Security: Github erlaubt Exploits zur Forschung

Noch im März hatte Github Exploit-Code von seiner Plattform gelöscht. Nach langer Diskussion ist solcher Code nun aber explizit erlaubt.

Artikel veröffentlicht am ,
Github passt die Regeln für Exploit-Code an.
Github passt die Regeln für Exploit-Code an. (Bild: Github)

Der Code-Hoster Github hat seine Richtlinien für "Exploits, Schadsoftware und Sicherheitsforschung" aktualisiert, wie das zu Microsoft gehörende Unternehmen in seinem Blog ankündigt. Damit stellt das Unternehmen explizit klar, dass künftig auch sogenannter Dual-Use-Code auf der Code-Sharing Plattform veröffentlicht werden darf.

Vorausgegangen ist der aktuellen Ankündigung eine längere Diskussion, die wohl dadurch ausgelöst wurde, dass ein Sicherheitsforscher im März dieses Jahres auf Github funktionierenden Code zum Ausnutzen der Sicherheitslücke veröffentlicht hat, die Grundlage der zahlreichen Exchange-Hacks gewesen ist. Github selbst hatte den Code jedoch nur wenige Stunden später gelöscht.

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken solch großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Github will bei Missbrauch weiter löschen

Zum Vorgehen und insbesondere zum Zeitpunk derartiger Veröffentlichungen herrscht aber durchaus Uneinigkeit unter Sicherheitsforschern. Immerhin ermöglicht es der Exploit-Code unter Umständen auch Dritten, leicht entsprechende Lücken auszunutzen. Github stellt sich hier nun aber auf die Seite der Befürworter einer Veröffentlichung. "Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben", schreibt der Code-Hoster dazu. Bisher sei dies zu vage formuliert gewesen und habe zu viel Raum für Interpretation gegeben.

Weiterhin unterbinden werde Github aber den Missbrauch seiner Dienste etwa als Content-Deliver-Network (CDN) für aktive Angriffe, die Schäden wie Datenverlust, Server-Downtime oder DDoS-Angriffe anrichten. Darüber hinaus stellt Github klar, dass das Unternehmen einen klaren Prozess für Widersprüche habe, falls Inhalte gesperrt werden.

Github empfiehlt außerdem das Anlegen einer Security.md-Textdatei in den Kontaktinformationen, die hinterlegt werden sollen. So soll ein möglicher Missbrauch direkt zwischen eventuell betroffenen Unternehmen und den Entwicklern der Exploit geklärt werden können. Dies umgeht eventuell auch eine Klärung durch Github selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /