Como criadores de software de segurança, na ESET compreendemos a importância de proteger a privacidade e a segurança de todos os utilizadores de tecnologia, não apenas dos nossos clientes. Valorizamos a confiança que os nossos clientes depositam nos nossos produtos e serviços e dedicamo-nos a manter a sua segurança e privacidade enquanto resolvemos quaisquer problemas que nos sejam comunicados. Da mesma forma, respeitando os interesses comerciais legítimos de outros fornecedores de hardware, software e serviços, caso a nossa pesquisa contínua descubra vulnerabilidades nas suas ofertas, o objetivo da ESET é garantir a melhor proteção do nosso mundo digital coletivo. Acreditamos que a melhor maneira de alcançar esse objetivo é através de um processo coordenado de divulgação de vulnerabilidades.
Comunicar problemas de segurança à ESET
We appreciate the time and effort of independent security researchers and strive to work cooperatively with them to improve our products and services. To report a security issue in an ESET product or service, please visit our Report Security Vulnerabilities page. A nossa equipa de segurança fará o seu melhor para responder num prazo de três dias úteis. Acreditamos que a divulgação coordenada proporciona a melhor proteção para o maior número possível de consumidores de tecnologia. Para tal, sugerimos que adote uma abordagem semelhante à dos nossos investigadores quando comunicar vulnerabilidades que descobrimos em produtos e serviços de terceiros. A nossa política para tais divulgações é descrita abaixo.
Política de divulgação coordenada de vulnerabilidades
Os processos coordenados de divulgação de vulnerabilidades incentivam os investigadores e os fornecedores a coordenar os seus esforços, com o objetivo de fornecer o melhor nível de proteção para o maior número possível de utilizadores de tecnologia, de forma atempada. Se descobrirmos uma vulnerabilidade num produto ou serviço de terceiros, faremos grandes tentativas para localizar e informar os fornecedores afectados, trabalharemos em cooperação com eles para uma resolução adequada da vulnerabilidade e reteremos a divulgação pública da vulnerabilidade até que o fornecedor lance uma atualização ou até que tenham passado 90 dias desde o contacto inicial com o fornecedor, consoante o que ocorrer primeiro. Se não conseguirmos estabelecer um contacto satisfatório com um fornecedor, esperaremos 90 dias a partir da nossa primeira tentativa de contacto com o fornecedor antes de divulgar publicamente a vulnerabilidade.
Comprometemo-nos a nunca tentar obter ganhos financeiros com qualquer vulnerabilidade descoberta pela ESET e a aderir aos princípios de divulgação coordenada expressos nesta política.
Todas as comunicações relacionadas com as vulnerabilidades descobertas pelos investigadores da ESET devem ser enviadas para: vulnerability.disclosures@eset.com
Descoberta e comunicação
Os investigadores da ESET podem descobrir vulnerabilidades em produtos ou serviços de terceiros por várias razões. Para além das equipas de investigação focadas na investigação de vulnerabilidades, a análise de software suspeito e malicioso também resulta frequentemente na descoberta de vulnerabilidades, serviços mal configurados que podem ser utilizados para aceder a dados que deveriam ser privados, etc.
Quando os investigadores da ESET descobrem uma possível vulnerabilidade ou um serviço mal configurado, seguem este processo:
- erão feitos grandes esforços para localizar os contactos apropriados para o produto ou serviço afetado, incluindo: endereços de e-mail padrão da indústria, como secure@<domain>, security@<domain>; o que quer que esteja listado no security.txt metadata do domínio; suporte técnico ou contactos semelhantes facilmente identificados a partir do produto ou serviço, da sua documentação ou do site do fornecedor; contas de redes sociais; ou quaisquer outros métodos de contacto que possamos ter utilizado com sucesso anteriormente para fornecedores relevantes.
- Os contactos identificados receberão um relatório de divulgação de vulnerabilidade que descreve os produtos ou serviços afectados, a vulnerabilidade, os passos para a explorar, informações sobre se está atualmente a ser explorada, uma avaliação do impacto da vulnerabilidade e, possivelmente, também sugestões de como atenuar ou corrigir a vulnerabilidade. Este relatório incluirá também uma hiperligação para esta política, uma oferta de qualquer assistência adicional que possamos prestar e uma declaração da nossa intenção de publicar um relatório de divulgação de vulnerabilidades.
- O fornecedor deve responder, mesmo que seja apenas para contestar a alegação de vulnerabilidade ou para pedir mais pormenores.
- Se não for recebida qualquer resposta no prazo de 7 dias de calendário, a mesma mensagem será reenviada para os contactos identificados e serão também procurados outros contactos possíveis, aos quais será enviado o relatório de divulgação da vulnerabilidade. Estes contactos podem ser solicitados a outros investigadores de segurança com quem cooperamos regularmente e/ou a CERTs regionais, industriais ou nacionais e organizações semelhantes. Para além de referir que temos uma vulnerabilidade de segurança para divulgar aos contactos pretendidos, manteremos todos os detalhes significativos sobre a vulnerabilidade confidenciais enquanto procuramos esses contactos adicionais.
- Mais uma vez, como este deve ser um processo de cooperação, o fornecedor deve responder.
- Se não houver resposta no prazo de mais 14 dias de calendário, poderemos tentar alcançar os fornecedores afetados por contacto telefónico.
- Se nenhuma destas tentativas de contacto resultar numa resposta satisfatória, publicaremos uma divulgação de vulnerabilidade 90 dias de calendário após a tentativa inicial de contactar os fornecedores afectados. Responder ao nosso relatório de divulgação de vulnerabilidades com ameaças legais será considerado uma resposta insatisfatória. Queremos genuinamente ajudá-lo a si e aos seus clientes a obter um melhor resultado em termos de segurança ou privacidade e não temos qualquer interesse financeiro nesse resultado, de uma forma ou de outra.
- Se o fornecedor der uma resposta satisfatória a qualquer uma destas tentativas de contacto, então trabalharemos em cooperação com ele, tal como descrito na seção seguinte.
Mitigation and timeline
Assim que um fornecedor responder ao nosso contacto de divulgação de vulnerabilidades e indique a sua vontade de resolver a vulnerabilidade, os investigadores da ESET trabalharão em cooperação com o fornecedor durante um período máximo de 90 dias a partir da data em que o fornecedor nos responder. Após 90 dias, ou antes, se a vulnerabilidade for corrigida, etc., publicaremos uma divulgação da vulnerabilidade.
- Naturalmente, encorajamos os fornecedores a resolverem as vulnerabilidades de segurança num período tão curto quanto possível, mas também reconhecemos que uma concentração excessiva na redução do tempo de correção pode produzir um resultado inferior ao ideal. A nossa ênfase está em conseguir a melhor otimização em segurança ou privacidade no geral, por isso a celeridade da mitigação é sempre um exercício de equilíbrio.
- Em geral, comprometemo-nos a não publicar a divulgação de uma vulnerabilidade: durante 90 dias de calendário a partir da receção da resposta inicial do fornecedor, ou; durante 90 dias a partir da primeira tentativa de contacto nos casos em que não haja resposta do fornecedor, ou em que o fornecedor não responda satisfatoriamente e continue a não querer trabalhar em cooperação, ou; num período anterior, em coordenação com o lançamento pelo fornecedor de uma atualização ou correção que resolva a vulnerabilidade.
- No entanto, reservamo-nos o direito de publicar a divulgação de uma vulnerabilidade a qualquer momento, dependendo de vários fatores, incluindo, mas não se limitando a: o fornecedor lançar uma atualização sem cooperar com este processo; outros investigadores publicarem independentemente detalhes da vulnerabilidade; a descoberta da vulnerabilidade ser explorada em ataques reais, ou; uma mudança significativa para pior na nossa avaliação do impacto da vulnerabilidade.
- Por exemplo, se considerarmos que o interesse público exige uma publicação imediata (como a exploração ativa de uma vulnerabilidade de grande impacto), reservamo-nos o direito de publicar a investigação no prazo de 7 dias de calendário após a nossa primeira tentativa de notificação, ou possivelmente ainda mais cedo em casos extremamente urgentes, como um worm informático que explora uma vulnerabilidade de rede de zero-day para se espalhar pela Internet. Nesses casos, esta intenção será claramente descrita no relatório de divulgação da vulnerabilidade enviado aos fornecedores.
- Em casos excecionais, podemos, a nosso exclusivo critério, conceder um período de tolerância superior a 90 dias. Os fornecedores que necessitem de mais tempo para desenvolver, testar e lançar atenuações adequadas devem levantar a possibilidade de necessitar de mais tempo o mais cedo possível no processo de divulgação coordenada.
- Por fim, reservamo-nos a opção de divulgar a descoberta a um terceiro de confiança, como um CSIRT, um CERT nacional ou uma coligação industrial adequada (por exemplo, FS-ISAC, ICASI), com o objetivo de o ajudar a coordenar a divulgação, ou mesmo de tratar da coordenação da divulgação. Neste último caso, aplicar-se-ão as políticas de divulgação dessa organização, e não a presente política.