Security: Github erlaubt Exploits zur Forschung

Noch im März hatte Github Exploit-Code von seiner Plattform gelöscht. Nach langer Diskussion ist solcher Code nun aber explizit erlaubt.

Artikel veröffentlicht am ,
Github passt die Regeln für Exploit-Code an.
Github passt die Regeln für Exploit-Code an. (Bild: Github)

Der Code-Hoster Github hat seine Richtlinien für "Exploits, Schadsoftware und Sicherheitsforschung" aktualisiert, wie das zu Microsoft gehörende Unternehmen in seinem Blog ankündigt. Damit stellt das Unternehmen explizit klar, dass künftig auch sogenannter Dual-Use-Code auf der Code-Sharing Plattform veröffentlicht werden darf.

Stellenmarkt
  1. IT Support (m/w/d) First Level
    GK Software SE, Schöneck/Vogtland, Hamburg
  2. Wissenschaftliche Mitarbeiter / innen (w/m/d)
    Statistisches Bundesamt, Wiesbaden
Detailsuche

Vorausgegangen ist der aktuellen Ankündigung eine längere Diskussion, die wohl dadurch ausgelöst wurde, dass ein Sicherheitsforscher im März dieses Jahres auf Github funktionierenden Code zum Ausnutzen der Sicherheitslücke veröffentlicht hat, die Grundlage der zahlreichen Exchange-Hacks gewesen ist. Github selbst hatte den Code jedoch nur wenige Stunden später gelöscht.

In Kreisen von Sicherheitsforschern ist es insbesondere bei Lücken solch großen Ausmaßes üblich, dass Code zur Ausnutzung der Lücken frei ausgetauscht wird. Dies geschieht etwa, um Angriffsvektoren besser zu verstehen und so auch Maßnahmen zur Verteidigung umzusetzen. Mit dem Open-Source-Werkzeugkasten Metasploit existiert sogar ein riesiges Framework für genau diesen Zweck.

Github will bei Missbrauch weiter löschen

Zum Vorgehen und insbesondere zum Zeitpunk derartiger Veröffentlichungen herrscht aber durchaus Uneinigkeit unter Sicherheitsforschern. Immerhin ermöglicht es der Exploit-Code unter Umständen auch Dritten, leicht entsprechende Lücken auszunutzen. Github stellt sich hier nun aber auf die Seite der Befürworter einer Veröffentlichung. "Wir gehen von einer positiven Absicht und Nutzung dieser Projekte aus, um Verbesserungen im gesamten Ökosystem zu fördern und voranzutreiben", schreibt der Code-Hoster dazu. Bisher sei dies zu vage formuliert gewesen und habe zu viel Raum für Interpretation gegeben.

Versionsverwaltung mit Git: Praxiseinstieg (mitp Professional)
Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Weiterhin unterbinden werde Github aber den Missbrauch seiner Dienste etwa als Content-Deliver-Network (CDN) für aktive Angriffe, die Schäden wie Datenverlust, Server-Downtime oder DDoS-Angriffe anrichten. Darüber hinaus stellt Github klar, dass das Unternehmen einen klaren Prozess für Widersprüche habe, falls Inhalte gesperrt werden.

Github empfiehlt außerdem das Anlegen einer Security.md-Textdatei in den Kontaktinformationen, die hinterlegt werden sollen. So soll ein möglicher Missbrauch direkt zwischen eventuell betroffenen Unternehmen und den Entwicklern der Exploit geklärt werden können. Dies umgeht eventuell auch eine Klärung durch Github selbst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Plugin-Hybride
Autoindustrie wehrt sich gegen höhere Förderauflagen

Die Regierung will die Förderung von Plugin-Hybriden nur noch von der Reichweite abhängig machen. Zudem werden künftig Kleinstautos gefördert.
Ein Bericht von Friedhelm Greis

Plugin-Hybride: Autoindustrie wehrt sich gegen höhere Förderauflagen
Artikel
  1. Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter
    Windows und Office
    Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

    Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

  2. Fake-News und Hassrede: Facebook löscht 150 Konten der Querdenker
    Fake-News und Hassrede
    Facebook löscht 150 Konten der Querdenker

    Nach Ansicht von Facebook hat die Querdenker-Bewegung "bedrohliche Netzwerke" gebildet und gegen Gemeinschaftsregeln verstoßen.

  3. Gopro Hero 10 Black ausprobiert: Gopros neue Kamera ist die Schnellste
    Gopro Hero 10 Black ausprobiert
    Gopros neue Kamera ist die Schnellste

    Endlich ein neuer Chip und mehr Zeitlupe! Wo Gopros Action-Kamera das Vorgängermodell schlägt, konnten wir vor dem Produktstart ausprobieren.
    Von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /