваться в ситуацию, если сочтет, что определенный код может применяться для атак.
Предложение компании уже вызвало жаркие дебаты в сети, и мнения разделились. Некоторые согласны с предлагаемыми изменениями, тогда как других устраивает текущее положение вещей: когда пользователи могут сообщать о вредоносном коде на GitHub, чтобы его удалили, но при этом платформа не трогает PoC-эксплоиты, даже если ими уже злоупотребляют. Дело в том, что эксплоиты часто репостят на других платформах, поэтому удаление PoC с GitHub вовсе не означает, что злоумышленники не смогут ими воспользоваться.
