Zásady zveřejňování zranitelností

Úvod

Společnost Ansell je celosvětovým odborníkem na bezpečnostní řešení, který již 125 let vytváří novou osobní ochranu. Milionům lidí v práci i doma poskytujeme nejmodernější ochranná řešení, která je chrání před nebezpečím. Naše znalosti, inovativní produkty a vyspělé technologie poskytují našim zákazníkům klid a důvěru, kterou žádná jiná značka nemůže dodat. Posláním společnosti Ansell je poskytovat inovativní bezpečnostní řešení důvěryhodným a spolehlivým způsobem, a vytvářet tak svět chráněný produkty Ansell.

Cílem těchto zásad je poskytnout výzkumným pracovníkům v oblasti bezpečnosti jasné pokyny pro provádění činností souvisejících s odhalováním zranitelností a sdělit jim naše preference ohledně způsobu, jakým nám mají odhalené zranitelnosti v oblasti kybernetické bezpečnosti zasílat.

Tyto zásady popisují, na jaké systémy a typy výzkumu se tyto zásady vztahují, jak nám zasílat zprávy o zranitelnostech a jak dlouho žádáme výzkumníky v oblasti bezpečnosti, aby počkali, než zveřejní zranitelnost v oblasti kybernetické bezpečnosti.

Doporučujeme vám, abyste nás kontaktovali a nahlásili nám jakoukoli potenciální zranitelnost našich systémů.

Autorizace

Pokud se budete v dobré víře snažit dodržovat tyto zásady během svého bezpečnostního výzkumu, budeme váš výzkum považovat za schválený a budeme s vámi spolupracovat na rychlém pochopení a vyřešení jakéhokoli problému s kybernetickou bezpečností a společnost Ansell nebude doporučovat ani podnikat právní kroky související s vaším výzkumem. Pokud by proti vám třetí strana zahájila právní kroky v souvislosti s činnostmi, které byly provedeny v souladu s těmito zásadami, dáme vám toto oprávnění na vědomí.

Pokyny pro uživatele

1. Nahlášení nových, jedinečných zranitelností v oblasti kybernetické bezpečnosti: To nám pomáhá soustředit se na odstraňování rizik, která mají pro nás a naše zákazníky největší dopad. Nepředkládejte velké množství zpráv s nízkou kvalitou a nízkým rizikem.
2. Neohrožujte systémy ani neexfiltrujte data: Využívejte exploity pouze v rozsahu nezbytném pro potvrzení přítomnosti zranitelnosti kybernetické bezpečnosti. Jakmile získáte dostatek informací, které naznačují problém se zabezpečením, nepokoušejte se zjistit perzistenci, zaměřit, vyčíslit nebo exfiltraci jakýchkoli interních dat, zřídit přístup k příkazovému řádku, použít zranitelnost k přechodu na jiné systémy. Pokud se setkáte s jakýmikoliv citlivými údaji (včetně osobních údajů, finančních informací nebo informací chráněných vlastnictvím či obchodním tajemstvím jakékoli strany), přerušte testování a neprodleně o tom informujte pouze společnost Ansell.
3. Respektujte ostatní: Nedělejte to: narušovat soukromí zaměstnanců nebo zákazníků společnosti Ansell, přistupovat k datům, která vám nepatří, nebo se pokoušet o přístup k nim; způsobovat zhoršení uživatelského komfortu, provádět netechnické útoky (např. sociální inženýrství, phishing nebo neoprávněný přístup k infrastruktuře a zaměstnancům společnosti Ansell) nebo provádět jakékoli činnosti, které mohou mít negativní vliv na společnost Ansell nebo její zákazníky; způsobovat narušení produkčních systémů a odhalení, zničení nebo manipulaci s daty.
4. Spolupráce: Spolupracujte s námi pouze prostřednictvím našeho koordinovaného procesu zveřejňování, jakmile je zjištěna zranitelnost v oblasti kybernetické bezpečnosti. E-mailová adresa a webový formulář HTTPS jsou k dispozici níže.
5. Jakmile zjistíte skutečný nebo potenciální bezpečnostní problém s naším systémem, informujte nás o tom (pomocí níže uvedených kroků). Chceme se těmito otázkami zabývat neprodleně a žádáme vás, abyste včasné oznámení neobětovali, zatímco budete provádět další výzkum, např. jiných produktů.
6. Než problém zveřejníte, poskytněte nám přiměřený čas na jeho vyřešení. 90 kalendářních dnů od obdržení (software, včetně cloudových systémů a mobilních aplikací) nebo 120 kalendářních dnů od obdržení (hardware, firmware a bezdrátové připojení).

Zveřejnění informací

Jak je uvedeno ve výše uvedených pokynech, v zájmu dodržení těchto zásad vás žádáme, abyste se zdrželi sdílení svého hlášení o společnosti Ansell s ostatními osobami před jeho odesláním nám a po dobu, než prošetříme podezření na zranitelnost v oblasti kybernetické bezpečnosti a případně budeme pracovat na opravě nebo jiném řešení. Před zveřejněním nám prosím sdělte veškeré problémy společnosti Ansell.

Jakmile po vyřešení kybernetické bezpečnostní chyby dokončíme naše zjištění, budeme vás informovat. V zájmu dodržení těchto zásad požadujeme, abyste v příspěvcích na blogu, veřejných zprávách, prezentacích nebo jiných veřejných prohlášeních k této záležitosti uvedli vedle svých zjištění také odkaz na zjištění společnosti Ansell. Kromě případného uvedení celkové časové osy týkající se zranitelnosti, na kterou jste nás upozornili, nebudeme bez vašeho souhlasu zveřejňovat informace o vás ani o naší komunikaci s vámi. Pokud si přejete, abychom vás poznali, poděkujeme vám jménem nebo rukojetí v našem poradenství. Společnost Ansell nepřiznává zaměstnancům ani smluvním partnerům společnosti Ansell a jejích dceřiných společností zásluhy za nalezené zranitelnosti.

Pokud se v těchto zásadách hovoří o "zranitelnosti" nebo "zranitelnostech", má se za to, že všechny takové odkazy znamenají potenciální nebo domnělé zranitelnosti v oblasti kybernetické bezpečnosti, ať už jsou takto uvedeny, nebo ne, dokud společnost Ansell takovou zranitelnost neprošetří a nepotvrdí. Uznání odhalení zranitelnosti a načasování uznání je zcela na našem uvážení a program můžeme kdykoli zrušit. Vaše testování nesmí porušovat žádné zákony.

Zkušební metody

Následující zkušební metody nejsou povoleny:

• Testy odepření služby (DoS nebo DDoS) nebo jiné testy, které zhoršují přístup k systému nebo datům nebo je poškozují.
• Fyzické testování (např. přístup do kanceláře, otevřené dveře, sledování), sociální inženýrství (např. phishing, vishing) nebo jiné netechnické testování zranitelnosti.

Rozsah

Tyto zásady se vztahují na následující systémy a služby:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Jakákoli jiná subdoména ansell.com

Tyto zásady se nevztahují na všechny žádosti zákazníků.

Zranitelnosti mimo rozsah

Při hlášení zranitelností zvažte (1) scénář útoku / možnost zneužití a (2) bezpečnostní dopad chyby. Následující otázky jsou považovány za otázky mimo oblast působnosti:

• Clickjacking na stránkách bez citlivých akcí
• Zfalšování požadavku Cross-Site Request Forgery (CSRF) na neověřených formulářích nebo formulářích bez citlivých akcí.
• Útoky vyžadující MITM nebo fyzický přístup k zařízení uživatele.
• Dříve známé zranitelné knihovny bez funkčního ověření konceptu
• Vstřikování hodnot oddělených čárkou (CSV) bez prokázání zranitelnosti.
• Chybějící osvědčené postupy při konfiguraci SSL/TLS.
• jakákoli činnost, která by mohla vést k narušení našich služeb (DoS).
• Problémy s podvržením obsahu a vkládáním textu bez zobrazení vektoru útoku/bez možnosti upravovat HTML/CSS
• Omezení rychlosti nebo problémy s použitím hrubé síly na koncových bodech bez ověření
• Chybějící osvědčené postupy v zásadách zabezpečení obsahu
• Chybějící příznaky Pouze Http nebo Zabezpečeno u souborů cookie
• Chybějící osvědčené postupy pro e-maily (neplatné, neúplné nebo chybějící záznamy SPF/DKIM/DMARC atd.)
• Zranitelnosti, které se týkají pouze uživatelů zastaralých nebo neopravených prohlížečů [méně než 2 stabilní verze za poslední vydanou stabilní verzí]
• Zveřejnění verze softwaru / Problémy s identifikací banneru / Popisné chybové zprávy nebo hlavičky (např. stopy zásobníku, chyby aplikace nebo serveru)
• Tabnabbing
• Otevřené přesměrování - pokud nelze prokázat dodatečný dopad na bezpečnost.
• Problémy, které vyžadují nepravděpodobnou interakci uživatele

Jakékoli služby, které nejsou výslovně uvedeny výše, jako například jakékoli související služby, jsou z oblasti působnosti vyloučeny a nejsou povoleny k testování. Kromě toho zranitelnosti v oblasti kybernetické bezpečnosti nalezené v systémech našich dodavatelů nespadají do oblasti působnosti těchto zásad a měly by být nahlášeny přímo dodavateli v souladu s jeho zásadami pro zveřejňování (pokud existují). Pokud si nejste jisti, zda systém spadá do oblasti působnosti, kontaktujte nás na adrese security.vdr@ansell.com ještě před zahájením výzkumu.

Přestože vyvíjíme a spravujeme další systémy nebo služby přístupné přes internet, žádáme, aby se aktivní výzkum a testování prováděly pouze na systémech a službách, na které se vztahuje rozsah tohoto dokumentu. Pokud existuje nějaký konkrétní systém, který není v rozsahu působnosti a který si podle vás zaslouží testování, kontaktujte nás a nejprve s námi o něm diskutujte. Postupem času hodláme rozsah této politiky rozšířit.

Nahlášení zranitelnosti

Informace poskytnuté podle těchto zásad budou použity pouze pro obranné účely - ke zmírnění nebo nápravě zranitelností v oblasti kybernetické bezpečnosti. Vaše jméno ani kontaktní údaje nebudeme sdílet bez výslovného souhlasu.

Hlášení o zranitelnostech přijímáme prostřednictvím tohoto formuláře níže nebo na adrese security.vdr@ansell.com. Hlášení lze podat anonymně. Pokud nám sdělíte kontaktní údaje, potvrdíme vám přijetí zprávy do 3 pracovních dnů.

Nepodporujeme e-maily šifrované pomocí PGP. V případě obzvláště citlivých informací odešlete žádost prostřednictvím níže uvedeného webového formuláře HTTPS.

Co bychom od vás rádi viděli

Abyste nám pomohli s tříděním a stanovením priorit, doporučujeme, aby vaše zprávy:

• Popište místo, kde byla zranitelnost kybernetické bezpečnosti objevena, a potenciální dopad zneužití.
• Nabídněte podrobný popis kroků potřebných k reprodukci zranitelnosti kybernetické bezpečnosti (užitečné jsou ukázkové skripty nebo snímky obrazovky), včetně (pokud je to relevantní):
  o verze mobilní aplikace
  o typ zařízení, verze operačního systému, verze prohlížeče
• Pokud možno v angličtině.

Co od nás můžete očekávat

Pokud se rozhodnete sdílet s námi své kontaktní údaje, zavazujeme se, že s vámi budeme co nejotevřeněji a nejrychleji spolupracovat.

• Do 5 pracovních dnů vám potvrdíme, že jsme vaši zprávu obdrželi.
• V rámci našich možností vám potvrdíme existenci zranitelnosti kybernetické bezpečnosti a budeme co nejtransparentněji informovat o krocích, které podnikáme během procesu nápravy, včetně problémů nebo výzev, které mohou řešení zpozdit.
• Budeme udržovat otevřený dialog a diskutovat o problémech.
• Nahlášením bezpečnostní chyby nebo zranitelnosti nám dáváte právo použít vaše hlášení k jakémukoli účelu.

Otázky

Dotazy týkající se těchto zásad můžete zasílat na adresu security.vdr@ansell.com. Vyzýváme vás také, abyste nás kontaktovali s návrhy na zlepšení těchto zásad.