responsible Disclosure PoLicy

Einführung

ONEKEY ist eine Plattform für automatisierte Sicherheitsanalysen und Compliance-Prüfungen von IoT-Firmware. Unsere Mission ist es, das Internet der Dinge zu sichern. Um Schwachstellen und Schwachstellenmuster in IoT-Geräten zu entdecken und die automatische Identifizierung weiter zu verbessern, die eine skalierbare Erkennung innerhalb von ONEKEY ermöglicht, führen wir umfangreiche Sicherheitsforschung im Bereich IoT durch. Durch die Behebung vorhandener Sicherheitslücken und die Installation der neuesten Sicherheitspatches auf die betroffenen Geräte spielen Anbieter, Hersteller und Endbenutzer alle eine wichtige Rolle bei der Absicherung des Internet der Dinge. Immer wenn das ONEKEY Research Lab Sicherheitslücken im Internet der Dinge entdeckt
Firmware, unser Ziel ist es, relevante Informationen verantwortungsbewusst an den Hersteller des betroffenen IoT-Geräts sowie an die breite Öffentlichkeit weiterzugeben, sodass potenzielle Schäden minimiert und weitere Sicherheitsanalysen von IoT-Systemen gefördert werden.
Aber...
ONEKEY Research Lab respektiert die Privatsphäre seiner Kunden und die Vertraulichkeit der über die ONEKEY-Plattform durchgeführten Analysen. Aus diesem Grund wird ONEKEY Research Lab keine von seinen Kunden identifizierten Sicherheitslücken über die ONEKEY-Plattform.

Offenlegungs-Prozess

Um den Best Practices der Branche zu folgen, basiert unser Verfahren zur verantwortungsvollen Offenlegung von Sicherheitslücken auf der Google-Richtlinie zur Offenlegung von Sicherheitslücken. (https://www.google.com/about/appsecurity/): Wir glauben, dass die Offenlegung von Sicherheitslücken keine Einbahnstraße ist. Sowohl Anbieter als auch Forscher müssen verantwortungsbewusst handeln. Aus diesem Grund hält sich ONEKEY Research Lab an eine 90-tägige Offenlegungsfrist. Wir benachrichtigen Anbieter sofort über Sicherheitslücken und veröffentlichen Details erst nach 90 Tagen (oder früher, wenn der Anbieter einen Fix veröffentlicht). Diese Frist kann auf folgende Weise variieren:

• Wenn eine Frist an einem Wochenende oder einem US-amerikanischen Feiertag abläuft, wird die Frist auf den nächsten Werktag verschoben.
• Wenn uns ein Anbieter vor Ablauf der 90-Tage-Frist mitteilt, dass die Veröffentlichung eines Patches an einem bestimmten Tag geplant ist, der innerhalb von 14 Tagen nach Ablauf der Frist liegt, verzögern wir die Veröffentlichung, bis der Patch verfügbar ist.
• Wenn wir eine bisher unbekannte und ungepatchte Sicherheitslücke in einer Software beobachten, die aktiv ausgenutzt wird (ein „0-Tag“), sind wir der Ansicht, dass dringendere Maßnahmen — innerhalb von 7 Tagen — angemessen sind. Der Grund für diese besondere Bezeichnung ist, dass jeden Tag, an dem eine aktiv ausgenutzte Sicherheitslücke der Öffentlichkeit verborgen bleibt und nicht gepatcht wird, mehr Geräte oder Konten gefährdet werden. Sieben Tage sind ein aggressiver Zeitplan und können für einige Anbieter zu kurz sein, um ihre Produkte zu aktualisieren, aber es sollte genug Zeit sein, um Ratschläge zu möglichen Abhilfemaßnahmen zu veröffentlichen, wie z. B. die vorübergehende Deaktivierung eines Dienstes, die Beschränkung des Zugriffs oder die Kontaktaufnahme mit dem Anbieter für weitere Informationen. Daher werden wir Forscher nach Ablauf von 7 Tagen ohne einen Patch oder eine Empfehlung dabei unterstützen, Informationen zur Verfügung zu stellen, damit die Benutzer Maßnahmen ergreifen können, um sich selbst zu schützen.
• Wenn Geräte oder Software, für die das Offenlegungsverfahren gilt, vom Anbieter ausdrücklich als Ende der Lebensdauer oder des Supports bezeichnet werden, begrenzen wir die Frist auf 30 Tage, es sei denn, wir erhalten eine positive Bestätigung, dass der Anbieter einen Out-of-Band-Patch herausgeben wird.
• Wie immer behalten wir uns das Recht vor, Termine aufgrund extremer Umstände vor- oder zurückzuziehen. Wir setzen uns weiterhin dafür ein, alle Anbieter gleich zu behandeln. ONEKEY und ONEKEY Research Lab gehen davon aus, dass dieselben Standards eingehalten werden.

Wir können uns während des Prozesses zur verantwortungsvollen Offenlegung an Computer Emergency Response Teams (CERT) wenden, um die öffentliche Offenlegung zu koordinieren, falls kritische Sicherheitslücken festgestellt wurden, die eine große Nutzerbasis betreffen.

Zusammenarbeit mit Anbietern

ONEKEY Research Lab verpflichtet sich, angemessene Anstrengungen zu unternehmen, um die Kommunikation mit dem betroffenen Anbieter herzustellen. Wir versuchen, den öffentlich zugänglichen Sicherheitskontakt zu verwenden, andernfalls kontaktieren wir den Herstellersupport über öffentlich zugängliche Mechanismen und/oder senden E-Mails an die Adressen security@, support@, info@.

Wir bitten die Anbieter, einen geeigneten Sicherheitskontakt einschließlich Verschlüsselungszertifikaten zur Verfügung zu stellen, um die Vertraulichkeit der Sicherheitshinweise oder der weiteren Kommunikation zu gewährleisten. In keinem Fall wird eine Sicherheitslücke „verschwiegen“, weil ein Produktanbieter sie nicht beheben möchte. Um die Transparenz des Prozesses zu gewährleisten, nehmen wir die Zusammenfassung der Kommunikation, die wir mit dem Anbieter geführt haben, in die Beratung auf.

Wir empfehlen Anbietern, uns aktuelle Informationen zur Verfügung zu stellen, die in die endgültige Sicherheitsempfehlung aufgenommen werden. Dazu könnten gehören: die Softwareversionen oder Hardwarerevisionen, die von dem Fehler betroffen sind, die Nummer der behobenen Version und eine Möglichkeit, das Update zu erhalten (z. B. die URL einer Website, auf der das Sicherheitsupdate oder die neue Version heruntergeladen werden kann). Wir empfehlen dem Anbieter, die CVE-Nummern für die entsprechende Sicherheitslücke anzufordern.

Wir freuen uns, wenn Anbieter die Forscher, die das Sicherheitsproblem identifiziert haben, und ONEKEY Research Lab in den Versionshinweisen und Ankündigungen des Anbieters würdigen.

ONEKEY Forschungslabor

Das ONEKEY Research Lab ist die integrierte Forschungsorganisation von ONEKEY. Für Anfragen, Feedback oder Kommentare wenden Sie sich bitte an research (at) onekey.com.

‍