☰

Atbildīga ievainojamību atklāšana CERT.LV

CERT.LV atbalsta atbildīgas IT drošības nepilnību atklāšanas labo praksi un aicina drošības pētniekus ziņot par ievainojamībām CERT.LV domēnā esošajos servisos.

Gaidīsim informāciju par tādām ievainojamībām kā starpvietņu skriptošana (cross-site scripting), šifrēšanas kļūdas (encryption flaws), attālināta koda izpilde (remote code execution) u.c.

Kā paziņot par drošības ievainojamību?

Drošības pētniekus aicinām sūtīt e-pastu uz cert iekļaujot šādu informāciju:

  • Ievainojamības vai nepilnības aprakstu;
  • Ievainojamības izmantošanas veidu, ja tāds zināms;
  • Saiti, ekrānuzņēmumu vai citu informāciju, kas palīdz identificēt ievainojamību.

Iesniegt informāciju par ievainojamību

Drošības nolūkos aicinām lietot CERT.LV PGP atslēgu, kas pieejama šeit: https://cert.lv/lv/kontakti
CERT.LV apņemas informēt par ievainojamības novēršanas procesu un paziņot, kad nepilnība ir novērsta.

Ko sagaidām no drošības pētnieka?

  • Neizmantot ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai (tikai, lai pierādītu ievainojamības esamību);
  • Neizmantot ievainojamību, lai izņemtu, grozītu vai dzēstu informāciju;
  • Nemēģināt ietekmēt pakalpojumu pieejamību, izmantojot DoS (pakalpojuma atteices) uzbrukumus;
  • Neveikt sociālās inženierijas uzbrukumus;
  • Novērtēsim, ja ievainojamību neizziņosiet publiski, pirms neesam to novērsuši.

Ko CERT.LV piedāvā?

CERT.LV nepiedāvā atlīdzību par ievainojamības atrašanu, bet pēc ievainojamības novēršanas var palīdzēt sagatavot informāciju publicēšanai, nodrošinot pozitīvu atbalstu un publicitāti, ja pētnieks izsaka šādu vēlēšanos.

Ja vēlies paziņot par ievainojamību citas iestādes servisos, aicinām sūtīt informāciju uz cert, izmantojot CERT.LV komandas PGP atslēgu.
CERT.LV PGP atslēga pieejama šeit: https://cert.lv/lv/kontakti
User ID: CERT.LV (cert)
Key type: RSA
Fingerprint: B5E8 82A1 338E 7749 09D0  A8F0 87BC CEED C0DE 2EC3