Haavoittuvuuksien havaitsemiskäytännöt

Johdanto

Ruuvi Innovations on sitoutunut varmistamaan käyttäjiensä turvallisuuden suojaamalla heidän tietojaan. Näiden käytäntöjen tarkoitus on tarjota tietoturvatutkijoille selvät suuntaviivat haavoittuvuuksien löytämiseen tehtävien toimintojen suorittamiseen ja meille mahdollisista ongelmista ilmoittamiseen.

Tämä sivu kertoo, mitkä järjestelmät ja tutkimustavat kuuluvat edellä mainittuihin käytäntöihin, miten meille voi lähettää haavoittuvuusraportteja ja miten pitkään pyydämme turvallisuustutkijoita odottaan ennen kuin haavoittuvuuksista kerrotaan julkisesti.

Kannustamme sinua ottamaan meihin yhteyttä jos havaitset mahdollisia haavoittuvuuksia järjestelmissämme.

Valtuuttaminen

Jos seuraat näitä käytäntöjä vilpittömästi tehdessäsi turvallisuustutkimusta, pidämme tutkimustasi valtuutettuna. Työskentelemme kanssasi ymmärtääksemme ja ratkaistaksemme ongelman nopeasti ja Ruuvi Innovations ei suosittele tai aja oikeudellisia toimia tutkimukseeksi liittyen. Jos olet tehnyt tutkimusta tämän käytännön mukaisesti ja sinua kohtaan tehdään oikeudellisia toimia kolmannen osapuolen toimesta tutkimukseen liittyen, tuomme sinun valtuutuksen ilmi.

Suuntaviivat

Tässä käytännössä "tutkimus" tarkoittaa toimintaa jossa:

• Ilmoitat meille mahdollisimman nopeasti heti kun löydät oikean tai potentiaalisen turvallisuusongelman.
• Teet kaikkesi, ettet tee yksityisyysrikkeitä, heikennä käyttäjäkokemusta, häiritse tuotantojärjestelmiä etkä tuhoa tai väärennä dataa.
• Et käytä heikkouksia tarpeettomasti hyväksi ongelman todentamiseksi. Et käytä heikkoutta hyväksesi vaarantaaksesi tai suodattaaksesi dataa, luodaksesi pääsyä ja/tai pysyvyyttä komentoriviin, tai toisiin järjestelmiin pääsemiseksi.
• Annat meille sopivasti aikaa, jotta voimme ratkaista ongelman ennen kuin kerrot siitä julkisesti.
• Et toimita meille suurta määrää huonolaatuisia raportteja.

Jos huomaat, että jokin haavoittuvuus on olemassa, tai kohtaat jotain arkaluontoista dataa (henkilötietoja, taloustietoja, patenttitietoja tai jonkin tahon liikesalaisuuksia), sinun tulee lopettaa testi ja ilmoittaa meille ongelmasta välittömästi. Et myöskään saa jakaa näitä arkaluontaisia tietoja kenellekkään muulle.

Testitavat

Et ole valtuutettu tekemään seuraavanlaisia testejä:

• Verkon palvelunestotestiä (DoS tai DDoS) tai muuta testiä, joka estää tai vahingoittaa jotain järjestelmää tai tietoja.
• Fyysisiä testejä (esimerkiksi toimistoon pyrkiminen, ovien avaaminen, työntekijän seuraaminen), sosiaalista tiedustelua (tietojenkalastelua tai puhelinurkintaa) tai muunlaisia ei-teknisiä haavoittuvuustestejä.

Laajuus

Tähän käytäntöön kuuluu seuraavat järjestelmät ja palvelut:

• *.ruuvi.com
• ruuvi.com
• Ruuvi Station -sovellus
• Ruuvin laiteohjelmistoversio ^2.5.9
• Ruuvin laiteohjelmistoversio ^3.29.0
• Lähdekoodit
  • https://github.com/ruuvi/com.ruuvi.station
  • https://github.com/ruuvi/com.ruuvi.station.ios
  • https://github.com/ruuvi/ruuvi.firmware.c
  • https://github.com/ruuvi/ruuvi.gateway_esp.c
  • https://github.com/ruuvi/ruuvi.gateway_nrf.c
  • Mikä tahansa Ruuvin ylläpitämä riippuvuus yllä olevista projekteista

Mikä tahansa palvelu, jota ei mainittu yllä olevassa listassa, kuten yhdistetyt palvelut, eivät kuuluu tutkimuksen laajuuteen, joten sinulle ei ole valtuutta testata niitä. Lisäksi jälleenmyyjiemme järjestelmistä löydetyt haavoittuvuudet eivät sisälly meidän käytäntömme laajuuteen ja niistä tulisi ilmoittaa suoraan myyjälle heidän julkiantokäytäntöjen mukaisesti (jos sellaisia on). Jos et ole varma, kuuluuko jokin järjestelmä käytäntömme laajuuteen, ota meihin sähköpostilla yhteyttä osoitteeseen security@ruuvi.com ennen kuin aloitat tutkimuksesi.

Vaikka kehitämme ja ylläpidämme muita internetissä toimivia järjestelmiä ja palveluita, pyydämme, että aktiivinen tutkimus ja testaaminen rajoittuu vain käytäntömme piiriin kuuluviin järjestelmiin ja palveluihin. Jos mielestäsi jokin tietty järjestelmä, joka ei kuuluu käytäntömme laajuteen, vaatii testausta, ota meihin yhteyttä ja voimme ensin keskutella asiasta yhdessä. Kasvatamme tämän käytännön laajuttaa ajan myötä.

Emme tarjoa tällä hetkellä palkkioita bugien löytämisestä.

Haavoittuvuudesta ilmoittaminen

Tämän käytännön mukaisesti välitettyä tietoa käytetään vain puolustuksellisiin toimiin haavoittuvuuksien lieventämiseksi tai korjaamiseksi. Jos löydät tutkimuksessasi uusia haavoittuvuuksia, jotka koskevat kaikkia tuotteen tai palvelun käyttäjiä eikä haavoittuvuus rajoitu vain Ruuvi Innovationsiin, voimme jakaa löydöksesi Suomen kansallisen kyberturvallisuuskeskuksen kanssa, jossa ongelma hoidetaan heidän koordinoidun haavoituuvuuksienpaljastamisprosessin mukaisesti. Emme jaa nimeäsi tai yhteystietojasi ilman sinun erillistä lupaa.

Otamme haavoittuvuusraportteja vastaan osoitteessa security@ruuvi.com. Voit jättää raportin nimettömänä. Jos jaat yhteystietosi, varmistamme sinulle raportin vastaanottamisen kolmen työpäivän kuluessa.

Emme tue PGP-suojattuja sähköposteja.

Lähettämällä haavoittuvuusraportin, tiedostat, ettet odota saavasi tiedosta maksua ja, että luovut nimenomaisesti kaikista tulevista maksuvaatimuksista Ruuvi Innovationsia kohtaan raporttiisi liittyen.

Mitä odotamme sinun tekevän

Jotta voimme määritellä ongelmien kiirellisyyden, toivomme, että raportissasi:

• Kuvailet mistä löysit haavoittuvuuden ja mitä mahdollisia seuraksia sen hyväksikäytöllä voisi olla.
• Tarjoat yksityiskohtaiset vaiheet, joilla haavoittuvuus saadaan uudelleen esille (todisteskripti tai -kuvakaappaus ovat hyödyllisiä).
• Kirjoitat raportin englanniksi, jos vain mahdollista.

Mitä voit odottaa meiltä

Kun jätät meille yhteystietosi, sitoudumme työskentelmään kanssasi mahdollisimman avoimesti ja nopeasti.

• Varmistamme sinulle kolmen työpäivän aikana, että raporttisi on saapunut meille.
• Varmistamme sinulle haavoittuvuuden olemassaolon ja olemme mahdollisimman läpinäkyviä sen poistamiseen liittyvässä prosessissa parhaan kykymme mukaan. Kerromme myös mahdollisista ongelmista tai haasteista, jotka voivat hidastaa ratkaisun löytämistä.
• Ylläpidämme avointa keskustelua ongelmien läpikäymiseksi.
• Pyydämme, ettet julkaise löydöksiäsi ennen kuin ongelma on korjattu ja ratkaisun toimivuus on varmistettu.

Kysymykset

Tähän käytäntöön liittyviä kysymyksiä voi esittää osoitteeseen security@ruuvi.com. Kehotamme sinua lähestymään meitä, jos sinulla on ehdotuksia tämän käytännön parantamiseksi.

Muutoshistoria

Versio 1.0 - 21. syyskuuta 2020