Security: Github erlaubt Exploits zur Forschung
Noch im März hatte Github Exploit-Code von seiner Plattform gelöscht. Nach langer Diskussion ist solcher Code nun aber explizit erlaubt.

Der Code-Hoster Github hat seine Richtlinien für "Exploits, Schadsoftware und Sicherheitsforschung" aktualisiert, wie das zu Microsoft gehörende Unternehmen in seinem Blog ankündigt. Damit stellt das Unternehmen explizit klar, dass künftig auch sogenannter Dual-Use-Code auf der Code-Sharing Plattform veröffentlicht werden darf.
Vorausgegangen ist der aktuellen Ankündigung eine längere Diskussion, die wohl dadurch ausgelöst wurde, dass ein Sicherheitsforscher im März dieses Jahres auf Github funktionierenden Code zum Ausnutzen der Sicherheitslücke veröffentlicht hat, die Grundlage der zahlreichen Exchange-Hacks gewesen ist. Github selbst hatte den Code jedoch nur wenige Stunden später gelöscht.
In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken solch großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.
Github will bei Missbrauch weiter löschen
Zum Vorgehen und insbesondere zum Zeitpunk derartiger Veröffentlichungen herrscht aber durchaus Uneinigkeit unter Sicherheitsforschern. Immerhin ermöglicht es der Exploit-Code unter Umständen auch Dritten, leicht entsprechende Lücken auszunutzen. Github stellt sich hier nun aber auf die Seite der Befürworter einer Veröffentlichung. "Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben", schreibt der Code-Hoster dazu. Bisher sei dies zu vage formuliert gewesen und habe zu viel Raum für Interpretation gegeben.
Weiterhin unterbinden werde Github aber den Missbrauch seiner Dienste etwa als Content-Deliver-Network (CDN) für aktive Angriffe, die Schäden wie Datenverlust, Server-Downtime oder DDoS-Angriffe anrichten. Darüber hinaus stellt Github klar, dass das Unternehmen einen klaren Prozess für Widersprüche habe, falls Inhalte gesperrt werden.
Github empfiehlt außerdem das Anlegen einer Security.md-Textdatei in den Kontaktinformationen, die hinterlegt werden sollen. So soll ein möglicher Missbrauch direkt zwischen eventuell betroffenen Unternehmen und den Entwicklern der Exploit geklärt werden können. Dies umgeht eventuell auch eine Klärung durch Github selbst.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed