La plataforma de alojamiento de código GitHub anunció oficialmente el viernes una serie de actualizaciones de las políticas del sitio que profundizan en cómo la empresa trata el malware y explota el código cargado en su servicio.
«Permitimos explícitamente tecnologías de seguridad de doble uso y contenido relacionado con la investigación de vulnerabilidades, malware y exploits», dijo la empresa propiedad de Microsoft. «Entendemos que muchos proyectos de investigación de seguridad en GitHub son de doble uso y ampliamente beneficiosos para la comunidad de seguridad. Asumimos una intención positiva y el uso de estos proyectos para promover e impulsar mejoras en todo el ecosistema».
Al afirmar que no permitirá el uso de GitHub en soporte directo de ataques ilegales o campañas de malware que causen daños técnicos, la compañía dijo que puede tomar medidas para interrumpir los ataques en curso que aprovechan la plataforma como un exploit o una red de entrega de contenido de malware (CDN ).
Con ese fin, los usuarios se abstienen de cargar, publicar, alojar o transmitir cualquier contenido que pueda usarse para entregar ejecutables maliciosos o abusar de GitHub como una infraestructura de ataque, por ejemplo, organizando ataques de denegación de servicio (DoS) o administrando comandos. y control (C2) servidores.
«Los daños técnicos significan el consumo excesivo de recursos, el daño físico, el tiempo de inactividad, la denegación de servicio o la pérdida de datos, sin un propósito implícito o explícito de doble uso antes de que ocurra el abuso», dijo GitHub.
En escenarios donde hay un abuso activo y generalizado de contenido de doble uso, la compañía dijo que podría restringir el acceso a dicho contenido colocándolo detrás de barreras de autenticación y, como «último recurso», deshabilitar el acceso o eliminarlo por completo cuando otra restricción Las medidas no son viables. GitHub también señaló que se comunicaría con los propietarios de proyectos relevantes sobre los controles implementados cuando sea posible.
Los cambios entraron en vigencia después de que la compañía, a fines de abril, comenzó a solicitar comentarios sobre su política en torno a la investigación de seguridad, malware y exploits en la plataforma con el objetivo de operar bajo un conjunto más claro de términos que eliminaría la ambigüedad que rodea «activamente dañino». contenido «y» código en reposo «en apoyo de la investigación de seguridad.
Al no eliminar exploits a menos que el repositorio o el código en cuestión se incorpore directamente a una campaña activa, la revisión de las políticas de GitHub también es un resultado directo de las críticas generalizadas que siguieron a las consecuencias de un código de exploit de prueba de concepto (PoC). que se eliminó de la plataforma en marzo de 2021.
El código, subido por un investigador de seguridad, se refería a un conjunto de fallas de seguridad conocidas como ProxyLogon que, según reveló Microsoft, estaban siendo abusadas por grupos de piratería patrocinados por el estado chino para violar los servidores de Exchange en todo el mundo. GitHub en ese momento dijo que eliminó el PoC de acuerdo con sus políticas de uso aceptable, citando que incluía un código «para una vulnerabilidad recientemente revelada que se está explotando activamente».
