Nuevas políticas de GitHub permiten la eliminación de exploits PoC

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub anunció el viernes sus pautas comunitarias actualizadas que explican cómo la compañía lidiará con las vulnerabilidades y las muestras de malware alojadas en su servicio.

Para dar algunos antecedentes detrás de los nuevos cambios de política, el investigador de seguridad Nguyen Jang subió un exploit de prueba de concepto (PoC) a GitHub en marzo para la vulnerabilidad de Microsoft Exchange ProxyLogon.

Poco después de cargar el exploit, Jang recibió un correo electrónico de GitHub, propiedad de Microsoft, que indicaba que el exploit PoC se eliminó porque violaba las Políticas de uso aceptable.

En una declaración, GitHub dijo que eliminaron el PoC para proteger los servidores de Microsoft Exchange que estaban siendo fuertemente explotados en ese momento usando la vulnerabilidad.

    "Entendemos que la publicación y distribución de código de explotación de prueba de concepto tiene un valor educativo y de investigación para la comunidad de seguridad, y nuestro objetivo es equilibrar ese beneficio con mantener seguro el ecosistema en general. De acuerdo con nuestras Políticas de uso aceptable, GitHub deshabilitó la esencia después de los informes de que contiene un código de prueba de concepto para una vulnerabilidad recientemente revelada que se está explotando activamente.". - GitHub.

Sin embargo, GitHub enfrentó una reacción inmediata de los investigadores de seguridad que sintieron que GitHub estaba controlando la divulgación de investigaciones de seguridad legítimas simplemente porque afectaba a un producto de Microsoft.

GitHub lanza pautas actualizadas

En abril, GitHub emitió una 'llamada para recibir comentarios' a la comunidad de ciberseguridad con respecto a sus políticas para malware y exploits alojados en GitHub.

Después de un mes de entrada, GitHub anunció oficialmente ayer que los repositorios creados para alojar malware para campañas maliciosas, actuar como un servidor de comando y control, o se utilizan para distribuir scripts maliciosos, están prohibidos.

Sin embargo, la carga de vulnerabilidades de PoC y malware está permitida siempre que tengan un propósito de doble usuario.

En el contexto del malware y los exploits, el uso dual significa contenido que se puede utilizar para el intercambio positivo de nueva información e investigación y, al mismo tiempo, también se puede utilizar con fines maliciosos.

Los cambios clave agregados a las pautas de GitHub se resumen a continuación:

•   Permitimos explícitamente tecnologías de seguridad de doble uso y contenido relacionado con la investigación de vulnerabilidades, malware y exploits. Entendemos que muchos proyectos de investigación de seguridad en GitHub son de doble uso y ampliamente beneficiosos para la comunidad de seguridad. Asumimos la intención positiva y el uso de estos proyectos para promover e impulsar mejoras en todo el ecosistema. Este cambio modifica un lenguaje previamente amplio que podría malinterpretarse como hostil hacia proyectos de doble uso, aclarando que dichos proyectos son bienvenidos.

•   Hemos aclarado cómo y cuándo podemos interrumpir los ataques en curso que aprovechan la plataforma GitHub como una red de distribución de contenido (CDN) de exploits o malware. No permitimos el uso de GitHub en apoyo directo de ataques ilegales que causan daños técnicos, que además hemos definido como consumo excesivo de recursos, daño físico, tiempo de inactividad, denegación de servicio o pérdida de datos.

•   Dejamos en claro que tenemos un proceso de apelación y restablecimiento directamente en esta política. Permitimos a nuestros usuarios apelar decisiones para restringir su contenido o acceso a la cuenta. Esto es especialmente importante en el contexto de la investigación de seguridad, por lo que hemos mencionado de manera muy clara y directa la capacidad de los usuarios afectados de apelar las acciones tomadas contra su contenido.

•   Hemos sugerido un medio por el cual las partes pueden resolver disputas antes de escalar y denunciar el abuso a GitHub. Esto aparece en forma de una recomendación para aprovechar un archivo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta opcional para que el proyecto proporcione información de contacto para resolver informes de abuso. Esto anima a los miembros de nuestra comunidad a resolver los conflictos directamente con los encargados del mantenimiento del proyecto sin requerir informes formales de abuso de GitHub.

Si bien se permite el contenido de doble uso, las nuevas pautas de GitHub sobre PoC y malware establecen que conservan el derecho de eliminar el contenido de doble uso, como exploits o malware, para interrumpir los ataques activos o las campañas de malware que utilizan GitHub.

"En casos excepcionales de abuso muy generalizado del contenido de doble uso, podemos restringir el acceso a esa instancia específica del contenido para interrumpir un ataque ilegal o una campaña de malware en curso que aproveche la plataforma GitHub como un exploit o CDN de malware. En la mayoría de estos casos, la restricción toma la forma de poner el contenido detrás de la autenticación, pero puede, como una opción de último recurso, implicar la desactivación del acceso o la eliminación completa cuando esto no sea posible (por ejemplo, cuando se publique como una esencia). También nos pondremos en contacto con los propietarios del proyecto sobre las restricciones establecidas cuando sea posible.

Las restricciones son temporales cuando sea posible y no tienen el propósito de eliminar o restringir ningún contenido específico de doble uso, o copias de ese contenido, de la plataforma a perpetuidad. Si bien nuestro objetivo es hacer de estos raros casos de restricción un proceso de colaboración con los propietarios del proyecto, si cree que su contenido se restringió indebidamente, contamos con un proceso de apelación." - GitHub.

GitHub afirma que continúan apoyando los comentarios de la comunidad con respecto a sus políticas para continuar mejorando sus políticas.

Actualización 5/6/21: Se eliminó un comentario al RP ya que estaba relacionado con el lenguaje propuesto anteriormente y no con las pautas actuales.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta