В конце прошлой неделе руководство компании объявило, что вносит изменения в правила борьбы с эксплоитами и малварью, размещенными на GitHub.
Напомню, что пересмотр правил – прямое следствие скандала, разразившегося в марте 2021 года. Тогда компания Microsoft, которой принадлежит GitHub, сообщила о серии уязвимостей ProxyLogon, которые использовались хакерскими группами для взлома серверов Exchange по всему миру.
Когда производитель ОС быстро выпустил патчи, вьетнамский ИБ-исследователь отреверсил эти исправления и создал на их основе PoC-экслоит для ProxyLogon, который потом загрузил на GitHub. Через считанные часы после загрузки кода на GitHub, команда безопасности Microsoft вмешалась и удалила PoC эксперта, что вызвало волну возмущения в отрасли и критику в адрес Microsoft.
Хотя тогда Microsoft просто стремилась защитить от атак владельцев серверов Exchange, а GitHub в итоге позволила исследователю и другим лицам повторно загрузить код эксплоита на сайт, руководство GitHub решило устранить все двусмысленности в политиках своей платформы, чтобы подобные ситуации больше не повторялись.
В апреле разработчики GitHub даже провели открытое обсуждение с ИБ-сообществом, чтобы сами пользователи помогли определить, как именно сотрудники GitHub должны бороться с загруженными на платформу малварью и эксплоитами.
Теперь представители GitHub подвели итог этих обсуждений и официально объявили, что отныне репозитории, созданные для размещения вредоносных программ для вредоносных кампаний, а также репозитории, выступающие в качестве управляющих серверов или используемые для распространения вредоносных скриптов, на платформе запрещены.
При этом размещение PoC-эксплоитов и малвари в целом разрешается, если те имеют двойное назначение. В контексте малвари и эксплоитов это означает, что один и тот же инструмент может быть использован для обмена новой информацией и исследований, но в то же время может использоваться для вредоносной деятельности.
Но в новых правилах GitHub, касающихся PoC-экплоитов и вредоносных программ, сказано, что платформа сохраняет за собой право блокировать или удалять окончательно даже контент двойного назначения, если тем самым возможно предотвратить активные атак или вредоносные кампании, которые эксплуатируют GitHub, к примеру, в качестве CDN.
В компании подчеркивают, что на случай ошибочных удалений на GitHub есть процесс подачи апелляции, то есть любое решение можно обжаловать.
«В редких случаях очень масштабного злоупотребления контентом двойного назначения мы можем ограничить доступ к такому контенту, чтобы прервать текущую атаку или вредоносную кампанию, которая использует платформу GitHub для [работы] эксплоита или в качестве вредоносного CDN. В некоторых случаях такое ограничение может принимать форму помещения контента за аутентификацию, а если это невозможно, в качестве крайней меры может подразумевать отключение доступа и полное удаление [контента]. Если это возможно, мы также будем связываться с владельцами проектов и сообщать об ограничениях», — говорят в компании.
