Бесплатно Экспресс-аудит сайта:

08.06.2021

Новые политики GitHub оставляют за сервисом право удалять PoC-эксплоиты

Администрация GitHub представила обновленное руководство для сообщества, в котором объясняется, что делать компаниям, обнаружившим в своих сервисах эксплоиты и вредоносное ПО.

Для начала приведем небольшую предысторию, послужившую причиной изменений в политиках GitHub. В марте нынешнего года исследователь безопасности Нгуен Янг (Nguyen Jang) опубликовал на GitHub PoC-эксплоит для уязвимостей в Microsoft Exchange, известных как ProxyLogon. Вскоре после этого он получил письмо от GitHub (принадлежит компании Microsoft), в котором сообщалось, что PoC-эксплоит был удален, поскольку нарушал Политики приемлемого пользования.

В то время серверы Microsoft Exchange массово атаковались хакерами, и администрация GitHub удалила PoC-эксплоит во избежание еще большего распространения атак. Тем не менее, сервис немедленно подвергся критике со стороны исследователей, заявивших, что GitHub проводит свою политику очень избирательно, и опубликованный исключительно в образовательных целях PoC-эксплоит для ProxyLogon был удален только потому, что затрагивал продукты Microsoft.

В связи с этим в апреле руководство GitHub открыло опрос для исследователей безопасности с целью узнать их мнение о политиках в отношении публикуемых на платформе эксплоитов и образцов вредоносного ПО. Опрос проводился в течение месяца, и теперь GitHub представил официальные выводы – репозитории, созданные для хостинга вредоносного ПО, использующиеся в качестве C&C-серверов в вредоносных кампаниях или предназначенные для распространения вредоносных скриптов, на GitHub запрещены.

Публикация на платформе PoC-эксплоитов и образцов вредоносного ПО разрешена, только если они предназначены для двойного использования. В контексте вредоносного ПО и эксплоитов двойное использование означает, что контент публикуется в исследовательских и образовательных целях, хотя теоретически также может быть использован со злым умыслом. При этом GitHub оставляет за собой право удалять контент двойного использования, если он применяется в активных вредоносных кампаниях с использованием GitHub.