Breaking News

Para peneliti suara alarm setelah GitHub mengapung kebijakan 8880100011088888 CEO GitHub Nat Friedman berbicara di GitHub Universe 2020. GitHub pada hari Kamis meminta komentar dari komunitas penelitian keamanan pada yang baru, tampaknya kebijakan ketat untuk posting malware dan bukti-dari-konsep eksploitasi. (GitHub)GitHub pada hari Kamis meminta komentar dari komunitas penelitian keamanan pada yang baru, tampaknya kebijakan ketat untuk posting malware dan bukti-dari-konsep eksploitasi. Tapi respon mungkin lebih dari yang ditawarkan. Beberapa perubahan tanggal kembali ke bulan yang lalu ketika GitHub, yang dimiliki oleh Microsoft, dihapus bukti-dari-konsep mengeksploitasi untuk yang disebut kerentanan ProxyLogOn di dalam kerentanan Microsoft Exchange yang telah menyebabkan lebih dari 100.000 infeksi server. Ada juga insiden lain yang berhubungan kembali lebih dari satu tahun di mana GitHub repositori diketemukan akan terinfeksi dengan malware dan mampu dieksploitasi dalam serangan rantai pasokan. GitHub, yang peneliti gunakan sebagai platform di mana mereka dapat menguji dan eksperimen, dikatakan dalam post blog bahwa update ini juga berfokus pada penghapusan ambiguitas dalam bagaimana platform ini akan mendefinisikan syarat seperti” mengeksploitasi, “malware,” dan “pengiriman” – upaya platform ini untuk jelas menyatakan harapan dan niat. Peneliti keamanan menyatakan skeptis, menyatakan bahwa jika atau ketika perangkat lunak pernah dihapus, GitHub harus menguraikan alasan yang sangat jelas dan transparan; jika tidak, pengguna akan kemungkinan akan memberontak dan melarikan diri ke platform lain, kata Sean Nikkel, ancaman senior di bayangan Digital. Nikkel mengatakan beberapa peneliti telah mengangkat poin besar dengan yang ada off-the-rak, alat yang sah seperti Metasploit atau Mimikatz, atau perangkat lunak serupa lainnya bahwa adversar sering penyalahgunaan. “Apakah ini sekarang juga tidak sah ? Saat memulai diskusi publik merupakan langkah yang signifikan, transparansi pada tujuan akhir dan masa depan perlu dieja dengan jelas pada pengguna GitHub, ” kata Nikkel. “Misalkan GitHub akhirnya mengambil langkah yang lebih kuat untuk mengunci apa yang dapat diterima pada platform. Dalam hal ini, kondisi dari apa yang mereka mengerti sebagai serangan yang sebenarnya atau ancaman juga perlu dieja cukup jelas, dan dalam hal yang akan dipahami oleh masyarakat keamanan dan umum pengguna platform.” Sementara itu adalah sikap yang baik dari GitHub untuk membuat platform lebih peneliti keamanan-ramah, sementara juga mencoba untuk mengatur isi yang diunggah, “ide-ide tidak selalu mudah untuk menyadari dengan cara mereka awalnya diharapkan,” kata Kamila Tukhvatullina, keamanan, Lucy Security. “Dilema ini telah ada selama GitHub menjadi tempat yang populer untuk menyimpan kode,” kata Tukhvatullina . “Para peneliti telah mempublikasikan (dan masih melakukan) malware, sampel ransomware, eksploitasi dan alat untuk penetrasi . Ini adalah koin sisi ganda: GitHub adalah platform besar untuk berbagi dengan peneliti sesama dan showcase pekerjaan Anda, tetapi juga pada akhirnya, itu adalah sumber bebas dari bahan untuk penjahat cyber. Saya merasa topik yang sensitif dan tidak mengharapkan kedua belah pihak – GitHub dan peneliti – untuk menemukan konsensus segera.” Hasil dari para peneliti membuat tanggapan dari Github, yang mana Kepala Petugas Keamanan Mike Hanley memposkan dengan jelas, ” usaha kami untuk memberikan kejelasan di sini telah gagal dan telah menyebabkan beberapa interpretasi yang tidak sesuai dengan niat kami.” “Halo lagi. Saya ingin berpadu dalam dengan beberapa pemikiran tambahan berdasarkan respon sejauh dari masyarakat, serta mengklarifikasi beberapa titik, terutama bahwa niat kita tidak untuk memperkenalkan perubahan kebijakan, tetapi lebih jelas bahasa yang ada,” Hanley menulis. “Kami membaca setiap bagian dari umpan balik dan bersyukur bahwa Anda mengambil waktu untuk berkomentar di sini. Kami mendengarkan dan belajar dari itu.” Hanley melanjutkan dengan sejumlah klarifikasi. Pertama, ia mengatakan bahwa GitHub memungkinkan, mendukung, dan mempromosikan perangkat lunak yang digunakan ganda, yang tidak akan berubah. Kedua, GitHub tak berniat mengubah kebijakan, tapi untuk memperjelas apa yang melanggar peraturan. Ketiga, Bahasa awal sekitar “bahaya” terlalu luas dan kekhawatiran bahwa menerapkan ini sebagai-adalah regresi. Keempat, bahwa bahasa yang diperbarui meminta kontak keamanan untuk proyek penggunaan ganda, tetapi tidak diperlukan. Dan akhirnya, bahwa GitHub tidak bertujuan untuk mendikte bagaimana kerentanan pengungkapan terjadi pada platform sebagai kebijakan, tetapi tidak mendorong pendekatan pengelola-pusat. “Kami mengambil peran kami sebagai kode etik dan terpercaya dengan semua gravitasi yang layak, dan menyambut debat dan umpan balik sebagai suara Anda adalah pusat untuk memastikan GitHub adalah rumah bagi pengembang dan peneliti keamanan yang sama,” Hanley menulis. Laporan ini dimutakhirkan untuk merefleksikan respon dari GitHub. Topik: Malware Intelijen ancaman Manajemen Kerentanan

shortenage

Leave a Reply

Your email address will not be published. Required fields are marked *

Powered by WordPress | Bootstrap Themes