Security: Github erlaubt Exploits zur Forschung

Noch im März hatte Github Exploit-Code von seiner Plattform gelöscht. Nach langer Diskussion ist solcher Code nun aber explizit erlaubt.

Artikel veröffentlicht am ,
Github passt die Regeln für Exploit-Code an.
Github passt die Regeln für Exploit-Code an. (Bild: Github)

Der Code-Hoster Github hat seine Richtlinien für "Exploits, Schadsoftware und Sicherheitsforschung" aktualisiert, wie das zu Microsoft gehörende Unternehmen in seinem Blog ankündigt. Damit stellt das Unternehmen explizit klar, dass künftig auch sogenannter Dual-Use-Code auf der Code-Sharing Plattform veröffentlicht werden darf.

Stellenmarkt
  1. Junior Sales Controller (m/w/div.)
    DMG MORI Management GmbH, Bielefeld
  2. Digital Officer (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Hamburg
Detailsuche

Vorausgegangen ist der aktuellen Ankündigung eine längere Diskussion, die wohl dadurch ausgelöst wurde, dass ein Sicherheitsforscher im März dieses Jahres auf Github funktionierenden Code zum Ausnutzen der Sicherheitslücke veröffentlicht hat, die Grundlage der zahlreichen Exchange-Hacks gewesen ist. Github selbst hatte den Code jedoch nur wenige Stunden später gelöscht.

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken solch großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Github will bei Missbrauch weiter löschen

Zum Vorgehen und insbesondere zum Zeitpunk derartiger Veröffentlichungen herrscht aber durchaus Uneinigkeit unter Sicherheitsforschern. Immerhin ermöglicht es der Exploit-Code unter Umständen auch Dritten, leicht entsprechende Lücken auszunutzen. Github stellt sich hier nun aber auf die Seite der Befürworter einer Veröffentlichung. "Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben", schreibt der Code-Hoster dazu. Bisher sei dies zu vage formuliert gewesen und habe zu viel Raum für Interpretation gegeben.

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)
Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Weiterhin unterbinden werde Github aber den Missbrauch seiner Dienste etwa als Content-Deliver-Network (CDN) für aktive Angriffe, die Schäden wie Datenverlust, Server-Downtime oder DDoS-Angriffe anrichten. Darüber hinaus stellt Github klar, dass das Unternehmen einen klaren Prozess für Widersprüche habe, falls Inhalte gesperrt werden.

Github empfiehlt außerdem das Anlegen einer Security.md-Textdatei in den Kontaktinformationen, die hinterlegt werden sollen. So soll ein möglicher Missbrauch direkt zwischen eventuell betroffenen Unternehmen und den Entwicklern der Exploit geklärt werden können. Dies umgeht eventuell auch eine Klärung durch Github selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Versionsverwaltung mit Git: Praxiseinstieg bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Square Enix: Action-Adventure mit den Guardians of the Galaxy angekündigt
    Square Enix
    Action-Adventure mit den Guardians of the Galaxy angekündigt

    E3 2021 Erinnert an Mass Effect, aber mit Humor und Groot: Square Enix will noch 2021 das Solo-Abenteuer Guardians of the Galaxy veröffentlichen.

  3. Bethesda: Starfield mit Rätseln und Doom Eternal mit 120 fps
    Bethesda
    Starfield mit Rätseln und Doom Eternal mit 120 fps

    E3 2021 Der Teaser von Starfield lädt zum Knoblen ein, Redfall bietet Blutsauger - und Doom Eternal erhält das Next-Gen-Grafikupdate.

Kommentarübersicht

Kommentieren

Folgen Sie uns
       
Verwandte Artikel
artikel-bild
Freitag
Qnap-Ransomware, Leiharbeit bei Google, Github gegen Miner
artikel-bild
Code-Hoster
Github will einfache und effektive Sicherheit
artikel-bild
Firefox, Homepod Mini, Exchange
Apple versteckt geheime Sensoren
artikel-bild
Microsoft
FBI löscht Exchange-Trojaner von befallenen Rechnern
Meistgelesen
artikel-bild
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr
artikel-bild
Fifa, Battlefield und Co.
Der EA-Hack startete mit Cookies für 10 US-Dollar
artikel-bild
Zhurong
Chinesischer Marsrover sendet hochauflösende Selfies zurück
artikel-bild
Ubisoft
Avatar statt Assassin's Creed
Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /