Security: Github erlaubt Exploits zur Forschung

Noch im März hatte Github Exploit-Code von seiner Plattform gelöscht. Nach langer Diskussion ist solcher Code nun aber explizit erlaubt.

Artikel veröffentlicht am ,
Github passt die Regeln für Exploit-Code an.
Github passt die Regeln für Exploit-Code an. (Bild: Github)

Der Code-Hoster Github hat seine Richtlinien für "Exploits, Schadsoftware und Sicherheitsforschung" aktualisiert, wie das zu Microsoft gehörende Unternehmen in seinem Blog ankündigt. Damit stellt das Unternehmen explizit klar, dass künftig auch sogenannter Dual-Use-Code auf der Code-Sharing Plattform veröffentlicht werden darf.

Stellenmarkt
  1. Expertinnen bzw. Experten Qualitätssicherung in der Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. Senior Case Manager / Senior Case Managerin (m/w/d)
    STRABAG PROPERTY & FACILITY SERVICES GMBH, Hamburg, Leipzig
Detailsuche

Vorausgegangen ist der aktuellen Ankündigung eine längere Diskussion, die wohl dadurch ausgelöst wurde, dass ein Sicherheitsforscher im März dieses Jahres auf Github funktionierenden Code zum Ausnutzen der Sicherheitslücke veröffentlicht hat, die Grundlage der zahlreichen Exchange-Hacks gewesen ist. Github selbst hatte den Code jedoch nur wenige Stunden später gelöscht.

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken solch großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Github will bei Missbrauch weiter löschen

Zum Vorgehen und insbesondere zum Zeitpunk derartiger Veröffentlichungen herrscht aber durchaus Uneinigkeit unter Sicherheitsforschern. Immerhin ermöglicht es der Exploit-Code unter Umständen auch Dritten, leicht entsprechende Lücken auszunutzen. Github stellt sich hier nun aber auf die Seite der Befürworter einer Veröffentlichung. "Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben", schreibt der Code-Hoster dazu. Bisher sei dies zu vage formuliert gewesen und habe zu viel Raum für Interpretation gegeben.

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)
Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
Weitere IT-Trainings

Weiterhin unterbinden werde Github aber den Missbrauch seiner Dienste etwa als Content-Deliver-Network (CDN) für aktive Angriffe, die Schäden wie Datenverlust, Server-Downtime oder DDoS-Angriffe anrichten. Darüber hinaus stellt Github klar, dass das Unternehmen einen klaren Prozess für Widersprüche habe, falls Inhalte gesperrt werden.

Github empfiehlt außerdem das Anlegen einer Security.md-Textdatei in den Kontaktinformationen, die hinterlegt werden sollen. So soll ein möglicher Missbrauch direkt zwischen eventuell betroffenen Unternehmen und den Entwicklern der Exploit geklärt werden können. Dies umgeht eventuell auch eine Klärung durch Github selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer Entwickler will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Deutsche Telekom: iPads für mehr als 400.000 Schüler in Rheinland-Pfalz
    Deutsche Telekom
    iPads für mehr als 400.000 Schüler in Rheinland-Pfalz

    Rheinland-Pfalz beschafft iPads für 1.660 Schulen. Die Ausschreibung hat die Deutsche Telekom gewonnen. Auch Notebooks gibt es.

  2. Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
    Bundesservice Telekommunikation  
    Ist eine scheinexistente Behörde für Wikipedia relevant?

    Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

  3. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB bei Mindfactory • MindStar (u.a. GTX 1660 6GB 499€) • Bosch Professional zu Bestpreisen • WSV bei MediaMarkt • Asus Gaming-Notebook 17“ R9 RTX3060 • 1.599€ Philips OLED 65" Ambilight 1.699€ • RX 6900 16GB 1.499€ • Samsung QLED-TVs günstiger [Werbung]
    •  /