Názory k článku
GitHub změnil podmínky, nyní může odstranit kód, který se aktivně používá k útokům
-
Detailni popis:
In rare cases of very widespread abuse of dual-use content, we may restrict access to that specific instance of the content to disrupt an ongoing unlawful attack or malware campaign that is leveraging the GitHub platform as an exploit or malware CDN. In most of these instances, restriction takes the form of putting the content behind authentication, but may, as an option of last resort, involve disabling access or full removal where this is not possible (e.g. when posted as a gist). We will also contact the project owners about restrictions put in place where possible. -
Under no circumstances will Users upload, post, host, execute, or transmit any Content that:
...
- directly supports unlawful active attack or malware campaigns that are causing technical harms — such as using our platform to deliver malicious executables or as attack infrastructure, for example by organizing denial of service attacks or managing command and control servers — with no implicit or explicit dual-use purpose prior to the abuse occurring; or...
to proste znamena, ze cokoliv co jde pouzit jako security testing tool, je v podstate mozne podle novych podminek smazat. Ze rikaji, ze budou hodni me nezajima, protoze se to muze zmenit podle toho jak se kdo vyspi.
Podle me je to podraz na security/pentest komunitu.
8. 6. 2021, 10:16 editováno autorem komentáře
-
To co pisou v podstate zahrnuje vsechno, co muze byt pouzito k utoku.
"Directly supports", je dost podstatny a specificky pozadavek a opravdu neznamana vsechno, co muze byt pouzito. Mam vystaveny CVE PoC a nikdo ho nesmazal.. Cele to cili na skutecne problemove ucty a aktivne vyuzivane kusy kodu. To je snad legitimni, nebo ne? Nesouhlasis s tim, ze nekdo vstavy kod, umyslne , nebo i neumyslne, ktery bude aktivne vyuzivan k problemum a Git to blokne?
-
Tak co znamena "directly supports"? Co znamena "indirectly supports"?
Rozhodne to neni zadny presny popis toho, co tedy ten kod muze nebo nesmi obsahovat. Jestli mas nekde PoC, ktery nekdo muze directly pouzit, tak by ses asi ale bat mel.> Nesouhlasis s tim, ze nekdo vstavy kod, umyslne , nebo i neumyslne, ktery bude aktivne vyuzivan k problemum a Git to blokne?
Ne, nesouhlasim. Urcite to verejnost toho kodu nezbavi, objevi se proste jinde. Je to jen malovani na ruzovo. Bezpecnosti vymazem takovyho kodu nijak neprispejou.
Ale samozrejme souhlasim s tim, ze M$ si muze se svym GIT hostignem delat co chce.
-
PoC je to proto, ze primo byt pozity nemuze.To prime pouziti znamena, ze se neupraveny kod aktivne pouziva ie. Git jako soucast botnetu, C&C etc. To neznamena, ze kod nekdo stahne upravi a pouzije.
Si predstav, ze si botnet na tvych vlastnich serverech taky "odlozi par souboru" a bude vyuzivat tvoje stroje. To by si asi nechtel, ale na Gitu to nevadi?
-
Pokud se omezi jenom na blokovani malware, ktery primo vyuziva infrastruktury githubu, tak to samozrejme chapu. Tak ale chapu uz puvodni zneni.
Nove zneni to rozsiruje a da se vylozit ruzne. Specialne prvni cast.
Je pravda, ze precteni celeho diffu ti dava spis za pravdu. Tak snad to tak skutecne bude a ja se mozna unahlil.Primo v prispevku na ktery reagujes jsem psal, ze github si muze se svymi servery delat co chce. Tak mi nepodsouvej druhy odstavec, pls.
-
Pozor na to, "Jasnější pravidla" je dnes prakticky synonymum pro cenzuru. Všichni, kteří plyně ovládají "progressive newspeak" to znají. Prakticky každé zhoršení situace u Big Tech bylo zdůvodněné "jasnějšími pravidly" nebo nějak podobně. Taky o jasná pravidla vůbec nejde. Jde jako obvykle o schválně nejasná, jednostranná a arbitrární pravidla, která umožňují odstranit cokoliv bez zdůvodňování a možnosti obrany. Dopadne to stejně jako vždy. Po několika zmedializovaných exemplárních případech to vyústí vlnou strachu, která postihne všechny bez rozdílu vynucenou autocenzurou, která je co do efektu na společnost snad i horší než ta státní. Zajímalo by mě, jestli zakážou i nejpoužívanější a aktivně zneužívanou utilitu na hackování - Power Shell. Ten celý popis zdůvodnění by se dal klidně nazvat pojmy "PR bullshit" nebo "preventive damage control". Pamatujete na staré dobré "koupili jsme [skype/whatsapp/...], ale nebojte se, nic se nezmění? Já ano. Jedno se teď ale změní. Místo opravování chyb se bude stěžovat na github, aby něco odstranil. Existují jen dvě obhajitelné možnosti:
- moderuji obsah a automaticky nesu právní a finanční odpovědnost za špatná rozhodnutí (včetně vadného algiritmu)
- nemoderuji s výjimkou soudních příkazů, odpovědnost pak nese stěžovatel.
Jakákoli další možnost je morálně závadná a nepřípustná. -
Zajímalo by mě, jestli zakážou i nejpoužívanější a aktivně zneužívanou utilitu na hackování - Power Shell.
Neni k tomu zadny duvod. Myslim, ze hlavni nepochopeni je v tom aktivnim pouzivani. Cili se predevsim na botnety, C&C, ktere si delaji z Gitu rychle CDN uloziste. To ze si nekolik lidi stahne utilitu neni relevantni. Zadne rozsahle mazani se konat opravdu nebude. Doporucoval bych si precist "cele" zneni podminek.
8. 6. 2021, 15:25 editováno autorem komentáře
