Політика скоординованого розкриття вразливостей Keenetic
Емітент та сфера застосування: Органом, що видає цю Політику, є Keenetic GmbH, Berliner Straße 300b, 63067 Оффенбах-на-Майні, Німеччина. Ця Політика встановлена як стандартна керівна Політика для всіх юридичних осіб Keenetic у всьому світі.
Як дослідник безпеки або доповідач про вразливості, ваша робота є життєво важливою для зміцнення безпеки цифрових продуктів та інфраструктур. Ми створили цю політику Скоординованого розкриття вразливостей (“CVD”), щоб забезпечити, що ваші знахідки буде розглянуто з повагою, оброблено відповідально та що на них швидко відреагують. Вона визначає, як Keenetic (далі “Keenetic GmbH”, “ми”, “нас”) реагуватиме на ваші звіти, які гарантії ви можете очікувати та які кроки ведуть до успішного процесу розкриття.
Крім того, ми хочемо переконатися, що ваш внесок буде оцінено. Ми заохочуємо вас брати участь у програмі винагород за виявлення вразливостей Keenetic, яка пропонує фінансові винагороди для вираження нашої вдячності та заохочення подальшої співпраці.
Беручи участь у цьому процесі, ви не лише допомагаєте захищати користувачів та організації, а й приєднуєтеся до спільноти, де ваш досвід визнається та винагороджується. Разом ми можемо зробити продукти Keenetic безпечнішими, зміцнити довіру та створити сильнішу цифрову екосистему.
Ⅰ. Сфера дії політики CVD – що ми вважаємо дійсною вразливістю
Дійсна вразливість у контексті цієї політики розуміється як слабкість, недолік або проблема безпеки, що безпосередньо впливає на один із продуктів або інфраструктуру Keenetic та яку можна використати.
Щоб звіт вважався дійсним, розкрита інформація не повинна бути вже загальновідомою, що гарантує, що звіт надає нові та дієві знання для процесу безпеки. Крім того, звіти, створені виключно автоматизованими інструментами або скануваннями без достатньої підтверджувальної документації, не вважаються адекватними, оскільки вони не мають необхідних доказів для проведення значущого аналізу та усунення дійсної вразливості. Кожен звіт в ідеалі повинен містити допоміжні деталі. Це допомагає нам зосередитися на реальних проблемах і реагувати швидше.
Ⅱ. Як повідомити про вразливість
Коли ви виявляєте дійсну вразливість, надішліть звіт, використовуючи наступні канали.
Електронна пошта: Ви можете надіслати нам листа на адресу security@keenetic.com, щоб забезпечити належну координацію та відстеження.
Вебформа: Ми надаємо безпечну вебформу для подання на нашій сторінці інофрмації про розкриття вразливостей: https://keenetic.com/security/anonymous-reporting-form. Ця форма підтримує анонімне повідомлення. Вам не потрібно надавати жодної особистої інформації для подання звіту; однак, майте на увазі, що якщо ви повідомляєте анонімно, ми не зможемо поставити вам додаткові запитання, що може обмежити нашу здатність розслідувати проблему. Вебформа доступна англійською мовою, і вона допоможе вам включити ключові деталі, які нам потрібні.
Security.txt: Ми підтримуємо файл keenetic.com/security.txt на нашому вебсайті, в якому перелічені наші контакти для розкриття вразливостей та уподобання. Доповідачі можуть звертатися до цього файлу для отримання актуальної інформації про те, як з нами зв'язатися.
При поданні звіту, будь ласка, надайте якомога більше технічних деталей. Це допоможе нам швидше класифікувати та виправити проблему. Ми пропонуємо надати:
• A опис вразливості та її потенційного впливу. Чого може досягти зловмисник? Які аспекти конфіденційності/цілісності/доступності знаходяться під загрозою? Яка система може бути уражена в ІТ-інфраструктурі Keenetic (наприклад, корпоративні системи Keenetic, операційна система, застосунок, система віддаленого моніторингу та керування, хмара та обліковий запис Keenetic)?
• Конкретні назви продуктів, версії та конфігурації, які є вразливими. (Для вебсайтів або служб вказуйте URL-адреси або IP-адреси; для апаратного або програмного забезпечення вказуйте номери моделей або версій.)
• Кроки для відтворення проблеми – наприклад, які команди, введення або дії викликають уразливість. Скриншот або код для підтвердження концепції (PoC) є дуже корисними.
• Якщо відомі будь-які пропоновані виправлення або посилання на виправлення (необов'язково, але вітається).
• Ваша контактна інформація (ім'я або псевдонім, і безпечний спосіб зв'язку з вами) якщо ви бажаєте отримати відповідь. Ви можете повідомити анонімно, але тоді ми не зможемо зв'язатися з вами для уточнення або надання оновлень статусу.
Добровільна інформація: Доповідач може добровільно надати контактну інформацію для координації, але не зобов'язаний надавати особисту ідентифікаційну інформацію. Ви можете використовувати нашу анонімну форму звітування на вебсайті.
Ⅲ. Що ми очікуємо від вас – Кодекс поведінки
Ми винагороджуємо доповідачів та визнаємо їхні досягнення за цією політикою CVD лише за умови дотримання високих стандартів доброчесності та відповідальної поведінки при виявленні та повідомленні про вразливості. Тому ми не толеруємо наступну поведінку:
• Добросовісне тестування: Доповідачі повинні проводити лише тестування, яке не порушує роботу та є необхідним для підтвердження існування вразливості (підтвердження концепції). Вони не повинні навмисно компрометувати дані користувачів, порушувати роботу служб або пошкоджувати системи.
• Заборона експлуатації поза межами тестування: Активна експлуатація вразливості поза межами початкового тестування для підтвердження концепції суворо заборонена. Зокрема, не зловживайте вразливістю для компрометації даних, зміни конфігурацій, переходу на інші системи або постійного доступу до наших систем. Достатньо викликати проблему, щоб довести її існування – наприклад, не завантажуйте більше даних, ніж необхідно для демонстрації недоліку. Якщо ви натрапите на конфіденційну інформацію (наприклад, особисті дані користувачів, службові матеріали), негайно припиніть тестування та повідомте нам про це, і не розголошуйте та не зберігайте цю інформацію.
• Заборона соціальної інженерії або фізичних атак: Не використовуйте методи соціальної інженерії (фішингові листи, телефонні дзвінки під приводом тощо) проти наших співробітників або систем, і не проводьте жодних тестів фізичної безпеки (наприклад, спроби проникнення в наші офіси або центри обробки даних). Ця політика обмежується технічними вразливостями в наших продуктах та інфраструктурі та виключає вектори соціальних та фізичних атак.
• Заборона атак на відмову в обслуговуванні або “атак грубою силою”: Утримуйтеся від проведення атак типу DoS/DDoS або будь-якого тестування, яке може погіршити доступність наших послуг для користувачів, а також “атак грубою силою”. Ми хочемо уникнути будь-яких перебоїв у роботі для наших клієнтів.
• Заборона сторонніх або публічних атак: Не націлюйтеся на вразливості в сторонніх службах або продуктах, які ми використовуємо (замість цього, будь ласка, повідомте цих постачальників безпосередньо). Аналогічно, не тестуйте системи, якими ми не володіємо або не керуємо. Якщо ви випадково отримали доступ до даних або систем інших сторін під час вашого дослідження, повідомте нас і припиніть подальші дії. Не компрометуйте та не маніпулюйте даними будь-якої третьої сторони під час вашого дослідження.
• Конфіденційність та використання інформації: Доповідачі повинні зберігати деталі вразливості конфіденційними та не розголошувати публічно, не продавати та не поширювати в інший спосіб код експлойту або технічні деталі, які б дозволили експлуатацію, доки Keenetic не надасть публічне повідомлення або іншим чином не дозволить розкриття. Це не обмежує доповідача в повідомленні компетентних органів, національного CSIRT або правоохоронних органів, де це вимагається законом або де негайне розкриття є необхідним для запобігання неминучій шкоді.
• Період виправлення: Компанії Keenetic надається розумний період для виправлення, який залежить від серйозності, для розслідування, усунення та розповсюдження оновлень безпеки. Якщо Keenetic не усуне вразливість або не надасть надійного пом'якшувального заходу протягом розумного періоду, доповідач може повідомити національний CSIRT або компетентний орган.
Якщо доповідач ненавмисно порушить частину цього кодексу поведінки, ми зобов'язуємося все одно добросовісно обробити будь-яку виявлену вразливість, наскільки це в наших силах; однак такий доповідач може не отримати жодної винагороди.
Ⅳ. Наші зобов'язання перед вами при повідомленні про вразливість
Усі вхідні звіти розглядаються з максимальною ретельністю. Тому при повідомленні про вразливість ви повинні надати принаймні один дійсний контактний варіант. Звичайно, ви можете повідомити про вразливість анонімно.
1. Відповідь
Після того, як ви надішлете нам звіт про вразливість, ми повідомимо вас, що отримали ваш звіт. Це буде особиста відповідь від нашої команди безпеки. Якщо нам знадобляться уточнення або додаткова інформація, ми запитаємо якомога швидше. Майте на увазі, що на анонімні подання ми, очевидно, не можемо відповісти, але ми продовжимо розслідування. Для передачі конфіденційної інформації нам потрібно, щоб ви надали принаймні свою електронну пошту, щоб мати можливість використовувати наш ключ шифрування PGP, доступний за посиланням https://keenetic.com/uk/security/keenetic-security-pgp-public-key.asc
Після подальшого аналізу звіту ми надамо вам зворотний зв'язок щодо того, чи підтверджуємо ми, чи відхиляємо повідомлену вразливість, змістовні запити для розуміння повідомленої вразливості або пояснення, чому розслідування повідомленої вразливості займає більше часу, ніж очікувалося.
2. Конфіденційне спілкування
Ми гарантуємо, наскільки це дозволено законом, що кожен вхідний звіт про вразливість розглядається конфіденційно, і ваші особисті дані не будуть розголошені третім особам без вашої явної згоди.
Інформація, необхідна для публічного розкриття підтвердженої та перевіреної вразливості, розкривається публічно тою мірою, якою ми зобов'язані за законом.
3. Анонімне повідомлення (необов'язково)
Ви можете використовувати нашу анонімну форму звітування на вебсайті.
Оскільки ми поважаємо ваше бажання залишатися анонімним, будь ласка, майте на увазі, що анонімні звіти можуть бути оброблені лише в обмеженому обсязі або, можливо, зовсім не оброблені через відсутність можливості запитувати технічні або змістовні уточнення, особливо у випадку складних проблем.
4. Поважне та відкрите спілкування
Все спілкування буде залишатися професійним, і ми будемо ставитися до вас з повагою. Ми очікуємо такої ж ввічливості у відповідь – у нас нульова толерантність до будь-якої дискримінації, домагань або неповаги у спілкуванні з будь-якої сторони.
Наша команда безпеки може зв'язатися з вами з питаннями, щоб краще зрозуміти проблему або запросити відтворювані технічні артефакти та інструкції, щоб уразливість можна було відтворити та виправити. Ми заохочуємо вас запитувати про оновлення в будь-який час; ми вважаємо наступні запити бажаними та ознакою вашого інтересу, а не роздратуванням.
Ⅴ. Координація та завершення розкриття інформації
Підтверджені та перевірені вразливості публічно розкриваються компанією Keenetic. Публічне повідомлення містить:
-
Опис вразливості.
-
Інформацію, що дозволяє користувачам визначати уражені продукти/версії.
-
Вплив та серйозність.
-
Чіткі інструкції щодо застосування коригувальних заходів або виправлення.
Процес координованого розкриття вразливості вважається завершеним, якщо цю вразливість було усунено або виправлено за допомогою відповідних заходів і було оприлюднено інформацію про те, що ознаки у звіті про вразливість є необґрунтованими, і, отже, звіт може бути опрацьований лише в обмеженому обсязі або не опрацьований взагалі.
Ми вважаємо процес CVD завершеним, коли відбувається одна з наступних подій:
-
було впроваджено виправлення або пом'якшення наслідків та опубліковано публічне повідомлення; або
-
повідомлену проблему було визначено як невразливість (хибнопозитивний результат або проблема поза рамками), і про це було повідомлено заявнику; або
-
ми не можемо відтворити або потребуємо більше інформації, а доповідач не відповідає протягом тривалого періоду (зазвичай 30 днів), у такому випадку ми закриваємо справу до отримання нової інформації.
Ми повідомляємо доповідача про завершення процесу CVD, якщо тільки вразливість не була повідомлена анонімно.
Ⅵ. Винагороди
Ми глибоко цінуємо зусилля доповідачів та інших осіб, які конфіденційно повідомляють нам про вразливості. На знак подяки ми підтримуємо Програму винагород за виявлення вразливостей. Зовнішні дослідники безпеки, які відповідально повідомляють про вразливості відповідно до цієї політики, можуть мати право на фінансову винагороду на знак вдячності. Розмір будь-якої винагороди визначається індивідуально на основі серйозності повідомленої вразливості, як описано в наших Правилах та умовах програми винагород за виявлення вразливостей.
Ⅶ. Правова «безпечна гавань»
Дотримуючись цієї політики CVD, Keenetic визнає, що доповідач діє в рамках «добросовісного» дослідження, і не буде пред'являти кримінальні звинувачення проти доповідача у зв'язку з дослідницькою діяльністю.