GitHub пересматривает политику размещения эксплоитов из-за недавнего скандала

GitHub пересматривает политику размещения эксплоитов из-за недавнего скандала

Разработчики GitHub хотят обсудить с ИБ-сообществом серию изменений в политиках сайта, которые определяют, как сотрудники борются с малварью и эксплоитами, загруженными на платформу.

Предлагаемые изменения подразумевают, что GitHub установит более четкие правила, относительно того, что должно считаться кодом, который используется для исследования уязвимостей, а что считается кодом, которым злоумышленники злоупотребляют для настоящих атак. Проблема в том, что сейчас эта грань размыта. Любой может загрузить на GitHub малварь или эксплоит, сопроводив пометкой «для исследования безопасности», и сотрудники GitHub, скорее всего, не тронут такой код.

Теперь GitHub просит владельцев проектов четко обозначать природу своего кода и указывать, может ли он использоваться для причинения вреда другим. Также сотрудники GitHub хотят иметь возможность вмешиваться в ситуацию в определенных случаях, в частности, ограничивать или удалять код, предназначенный для ИБ-исследований, если тот уже применяется для реальных атак.

«Эти изменения <…> направлены на устранение двусмысленности в таких терминах, как “эксплойт”, “вредоносное ПО” и “доставка”, чтобы обеспечить ясность наших ожиданий и намерений», — пишет Майк Хэнли (Mike Hanley), директор по безопасности GitHub.

Хэнли и представители GitHub просят сообщество оставлять отзывы (здесь) об этой инициативе, чтобы совместно определить, где проходит граница между исследованиями безопасности и реальным вредоносным кодом.

Происходящее — прямое следствие скандала, берущего начало еще в прошлом месяце. Напомню, что в начале марта 2021 года компания Microsoft, которой принадлежит GitHub, сообщила о серии уязвимостей ProxyLogon, которые использовались хакерскими группами для взлома серверов Exchange по всему миру.

Тогда производитель ОС выпустил патчи, а неделю спустя вьетнамский ИБ-исследователь отреверсил эти исправления и создал на их основе PoC-экслоит для ProxyLogon, который потом загрузил на GitHub. Через считанные часы после загрузки кода на GitHub, команда безопасности Microsoft вмешалась и удалила PoC эксперта, что вызвало волну возмущения в отрасли и критику в адрес Microsoft.

Хотя тогда Microsoft просто стремилась защитить от атак владельцев серверов Exchange, а GitHub в итоге позволила исследователю и другим лицам повторно загрузить код эксплоита на сайт, теперь в GitHub все же хотят устранить все двусмысленности в политиках своей платформы, чтобы подобные ситуации больше не повторялись.

Пока неясно, планирует ли GitHub прислушиваться к поученному от людей фидбеку, или компания в любом случае добрит предложенные изменения, таким образом, получив возможность возможностью вмешиваться в ситуацию, если сочтет, что определенный код может применяться для атак.

Предложение компании уже вызвало жаркие дебаты в сети, и мнения разделились. Некоторые согласны с предлагаемыми изменениями, тогда как других устраивает текущее положение вещей: когда пользователи могут сообщать о вредоносном коде на GitHub, чтобы его удалили, но при этом платформа не трогает PoC-эксплоиты, даже если ими уже злоупотребляют. Дело в том, что эксплоиты часто репостят на других платформах, поэтому удаление PoC с GitHub вовсе не означает, что злоумышленники не смогут ими воспользоваться.