GitHub verbannt Beispielcode für aktiv genutzte Exploits

GitHub hat seine Community-Richtlinie ergänzt. Sie regelt nun auch den Umgang mit Exploits und Malware-Beispielen, die über GitHub gehostet werden sollen. Künftig ist es demnach verboten, Beispielcode – sogenannte Proof-of-Concept (PoC)– für Sicherheitslücken zu veröffentlichen, wenn diese bereits aktiv angegriffen werden.

Wie Bleeping Computer berichtet, stand GitHub bereits seit April mit Cybersicherheitsforschern in Kontakt, um Feedback zu der geplanten Richtlinienänderung einzuholen. Sicherheitsexperten nutzen die von Microsoft betriebene Plattform, um auf Sicherheitslücken aufmerksam zu machen und Beispielcode für Exploits zu veröffentlichen.

Im April hatte GitHub einen solchen PoC jedoch gelöscht. Es handelte sich um Beispielcode für einen Exploit, der die ProxyLogon-Lücke in Microsoft Exchange Server ausnutzte, eine zu dem Zeitpunkt bei Cyberkriminellen sehr beliebte Schwachstelle. ” Wir wissen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Code für die Sicherheits-Community einen Bildungs- und Forschungswert hat, und unser Ziel ist es, diesen Nutzen mit dem Schutz des breiteren Ökosystems in Einklang zu bringen. In Übereinstimmung mit unseren Acceptable Use Policies hat GitHub den Gist deaktiviert, nachdem berichtet wurde, dass er Proof-of-Concept-Code für eine kürzlich bekannt gewordene Sicherheitslücke enthält, die aktiv ausgenutzt wird”, rechtfertigte Microsoft den Schritt.

Die neue Richtlinie gibt Sicherheitsforschern jedoch weiterhin die Möglichkeit, Beispielcode für Exploits und Schadsoftware auf GitHub hochzuladen, solange dieser auch den Zweck hat, die Forschung voranzubringen – selbst dann, wenn ein PoC auch hilfreich für Cyberkriminelle sein könnte.

Allerdings behält sich GitHub vor, auch gegen diese sogenannten Dual-Use-Inhalte vorzugehen, und zwar sobald sie für unrechtmäßige Angriffe und Malware-Kampagnen eingesetzt werden. In dem Fall sei es aber meist ausreichend, die Inhalte durch eine Authentifizierung zu schützen. Inhalte sollen nur dann tatsächlich gelöscht werden, wenn keine anderen Einschränkungen möglich sind.

Verboten sind indes Repositories, bei denen GitHub zum Content Delivery Network für einen Exploit oder ein Malware wird. “Wir erlauben keine Nutzung von GitHub zur direkten Unterstützung rechtswidriger Angriffe, die technischen Schaden verursachen, den wir weiter als übermäßigen Ressourcenverbrauch, physische Schäden, Ausfallzeiten, Denial-of-Service oder Datenverlust definiert haben”, teilte GitHub mit. Ein Beschwerdeverfahren soll Nutzern zudem die Möglichkeit geben, gegen ihrer Ansicht nach ungerechtfertigte Löschungen seitens GitHub vorzugehen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Siemens investiert 5 Milliarden Dollar in US-Softwarehaus

Der Kauf von Dotmatics, Anbieter von F&E-Software, soll das PLM-Portfolio des Konzerns im Bereich Life…

9 Stunden ago

Fragmentierung von KI verhindern und Risiken reduzieren

Unternehmen wollen KI schnell einführen, doch dadurch entsteht Stückwerk, warnt Larissa Schneider von Unframe im…

12 Stunden ago

Die Falle der technischen Schulden durchbrechen

Technische Schulden – Tech Debt – machen oft 20 bis 40 Prozent der Technologieressourcen aus,…

13 Stunden ago

Umfrage sieht KMU in der digitalen Warteschleife

Obwohl 84 Prozent der Befragten Digitalisierung als entscheidenden Erfolgsfaktor sehen, hat gerade einmal die Hälfte…

16 Stunden ago

Wie KI den Jobeinstieg verändert

Aus Sicht vieler Führungskräfte sind junge Talente oft unzureichend auf ihre Jobprofile vorbereitet, da sie…

3 Tagen ago

Deutsche DefTechs: Nur jedes dritte würde erneut hier gründen

Umfrage: Bürokratisches Beschaffungswesen, strikte Regulierung und fehlendes Risikokapital bremsen digitale Verteidigungs-Innovationen.

3 Tagen ago