Atbildīga ievainojamību atklāšana CERT.LV
CERT.LV atbalsta atbildīgas IT drošības nepilnību atklāšanas labo praksi un aicina drošības pētniekus ziņot par ievainojamībām CERT.LV domēnā esošajos servisos.
Gaidīsim informāciju par tādām ievainojamībām kā starpvietņu skriptošana (cross-site scripting), šifrēšanas kļūdas (encryption flaws), attālināta koda izpilde (remote code execution) u.c.
CERT.LV savu programmu ar pieejamajiem resursiem testēšanai reģistrējusi arī ievainojamību ziņošanas platformā CVD.CERT.LV ⇒ https://cvd.cert.lv/programs/view/7
Kā paziņot par drošības ievainojamību?
Konstatēto ievainojamību drošības pētnieks var reģistrēt un pieteikt CERT.LV uzturētajā ievainojamību ziņošanas platformā cvd.cert.lv VAI sūtīt e-pastu uz cert iekļaujot šādu informāciju:
- Ievainojamības vai nepilnības aprakstu;
- Ievainojamības izmantošanas veidu, ja tāds zināms;
- Saiti, ekrānuzņēmumu vai citu informāciju, kas palīdz identificēt ievainojamību.
Iesniegt informāciju par ievainojamību
Drošības nolūkos aicinām lietot CERT.LV PGP atslēgu, kas pieejama šeit: https://cert.lv/lv/kontakti
CERT.LV apņemas informēt par ievainojamības novēršanas procesu un paziņot, kad nepilnība ir novērsta.
Ko sagaidām no drošības pētnieka?
- Neizmantot ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai (tikai, lai pierādītu ievainojamības esamību);
- Neizmantot ievainojamību, lai izņemtu, grozītu vai dzēstu informāciju;
- Nemēģināt ietekmēt pakalpojumu pieejamību, izmantojot DoS (pakalpojuma atteices) uzbrukumus;
- Neveikt sociālās inženierijas uzbrukumus;
- Novērtēsim, ja ievainojamību neizziņosiet publiski, pirms neesam to novērsuši.
Ko CERT.LV piedāvā?
CERT.LV nepiedāvā atlīdzību par ievainojamības atrašanu, bet pēc ievainojamības novēršanas var palīdzēt sagatavot informāciju publicēšanai, nodrošinot pozitīvu atbalstu un publicitāti, ja pētnieks izsaka šādu vēlēšanos.
Ja vēlies paziņot par ievainojamību citas iestādes servisos, aicinām sūtīt informāciju uz cert, izmantojot CERT.LV komandas PGP atslēgu.
CERT.LV PGP atslēga pieejama šeit: https://cert.lv/lv/kontakti
User ID: CERT.LV (cert)
Key type: RSA
Fingerprint: B5E8 82A1 338E 7749 09D0 A8F0 87BC CEED C0DE 2EC3