Microsoft-ägda GitHub har uppdaterat sina policyer för delning av skadlig kod och exploatering på webbplatsen för att bättre stödja säkerhetsforskare som delar så kallad “dual-use” -programvara – eller programvara som kan användas för säkerhet forskning men som kan användas för att attackera nätverk.
Det erkänner att språket det tidigare använde var “alltför brett”.
“Vi tillåter uttryckligen säkerhetsteknik med dubbla användningsområden och innehåll relaterat till forskning om sårbarheter, skadlig programvara och exploatering”, säger Michael Hanley, säkerhetschef för GitHub, i ett blogginlägg.
SE: Nätverkssäkerhetspolicy (TechRepublic Premium)
Teknik med dubbla användningsområden inkluderar verktyg som Metasploit-ramverket och Mimikatz, som används av försvarare, ransomware-angripare och statligt sponsrade hotaktörer för att kompromissa med nätverk och flytta runt nätverk efter att de har äventyrats.
“Även om många av dessa verktyg kan missbrukas, har vi inte för avsikt eller vill bedöma avsikt eller lösa frågan om missbruk av projekt med dubbla användningsområden som finns på GitHub,” sa företaget i sin begäran om utnyttjande och skadlig kod.
“Många av de projekt som citeras i denna pågående diskussion, såsom mimikatz, metasploit och andra, är alla otroligt värdefulla verktyg och målet är att ytterligare skydda från vad vi ansåg var alltför brett språk i våra befintliga [Acceptable Use Policies] som kan vara ses som fientliga mot dessa projekt som skrivna. “
GitHub har också klargjort när det kan störa pågående attacker som använder GitHub som ett innehållsleveransnätverk (CDN) för att distribuera exploater eller skadlig kod. GitHub erkände att dess språk kring termen “skada” var för vid.
“Vi tillåter inte användning av GitHub för direkt stöd för olagliga attacker som orsakar teknisk skada, vilket vi ytterligare har definierat som överkonsumtion av resurser, fysisk skada, driftstopp, förnekande av tjänst eller dataförlust”, konstaterar Hanley.
Den uppdaterade också delar av policyn som ber forskare som arbetar med projekt med dubbla användningsområden tillhandahålla en kontaktpunkt, men detta är inte obligatoriskt.
Policyuppdateringen följer på en granskning som GitHub initierade i april efter att den tog bort kod från forskaren Nguyen Jang i mars. Jang hade publicerat proof-of-concept (PoC) exploateringskod inriktad på två av fyra nolldagars sårbarheter – kallad ProxyLogon – som påverkar lokala Exchange-servrar.
Microsoft släppte lappar för buggarna den 2 mars, men varnade för att en kinesisk statligt sponsrad grupp Hafnium hade utnyttjat bristerna innan den släppte lappar. Microsoft varnade också för att buggarna snabbt kunde utnyttjas av andra hotaktörer innan kunderna använde patchar.
Den 9 mars delade Jang sin proof-of-concept-exploatering på GitHub, som rapporterats av The Record. Även om det bara är en poC för två av Exchange-brister, kan koden justeras med liten ansträngning för att utnyttja utsatta Exchange-e-postservrar och få exekvering av fjärrkod, enligt experter.
Och vid den tiden är det fortfarande många organisationer hade inte lappat påverkade Exchange-servrar.
SE: Cloud computing: Microsoft anger nya datalagringsalternativ för europeiska kunder
Per moderkort tog GitHub ner Jangs PoC några timmar efter att han publicerat det på grund av den potentiella skada det kan orsaka, men erkände att PoC-exploateringskod kan vara till hjälp för säkerhetsgemenskapen för forskningsändamål.
GitHub kom under beskydd från säkerhetsforskare eftersom det såg ut som om det gjorde ett undantag för PoC-exploateringskoden som påverkade Microsofts programvara samtidigt som forskare kunde dela PoC-kod för andra produkter än Microsoft på webbplatsen, som Googles säkerhet forskare Tavis Ormandy påpekade på Twitter.
Det andra politiska alternativet är att förbjuda delning av PoC-exploateringskod, men Ormandy hävdade att detta skulle vara ett dåligt resultat för försvararna.
“Jag säger att säkerhetsproffs drar nytta av öppet att dela forskning och tillgång till verktyg, och de gör oss säkrare. Vi kan säga” ingen delning “, så det finns bara tillgång till svarta marknaderna till exploater. Jag tror inte det är en vinst , skrev Ormandy.
Microsoft
Microsoft avslöjar vad som är nästa för Windows den 24 juni Microsoft förvärvar ReFirm Labs för att öka sina IoT-säkerhetserbjudanden Microsoft avslöjade just framtiden för arbetet. Det finns ett stort problem Microsoft 365 (tidigare Office 365) för företag: Allt du behöver veta
Relaterade ämnen:
Microsoft Security TV Data Management CXO Data Centers 