Συντονισμένη πολιτική δημοσιοποίησης ευπαθειών της ESET

Ως δημιουργοί λογισμικού ασφαλείας, στην ESET κατανοούμε τη σημασία της προστασίας του απορρήτου και της ασφάλειας όλων των χρηστών τεχνολογίας και όχι μόνο των πελατών μας. Εκτιμούμε την εμπιστοσύνη που δείχνουν οι πελάτες μας στα προϊόντα και τις υπηρεσίες μας και είμαστε αφοσιωμένοι στη διατήρηση της ασφάλειας και του απορρήτου τους ενώ αντιμετωπίζουμε τυχόν ζητήματα που αναφέρονται σε εμάς. Ομοίως, ενώ σεβόμαστε τα νόμιμα επιχειρηματικά συμφέροντα άλλων κατασκευαστών υλικού, λογισμικού και υπηρεσιών, εάν η συνεχής έρευνά μας, αποκαλύψει τρωτά σημεία στα προϊόντα τους, ο στόχος μας είναι να διασφαλιστεί η καλύτερη προστασία του συνόλου του ψηφιακού κόσμου στον οποίο ζούμε. Πιστεύουμε ότι αυτό επιτυγχάνεται καλύτερα μέσω μιας συντονισμένης διαδικασίας δημοσιοποίησης της ευπάθειας που έχουμε ανακαλύψει.

Αναφορά ζητημάτων ασφαλείας στην ESET

Εκτιμούμε τον χρόνο και την προσπάθεια των ανεξάρτητων ερευνητών ασφάλειας και προσπαθούμε να συνεργαστούμε μαζί τους για τη βελτίωση των προϊόντων και των υπηρεσιών μας. Για να αναφέρετε ένα ζήτημα ασφαλείας σε ένα προϊόν ή μια υπηρεσία της ESET, επισκεφτείτε τη σελίδα Αναφορά Κενών Ασφαλείας. Η ομάδα ασφαλείας μας θα προσπαθήσει να απαντήσει εντός τριών εργάσιμων ημερών. Πιστεύουμε ότι η συντονισμένη δημοσιοποίησης παρέχει την καλύτερη προστασία για το ευρύτερο φάσμα των καταναλωτών τεχνολογίας. Για το σκοπό αυτό, σάς προτείνουμε να ακολουθήσετε μια παρόμοια προσέγγιση με αυτή των ερευνητών μας όταν αναφέρετε κενά ασφαλείας που ανακαλύπτουμε σε προϊόντα και υπηρεσίες άλλων. Η πολιτική μας για τέτοιες δημοσιοποιήσεις περιγράφεται παρακάτω.

Συντονισμένη πολιτική δημοσιοποίησης κενών ασφαλείας

Οι συντονισμένες διαδικασίες δημοσιοποίησης των κενών ασφαλείας ενθαρρύνουν τους ερευνητές και τους προμηθευτές να συντονίσουν τις προσπάθειές τους, με επίκεντρο την παροχή του βέλτιστου επιπέδου προστασίας για το ευρύτερο φάσμα των χρηστών τεχνολογίας και την ίδια στιγμή να το κάνουν εγκαίρως. Εάν ανακαλύψουμε ένα κενό ασφαλείας σε ένα προϊόν ή υπηρεσία τρίτου, θα κάνουμε εκτεταμένες προσπάθειες να εντοπίσουμε και να ενημερώσουμε τους επηρεαζόμενους κατασκευαστές, να συνεργαστούμε μαζί τους για την κατάλληλη επίλυση της ευπάθειας και να αποφύγουμε τη δημοσιοποίηση του συμβάντος, έως ότου ο κατασκευαστής κυκλοφορήσει μια ενημέρωση ή έως ότου περάσουν 90 ημέρες από την αρχική επαφή με τον κατασκευαστή - όποιο από τα δύο συμβεί πρώτο. Σε περίπτωση που αποτύχουμε να έρθουμε σε ικανοποιητική επαφή με τον κατασκευαστή, θα περιμένουμε 90 ημέρες από την πρώτη μας προσπάθεια να επικοινωνήσουμε μαζί του προτού προβούμε σε δημοσιοποίηση του ευρήματός μας.

Δεσμευόμαστε να μην προσπαθήσουμε ποτέ να αποκομίσουμε οικονομικό όφελος από τυχόν κενό ασφαλείας που ανακαλύπτουμε και να τηρήσουμε τις αρχές της συντονισμένης δημοσιοποίησης όπως εκφράζονται σε αυτήν την πολιτική.

Όλη η επικοινωνία που σχετίζεται με κενά ασφαλείας που ανακαλύπτονται από ερευνητές της ESET θα πρέπει να απευθύνεται στη διεύθυνση: vulnerability.disclosures@eset.com


Ανακάλυψη και δημοσιοποίηση

Οι ερευνητές της ESET ενδέχεται να ανακαλύψουν κενά ασφαλείας σε προϊόντα ή υπηρεσίες τρίτων για διάφορους λόγους. Εκτός από ερευνητικές ομάδες με ιδιαίτερη εστίαση στην έρευνα ευπαθειών, η ανάλυση ύποπτου και κακόβουλου λογισμικού συχνά οδηγεί επίσης στην ανακάλυψη τρωτών σημείων, εσφαλμένων διαμορφωμένων υπηρεσιών, τα οποία μπορεί να εκμεταλλευθούν κακόβουλοι για πρόσβαση σε ιδιωτικά δεδομένα κ.λπ.

Όταν οι ερευνητές της ESET ανακαλύψουν μια πιθανή ευπάθεια ή εσφαλμένη διαμόρφωση υπηρεσίας, θα ακολουθήσουν αυτή τη διαδικασία:

  • Θα καταβληθούν εκτεταμένες προσπάθειες για τον εντοπισμό των κατάλληλων επαφών για το προϊόν ή την υπηρεσία που επηρεάζεται, συμπεριλαμβανομένων: βιομηχανικών προτύπων διευθύνσεων ηλεκτρονικού ταχυδρομείου, όπως safe@<domain>, security@<domain>. οτιδήποτε αναφέρεται στα μεταδεδομένα security.txt του τομέα;τεχνική υποστήριξη ή παρόμοιες επαφές που αναγνωρίζονται εύκολα από το προϊόν ή την υπηρεσία, την τεκμηρίωσή του ή τον ιστότοπο του κατασκευαστή· λογαριασμοί μέσων κοινωνικής δικτύωσης· ή οποιεσδήποτε άλλες μέθοδοι επικοινωνίας που μπορεί να έχουμε χρησιμοποιήσει με επιτυχία στο παρελθόν σε σχετικούς κατασκευαστές.</domain></domain>
  • Στις επαφές που έχουν εντοπιστεί θα σταλεί μια αναφορά της ευπάθειας που περιγράφει τα επηρεαζόμενα προϊόντα ή υπηρεσίες, το ίδιο το κενό ασφαλείας, τα βήματα για την εκμετάλλευσή της, πληροφορίες σχετικά με το αν υφίσταται επί του παρόντος εκμετάλλευση, μια αξιολόγηση του αντίκτυπου της ευπάθειας και πιθανώς προτάσεις για τον μετριασμό της ή πώς μπορεί να διορθωθεί. Αυτή η αναφορά θα περιλαμβάνει επίσης έναν σύνδεσμο προς αυτήν την πολιτική που ακολουθούμε σε κάθε περίπτωση, τη διάθεσή μας για οποιαδήποτε περαιτέρω βοήθεια μπορεί να είμαστε σε θέση να παρέχουμε, καθώς και μια δήλωση της πρόθεσής μας να δημοσιοποιήσουμε την ανακάλυψή μας.
  • Ο κατασκευαστής θα πρέπει να ανταποκριθεί, ακόμη κι αν είναι να το κάνει για να αμφισβητήσει την ευπάθεια που ανακαλύψαμε ή για να ζητήσει περισσότερες λεπτομέρειες.
  • Εάν δεν λάβουμε απάντηση εντός 7 ημερολογιακών ημερών, το ίδιο μήνυμα θα σταλεί ξανά στις επαφές που έχουμε εντοπίσει, ενώ θα αναζητηθούν περαιτέρω πιθανές επαφές και θα σταλεί εκ νέου η αναφορά ανακάλυψης της ευπάθειας. Αυτές οι επαφές ενδέχεται να ζητηθούν από άλλους ερευνητές ασφαλείας με τους οποίους συνεργαζόμαστε τακτικά, ή/και από περιφερειακές, βιομηχανικές ή εθνικές CERT και παρόμοιους οργανισμούς. Εκτός από το γεγονός ότι θα δημοσιοποιήσουμε το ζήτημα στα άτομα που επηρεάζονται, θα διατηρήσουμε εμπιστευτικές όλες τις σημαντικές λεπτομέρειες σχετικά με την ευπάθεια κατά την αναζήτηση αυτών των πρόσθετων επαφών.
  • Και πάλι, καθώς αυτή θα πρέπει να είναι μια συνεργατική διαδικασία, ο κατασκευαστής θα πρέπει να ανταποκριθεί.
  • Εάν δεν υπάρξει απάντηση εντός άλλων 14 ημερολογιακών ημερών, ενδέχεται να προσπαθήσουμε να επικοινωνήσουμε με τους κατασκευαστές μέσω τηλεφώνου.
  • Εάν καμία από αυτές τις προσπάθειες επικοινωνίας δεν οδηγήσει σε ικανοποιητική απόκριση, θα δημοσιεύσουμε την ανακάλυψή μας σε 90 ημερολογιακές ημέρες μετά την αρχική προσπάθεια επικοινωνίας με τους επηρεαζόμενους κατασκευαστές. Η απάντηση στην αναφορά δημοσιοποίησης μιας ευπάθειας με νομικές απειλές θα θεωρηθεί ως μη ικανοποιητική απάντηση. Επιθυμούμε ειλικρινά να βοηθήσουμε εσάς και τους πελάτες σας να προστατεύσετε τα προσωπικά δεδομένα τους και δεν έχουμε κανένα οικονομικό συμφέρον από αυτό το αποτέλεσμα με τον ένα ή τον άλλο τρόπο.
  • Εάν ο κατασκευαστής ανταποκριθεί ικανοποιητικά σε οποιαδήποτε από αυτές τις προσπάθειες επικοινωνίας, θα συνεργαστούμε μαζί του, όπως περιγράφεται στην επόμενη ενότητα.


Ελαχιστοποίηση των επιπτώσεων και χρονοδιάγραμμα

Από τη στιγμή που ένας κατασκευαστής ανταποκριθεί στην επικοινωνία μας και δείξει ότι είναι πρόθυμος να αντιμετωπίσει την ευπάθεια, οι ερευνητές της ESET θα συνεργαστούν μαζί του για έως και 90 ημερολογιακές ημέρες από την ημερομηνία λήψης της απάντησης. Μετά από 90 ημέρες ή νωρίτερα εάν επιδιορθωθεί το πρόβλημα, κ.λπ., θα προβούμε σε δημοσιοποίηση της ανακάλυψής μας.

  • Προφανώς, ενθαρρύνουμε τους κατασκευαστές να αντιμετωπίζουν τα κενά ασφαλείας σε όσο το δυνατόν συντομότερο χρονικό διάστημα, αλλά αναγνωρίζουμε επίσης ότι η υπερβολική εστίαση στη μείωση του χρόνου μέχρι την ενημέρωση κώδικα μπορεί να παράγει ένα λιγότερο βέλτιστο αποτέλεσμα. Δίνουμε έμφαση στην επίτευξη της καλύτερης βελτίωσης στη συνολική ασφάλεια ή το απόρρητο, επομένως η ταχύτητα μετριασμού το προβλήματος είναι πάντα μια άσκηση ισορροπίας.
  • Γενικά, δεσμευόμαστε να μην δημοσιοποιήσουμε την ανακάλυψή μας: για 90 ημερολογιακές ημέρες από τη λήψη της αρχικής απάντησης του κατασκευαστή ή για 90 ημέρες από την πραγματοποίηση της πρώτης προσπάθειας επικοινωνίας σε περιπτώσεις όπου δεν υπάρχει απάντηση από τον κατασκευαστή ή ο κατασκευαστής δεν ανταποκρίνεται ικανοποιητικά και παραμένει απρόθυμος να συνεργαστεί, ή σε προγενέστερο χρόνο, σε συντονισμό με την έκδοση μιας ενημέρωσης ή ενημέρωσης κώδικα από τον κατασκευαστή που να αντιμετωπίζει το κενό ασφαλείας.
  • Ωστόσο, διατηρούμε το δικαίωμα να δημοσιεύουμε τον εντοπισμό κάποιου κενού ασφαλείας ανά πάσα στιγμή, κάτι που εξαρτάται από διάφορους παράγοντες. Ενδεικτικά αναφέρουμε τους εξής: ο κατασκευαστής κυκλοφορεί μια ενημέρωση χωρίς να συμμετέχει σε αυτή τη διαδικασία συνεργαζόμενος μαζί μας, έχει λάβει χώρα μια ανεξάρτητη δημοσίευση στοιχείων του συγκεκριμένου κενού ασφαλείας από άλλους ερευνητές, το κενό ασφαλείας που ανακαλύψαμε έχει χρησιμοποιηθεί σε πραγματικές επιθέσεις, ή κατά την εκτίμησή μας έχει συμβεί μια σημαντική αλλαγή προς το χειρότερο σε ότι αφορά τον αντίκτυπο της ευπάθειας.
  • Για παράδειγμα, εάν θεωρήσουμε ότι το δημόσιο συμφέρον απαιτεί άμεση δημοσιοποίηση (όπως η ενεργή εκμετάλλευση μιας ευπάθειας που έχει σημαντικές επιπτώσεις), επιφυλασσόμαστε του δικαιώματος να δημοσιεύσουμε την έρευνα εντός 7 ημερολογιακών ημερών από την πρώτη απόπειρα ειδοποίησής του κατασκευαστή ή πιθανώς και νωρίτερα σε εξαιρετικά επείγουσες περιπτώσεις, όπως ένα worm που εκμεταλλεύεται ένα κενό ασφαλείας zero-day για να εξαπλωθεί στο Internet. Σε τέτοιες περιπτώσεις, αυτή η πρόθεση θα περιγράφεται με σαφήνεια στην αναφορά δημοσιοποίησης του κενού ασφαλείας που αποστέλλεται στους κατασκευαστές.
  • Σε εξαιρετικές περιπτώσεις, μπορούμε, κατά την απόλυτη κρίση μας, να χορηγήσουμε περίοδο χάριτος μεγαλύτερη από 90 ημέρες. Οι κατασκευαστές που ζητούν περισσότερο χρόνο για την ανάπτυξη, τη δοκιμή και την κυκλοφορία κατάλληλων αντίμετρων θα πρέπει να μας κάνουν γνωστή την πιθανότητα να χρειαστούν περισσότερο χρόνο όσο το δυνατόν νωρίτερα μέσα στη διαδικασία συντονισμένης δημοσιοποίησης.
  • Τέλος, διατηρούμε την επιλογή της δημοσιοποίησης της ευπάθειας σε ένα αξιόπιστο τρίτο μέρος, όπως ένα CSIRT, ένα εθνικό CERT ή έναν σχετικό βιομηχανικό συνασπισμό (π.χ. FS-ISAC, ICASI) με σκοπό τη συνδρομή του στο συντονισμό ή ακόμη και τη διαχείριση της δημοσιοποίησης. Στην τελευταία περίπτωση θα ισχύουν οι πολιτικές γνωστοποίησης αυτού του οργανισμού και όχι η δική μας πολιτική που περιγράφεται στο παρόν.