Patt mit Forschern könnte sich abzeichnen, da GitHub strengere Richtlinien einführt

Cyber Security News

GitHub-CEO Nat Friedman spricht bei GitHub Universe 2020. GitHub hat am Donnerstag die Kommentare der Sicherheitsforschungs-Community zu seinen neuen, scheinbar strengeren Richtlinien für die Veröffentlichung von Malware und Proof-of-Concept-Exploits eingeholt. (GitHub)

GitHub hat am Donnerstag die Kommentare der Sicherheitsforschungs-Community zu seinen neuen, offenbar strengeren Richtlinien für das Posten von Malware und Proof-of-Concept-Exploits eingeholt.

Einige dieser Änderungen gehen auf einen Monat zurück, als GitHub, das zu Microsoft gehört, einen Proof-of-Concept-Exploit für die sogenannten ProxyLogOn-Schwachstellen in Microsoft Exchange entfernte, die zu mehr als 100.000 Serverinfektionen geführt haben. Es gab auch andere Vorfälle, die mehr als ein Jahr zurückliegen, bei denen festgestellt wurde, dass GitHub-Repositories mit Malware infiziert waren und für einen Supply-Chain-Angriff ausgenutzt werden konnten.

Sicherheitsforscher sind auf GitHub als Plattform angewiesen, auf der sie testen und experimentieren können.

GitHub, das Forscher als Plattform nutzen, auf der sie testen und experimentieren können, sagte in einem Blog-Post, dass sich diese Updates auch darauf konzentrieren, Unklarheiten zu beseitigen, wie die Plattform Begriffe wie “Exploit”, “Malware” und “Lieferung” definiert – das Bemühen der Plattform, ihre Erwartungen und Absichten klar zu formulieren.

Sicherheitsforscher sind der Meinung, dass GitHub eine Menge Arbeit vor sich hat. Zum Beispiel, wenn und wenn Software jemals entfernt wird, müsste GitHub einen sehr klaren und transparenten Grund umreißen, sonst werden die Benutzer wahrscheinlich rebellieren und zu anderen Plattformen fliehen, sagte Sean Nikkel, Senior Cyber Threat Intel Analyst bei Digital Shadows.

Nikkel sagte, einige Forscher haben große Punkte mit bestehenden off-the-shelf, legitime Werkzeuge wie Metasploit oder Mimikatz, oder andere ähnliche Software, die Angreifer häufig missbrauchen angesprochen.

“Sind diese nun auch illegitim? Während der Beginn der öffentlichen Diskussion ein wichtiger Schritt ist, muss den GitHub-Benutzern die Transparenz über das Endziel und die Zukunft klar dargelegt werden”, sagte Nikkel. “Angenommen, GitHub unternimmt am Ende stärkere Schritte, um festzulegen, was auf der Plattform akzeptabel ist. In diesem Fall müssten die Bedingungen, was als tatsächlicher Angriff oder Bedrohung verstanden wird, auch ziemlich klar dargelegt werden, und zwar in Begriffen, die von der Sicherheits-Community und den allgemeinen Nutzern der Plattform verstanden werden.”

Es ist zwar eine nette Geste von GitHub, die Plattform sicherheitsforscherfreundlicher zu machen und gleichzeitig zu versuchen, die hochgeladenen Inhalte zu regulieren, aber “Ideen sind nicht immer so einfach zu realisieren, wie sie ursprünglich erwartet wurden”, sagte Kamila Tukhvatullina, Sicherheitsanalystin bei Lucy Security.

“Dieses Dilemma besteht schon so lange, wie GitHub ein beliebter Ort zum Speichern von Code ist”, sagte Tukhvatullina. “Forscher haben (und tun es immer noch) Malware, Ransomware-Samples, Exploits und Tools zur Penetration veröffentlicht. Es ist eine zweiseitige Medaille: GitHub ist eine großartige Plattform, um sich mit Forscherkollegen auszutauschen und seine Arbeit zu präsentieren, aber letztlich ist es auch eine kostenlose Materialquelle für Cyberkriminelle. Ich finde es ein sensibles Thema und erwarte nicht, dass beide Parteien – GitHub und Forscher – bald einen Konsens finden werden.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com