ESETs gecoördineerde beleid ten aanzien van het openbaren van kwetsbaarheden

Als ontwikkelaars van beveiligingssoftware begrijpen wij bij ESET het belang van de bescherming van de privacy en veiligheid van alle technologiegebruikers, niet alleen van onze klanten. Wij waarderen het vertrouwen dat onze klanten stellen in onze oplossingen en diensten en zijn toegewijd aan het beschermen van hun veiligheid en privacy, terwijl wij alle aan ons gerapporteerde problemen aanpakken. Evenzo, met respect voor de legitieme zakelijke belangen van andere hardware-, software- en dienstenleveranciers, mocht ons lopend onderzoek kwetsbaarheden in hun aanbod aan het licht brengen, is het ESETs doel om de beste bescherming van onze collectieve digitale wereld te verzekeren. Wij geloven dat dit het best wordt bereikt door een gecoördineerd proces voor de onthulling van kwetsbaarheden

Het melden van beveiligingsproblemen aan ESET

Wij waarderen de tijd en moeite van onafhankelijke beveiligingsonderzoekers en streven ernaar met hen samen te werken om onze oplossingen en diensten te verbeteren. Om een beveiligingsprobleem in een ESET-oplossing of dienst te melden, bezoekt u onze pagina Melden van beveiligingskwetsbaarheden. Ons beveiligingsteam zal proberen binnen de drie werkdagen te antwoorden. Wij geloven dat gecoördineerde openbaarmaking de beste bescherming biedt voor het grootste deel van technologieconsumenten. Daarom stellen wij voor dat u een soortgelijke aanpak hanteert als onze onderzoekers wanneer u kwetsbaarheden meldt die wij ontdekken in producten en diensten van anderen. Ons beleid voor dergelijke openbaarmakingen wordt hieronder beschreven.

Gecoördineerd beleid voor de openbaarmaking van kwetsbaarheden

Gecoördineerde processen voor de openbaarmaking van kwetsbaarheden moedigen onderzoekers en verkopers aan om hun inspanningen te coördineren, waarbij de nadruk ligt op het bieden van het beste beschermingsniveau voor een zo groot mogelijk aantal technologiegebruikers, en dit tijdig te doen. Als we een kwetsbaarheid ontdekken in een product of dienst van een derde partij, zullen we uitgebreide pogingen ondernemen om de betrokken leveranciers op te sporen en te informeren, met hen samen te werken aan een geschikte oplossing voor de kwetsbaarheid en de openbaarmaking van de kwetsbaarheid op te schorten totdat de leverancier een update uitbrengt of totdat er 90 dagen zijn verstreken sinds het eerste contact met de leverancier, afhankelijk van wat zich het eerst voordoet. Als we er niet in slagen om een bevredigend contact met een leverancier tot stand te brengen, zullen we 90 dagen wachten vanaf onze eerste poging om contact met de leverancier op te nemen voordat we een kwetsbaarheid openbaar maken.

We beloven dat we nooit financieel voordeel zullen proberen te halen uit een kwetsbaarheid die we ontdekken, en dat we ons zullen houden aan de principes van gecoördineerde openbaarmaking zoals die in dit beleid zijn opgenomen.

Alle communicatie in verband met door ESET-onderzoekers ontdekte kwetsbaarheden moet worden gericht aan: vulnerability.disclosures@eset.com


Ontdekking en rapportage

ESET-onderzoekers kunnen om verschillende redenen kwetsbaarheden ontdekken in producten of diensten van derden. Naast onderzoeksteams met een specifieke focus op kwetsbaarheidsonderzoek, resulteert het analyseren van verdachte en kwaadaardige software ook vaak in de ontdekking van kwetsbaarheden, verkeerd geconfigureerde diensten die misbruikt kunnen worden om toegang te krijgen tot wat privégegevens zouden moeten zijn, enzovoort.

Wanneer ESET-onderzoekers een mogelijke kwetsbaarheid of een slecht geconfigureerde dienst ontdekken, zullen zij dit proces volgen:

  • Uitgebreide inspanningen zullen worden geleverd om de juiste contacten voor het getroffen product of dienst te vinden, inclusief: industriestandaard e-mail roladressen zoals secure@<domein>, security@<domein>; wat ook vermeld staat in de security.txt metadata van het domein; technische ondersteuning of gelijkaardige contacten die gemakkelijk te identificeren zijn van het product of dienst, de documentatie, of de website van de leverancier; sociale media accounts; of andere contactmethodes die we eerder met succes hebben gebruikt voor relevante verkopers.
  • De contactpersonen krijgen een rapport over de openbaarmaking van kwetsbaarheden waarin de getroffen producten of diensten worden beschreven, de kwetsbaarheid, de stappen om er gebruik van te maken, informatie over de vraag of er momenteel misbruik van wordt gemaakt, een beoordeling van de impact van de kwetsbaarheid en mogelijk ook suggesties om de kwetsbaarheid te beperken of te verhelpen. Dit rapport zal ook een link naar dit beleid bevatten, een aanbod van verdere hulp die we zouden kunnen bieden en een verklaring van ons voornemen om een rapport over de openbaarmaking van kwetsbaarheden te publiceren.
  • De verkoper moet reageren, ook al is het alleen maar om de bewering over de kwetsbaarheid te betwisten of om meer details te vragen.
  • Indien binnen 7 kalenderdagen geen reactie wordt ontvangen, zal hetzelfde bericht opnieuw naar de geïdentificeerde contactpersonen worden gestuurd, en zullen ook andere mogelijke contactpersonen worden gezocht en het rapport over de openbaarmaking van kwetsbaarheden toegestuurd krijgen. Deze contacten kunnen worden gezocht bij andere beveiligingsonderzoekers met wie wij regelmatig samenwerken, en/of bij regionale, industriële of nationale CERT's en soortgelijke organisaties. Afgezien van de vermelding dat wij een kwetsbaarheid hebben die wij aan de beoogde contactpersonen willen mededelen, zullen wij alle belangrijke details over de kwetsbaarheid vertrouwelijk houden wanneer wij deze contactpersonen benaderen.
  • Nogmaals, aangezien dit een coöperatief proces moet zijn, dient de verkoper te reageren.
  • Als er binnen nog eens 14 kalenderdagen geen reactie komt, kunnen we proberen telefonisch contact op te nemen met de betrokken verkopers.
  • Als geen van deze pogingen tot contact tot een bevredigend antwoord leidt, zullen we 90 kalenderdagen na de eerste poging om contact op te nemen met de betrokken leveranciers een kwetsbaarheidsmelding publiceren. Als u op ons rapport over de openbaarmaking van kwetsbaarheden reageert met juridische dreigementen, wordt dit beschouwd als een onbevredigende reactie. Wij willen u en uw klanten echt helpen om tot een beter veiligheids- of privacyresultaat te komen en we hebben geen financieel belang bij dat resultaat, op welke manier dan ook.
  • Als de verkoper een bevredigende reactie geeft op een van deze contactpogingen, zullen we met hem samenwerken zoals beschreven in de volgende sectie.


Mitigatie en tijdlijn

Zodra een leverancier reageert op ons contact over de openbaarmaking van kwetsbaarheden en aangeeft bereid te zijn om de kwetsbaarheid aan te pakken, zullen ESET-onderzoekers tot 90 kalenderdagen vanaf de datum waarop de leverancier ons antwoordde, met de leverancier samenwerken. Na 90 dagen, of eerder als de kwetsbaarheid is gepatcht, enz., zullen we een openbaarmaking van de kwetsbaarheid publiceren.

  • Uiteraard moedigen wij leveranciers aan om beveiligingslekken zo snel mogelijk te verhelpen, maar wij beseffen ook dat een te grote nadruk op het verkorten van de tijd die nodig is om een patch te plaatsen, een minder optimaal resultaat kan opleveren. Onze nadruk ligt op het bereiken van de beste verbetering in algemene veiligheid of privacy, dus snelheid van mitigatie is altijd een afweging.
  • In het algemeen publiceren wij informatie over de kwetsbaarheid niet: de eerste 90 kalenderdagen na ontvangst van de eerste reactie van de leverancier, of 90 dagen na de eerste poging tot contact in gevallen waarin de leverancier niet reageert, of de leverancier niet bevredigend reageert en niet bereid is om samen te werken, of op een eerder tijdstip in coördinatie met de release door de leverancier van een update of patch die het kwetsbaar punt aanpakt..
  • In het algemeen publiceren wij informatie over de kwetsbaarheid niet: de eerste 90 kalenderdagen na ontvangst van de eerste reactie van de leverancier, of 90 dagen na de eerste poging tot contact in gevallen waarin de leverancier niet reageert, of de leverancier niet bevredigend reageert en niet bereid is om samen te werken, of op een eerder tijdstip in coördinatie met de release door de leverancier van een update of patch die het kwetsbaar punt aanpakt.
  • Indien wij bijvoorbeeld van mening zijn dat het algemeen belang onmiddellijke publicatie vereist (zoals actieve exploitatie van een kwetsbaarheid met een grote impact in het wild), behouden wij ons het recht voor om het onderzoek binnen 7 kalenderdagen na onze eerste poging tot kennisgeving te publiceren, of mogelijk nog eerder in uiterst dringende gevallen zoals een computerworm die misbruik maakt van een zero-day netwerkkwetsbaarheid om zich over het internet te verspreiden. In dergelijke gevallen zal dit voornemen duidelijk worden beschreven in het rapport over de openbaarmaking van de kwetsbaarheid dat naar de leveranciers wordt gestuurd.
  • In uitzonderlijke gevallen kunnen wij, naar eigen goeddunken, een respijtperiode van meer dan 90 dagen toestaan. Verkopers die meer tijd nodig hebben om geschikte mitigaties te ontwikkelen, testen en vrij te geven, moeten zo vroeg mogelijk in het gecoördineerde openbaarmakingsproces aangeven dat zij meer tijd nodig hebben
  • Ten slotte behouden wij ons de mogelijkheid voor om de ontdekking bekend te maken aan een betrouwbare derde partij, zoals een CSIRT, een nationaal CERT of een geschikte branchecoalitie (bv. FS-ISAC, ICASI), zodat deze kan helpen bij de coördinatie van de bekendmaking, of zelfs de coördinatie van de bekendmaking helemaal voor haar rekening kan nemen. In het laatste geval is het openbaarmakingsbeleid van die organisatie, en niet dit beleid, van toepassing.