☰

Atbildīga ievainojamību atklāšana CERT.LV

CERT.LV atbalsta atbildīgas IT drošības nepilnību atklāšanas labo praksi un aicina drošības pētniekus ziņot par ievainojamībām CERT.LV domēnā esošajos servisos.

Gaidīsim informāciju par tādām ievainojamībām kā starpvietņu skriptošana (cross-site scripting), šifrēšanas kļūdas (encryption flaws), attālināta koda izpilde (remote code execution) u.c.

Kā paziņot par drošības ievainojamību?

Drošības pētniekus aicinām sūtīt e-pastu uz cert iekļaujot šādu informāciju:

  • Ievainojamības vai nepilnības aprakstu;
  • Ievainojamības izmantošanas veidu, ja tāds zināms;
  • Saiti, ekrānuzņēmumu vai citu informāciju, kas palīdz identificēt ievainojamību.

Iesniegt informāciju par ievainojamību

Drošības nolūkos aicinām lietot CERT.LV PGP atslēgu.
CERT.LV apņemas informēt par ievainojamības novēršanas procesu un paziņot, kad nepilnība ir novērsta.

Ko sagaidām no drošības pētnieka?

  • Neizmantot ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai (tikai, lai pierādītu ievainojamības esamību);
  • Neizmantot ievainojamību, lai izņemtu, grozītu vai dzēstu informāciju;
  • Nemēģināt ietekmēt pakalpojumu pieejamību, izmantojot DoS (pakalpojuma atteices) uzbrukumus;
  • Neveikt sociālās inženierijas uzbrukumus;
  • Novērtēsim, ja ievainojamību neizziņosiet publiski, pirms neesam to novērsuši.

Ko CERT.LV piedāvā?

CERT.LV nepiedāvā atlīdzību par ievainojamības atrašanu, bet pēc ievainojamības novēršanas var palīdzēt sagatavot informāciju publicēšanai, nodrošinot pozitīvu atbalstu un publicitāti, ja pētnieks izsaka šādu vēlēšanos.

Ja vēlies paziņot par ievainojamību citas iestādes servisos, aicinām sūtīt informāciju uz cert, izmantojot CERT.LV komandas PGP atslēgu.
CERT.LV PGP atslēga
User ID: CERT.LV (cert)
Key ID: 0xE49D332C
Fingerprint: EBBE 32C8 243B B714 E1FB  2EDF DBDA ACC3 E49D 332C