GitHub změnil podmínky, nyní může odstranit kód, který se aktivně používá k útokům

thank you microsoft

U nás na tohle existuje i zákon, tak si myslím, že GitHub chce jen ujasnit jak se věci mají než že by to bylo něco nového.

Detailni popis:

In rare cases of very widespread abuse of dual-use content, we may restrict access to that specific instance of the content to disrupt an ongoing unlawful attack or malware campaign that is leveraging the GitHub platform as an exploit or malware CDN. In most of these instances, restriction takes the form of putting the content behind authentication, but may, as an option of last resort, involve disabling access or full removal where this is not possible (e.g. when posted as a gist). We will also contact the project owners about restrictions put in place where possible.

https://github.com/github/site-policy/pull/397/files

Under no circumstances will Users upload, post, host, execute, or transmit any Content that:
...
- directly supports unlawful active attack or malware campaigns that are causing technical harms — such as using our platform to deliver malicious executables or as attack infrastructure, for example by organizing denial of service attacks or managing command and control servers — with no implicit or explicit dual-use purpose prior to the abuse occurring; or

...

to proste znamena, ze cokoliv co jde pouzit jako security testing tool, je v podstate mozne podle novych podminek smazat. Ze rikaji, ze budou hodni me nezajima, protoze se to muze zmenit podle toho jak se kdo vyspi.

Podle me je to podraz na security/pentest komunitu.

8. 6. 2021, 10:16 editováno autorem komentáře

Ale blbost. Cela zmena pravidel vznikla prave komunikaci s bezpecnostni komunitou, aby se nastavila jasnejsi pravidla. Co je podle tebe "security testing tool"? To, ze nekdo aktivne vyuziva kod na Githubu k spamovani, nebo demonstrativni PoC?

Hele, ja jen reaguju na to, co ctu. To co pisou v podstate zahrnuje vsechno, co muze byt pouzito k utoku.
Co ja povazuju za security testing tool neni relevatni. Je relevantni jen to, co oni budou povazovat za projekt co "directly supports unlawful active attack".

To co pisou v podstate zahrnuje vsechno, co muze byt pouzito k utoku.

"Directly supports", je dost podstatny a specificky pozadavek a opravdu neznamana vsechno, co muze byt pouzito. Mam vystaveny CVE PoC a nikdo ho nesmazal.. Cele to cili na skutecne problemove ucty a aktivne vyuzivane kusy kodu. To je snad legitimni, nebo ne? Nesouhlasis s tim, ze nekdo vstavy kod, umyslne , nebo i neumyslne, ktery bude aktivne vyuzivan k problemum a Git to blokne?

Tak co znamena "directly supports"? Co znamena "indirectly supports"?
Rozhodne to neni zadny presny popis toho, co tedy ten kod muze nebo nesmi obsahovat. Jestli mas nekde PoC, ktery nekdo muze directly pouzit, tak by ses asi ale bat mel.

> Nesouhlasis s tim, ze nekdo vstavy kod, umyslne , nebo i neumyslne, ktery bude aktivne vyuzivan k problemum a Git to blokne?

Ne, nesouhlasim. Urcite to verejnost toho kodu nezbavi, objevi se proste jinde. Je to jen malovani na ruzovo. Bezpecnosti vymazem takovyho kodu nijak neprispejou.

Ale samozrejme souhlasim s tim, ze M$ si muze se svym GIT hostignem delat co chce.

Pozor na to, "Jasnější pravidla" je dnes prakticky synonymum pro cenzuru. Všichni, kteří plyně ovládají "progressive newspeak" to znají. Prakticky každé zhoršení situace u Big Tech bylo zdůvodněné "jasnějšími pravidly" nebo nějak podobně. Taky o jasná pravidla vůbec nejde. Jde jako obvykle o schválně nejasná, jednostranná a arbitrární pravidla, která umožňují odstranit cokoliv bez zdůvodňování a možnosti obrany. Dopadne to stejně jako vždy. Po několika zmedializovaných exemplárních případech to vyústí vlnou strachu, která postihne všechny bez rozdílu vynucenou autocenzurou, která je co do efektu na společnost snad i horší než ta státní. Zajímalo by mě, jestli zakážou i nejpoužívanější a aktivně zneužívanou utilitu na hackování - Power Shell. Ten celý popis zdůvodnění by se dal klidně nazvat pojmy "PR bullshit" nebo "preventive damage control". Pamatujete na staré dobré "koupili jsme [skype/whatsap­p/...], ale nebojte se, nic se nezmění? Já ano. Jedno se teď ale změní. Místo opravování chyb se bude stěžovat na github, aby něco odstranil. Existují jen dvě obhajitelné možnosti:
- moderuji obsah a automaticky nesu právní a finanční odpovědnost za špatná rozhodnutí (včetně vadného algiritmu)
- nemoderuji s výjimkou soudních příkazů, odpovědnost pak nese stěžovatel.
Jakákoli další možnost je morálně závadná a nepřípustná.

Zajímalo by mě, jestli zakážou i nejpoužívanější a aktivně zneužívanou utilitu na hackování - Power Shell.

Neni k tomu zadny duvod. Myslim, ze hlavni nepochopeni je v tom aktivnim pouzivani. Cili se predevsim na botnety, C&C, ktere si delaji z Gitu rychle CDN uloziste. To ze si nekolik lidi stahne utilitu neni relevantni. Zadne rozsahle mazani se konat opravdu nebude. Doporucoval bych si precist "cele" zneni podminek.

8. 6. 2021, 15:25 editováno autorem komentáře