In qualità di sviluppatori di software di sicurezza, in ESET comprendiamo l'importanza di proteggere la privacy e la sicurezza di tutti gli utenti della tecnologia, non solo dei nostri clienti. Valorizziamo la fiducia che i nostri clienti ripongono nei nostri prodotti e servizi e ci impegniamo a garantire la loro sicurezza e riservatezza, affrontando tempestivamente eventuali problematiche segnalate. Allo stesso modo, nel rispetto degli interessi legittimi di altri fornitori di hardware, software e servizi, qualora le nostre ricerche rivelassero vulnerabilità nei loro prodotti, l’obiettivo di ESET è garantire la massima protezione del nostro mondo digitale condiviso. Crediamo che ciò sia possibile solo attraverso un processo di divulgazione coordinata delle vulnerabilità.
Politica di divulgazione coordinata delle vulnerabilità
I processi di divulgazione coordinata incoraggiano ricercatori e fornitori a collaborare, con l’obiettivo di offrire il massimo livello di protezione al maggior numero di utenti, in tempi adeguati. Se scopriamo una vulnerabilità in un prodotto o servizio di terze parti, faremo ogni sforzo per contattare i fornitori interessati, collaborare con loro per risolvere la vulnerabilità e posticipare la divulgazione pubblica fino al rilascio di un aggiornamento o fino a 90 giorni dal primo contatto, a seconda di quale evento si verifichi per primo. Se non riuscissimo a stabilire un contatto soddisfacente, procederemo con la divulgazione pubblica dopo 90 giorni dal primo tentativo.
Ci impegniamo a non trarre alcun vantaggio economico dalle vulnerabilità scoperte e a rispettare i principi della divulgazione coordinata come espressi in questa politica.
Tutte le comunicazioni relative a vulnerabilità scoperte dai ricercatori ESET devono essere inviate a: vulnerability.disclosures@eset.com
Scoperta e segnalazione
I ricercatori ESET possono scoprire vulnerabilità in prodotti o servizi di terze parti per diversi motivi. Oltre ai team dedicati alla ricerca di vulnerabilità, anche l’analisi di software sospetti o dannosi può portare alla scoperta di vulnerabilità, servizi mal configurati o accessi non autorizzati a dati riservati.
Quando viene identificata una possibile vulnerabilità, il processo seguito è il seguente:
- Verranno effettuati sforzi approfonditi per individuare i contatti appropriati del prodotto o servizio interessato, utilizzando indirizzi email standard del settore (es. secure@, security@), file security.txt, contatti tecnici sul sito web del fornitore, social media o altri canali già utilizzati con successo.
- Ai contatti identificati verrà inviato un report dettagliato contenente: descrizione del prodotto/servizio interessato, natura della vulnerabilità, modalità di sfruttamento, eventuale sfruttamento attivo, impatto stimato e suggerimenti per la mitigazione. Il report includerà anche un link a questa politica, un’offerta di supporto e l’intenzione di pubblicare un report di divulgazione.
- Il fornitore dovrebbe rispondere, anche solo per contestare la segnalazione o richiedere ulteriori dettagli.
- Se non viene ricevuta alcuna risposta entro 7 giorni di calendario, lo stesso messaggio verrà reinviato ai contatti identificati e verranno cercati ulteriori contatti potenziali, ai quali sarà inviato anche il report di divulgazione della vulnerabilità. Questi contatti potranno essere richiesti ad altri ricercatori di sicurezza con cui collaboriamo regolarmente e/o a CERT regionali, di settore o nazionali e ad organizzazioni simili. A parte il fatto che segnaleremo ai contatti individuati l’esistenza di una vulnerabilità di sicurezza, manterremo riservati tutti i dettagli significativi relativi alla vulnerabilità durante la ricerca di questi ulteriori contatti.
- Il fornitore dovrebbe rispondere, anche solo per contestare la segnalazione o richiedere ulteriori dettagli.
- Se dopo ulteriori 14 giorni non riceviamo risposta, potremmo tentare di contattare il fornitore telefonicamente.
- Se nessuno di questi tentativi di contatto produce una risposta soddisfacente, pubblicheremo una divulgazione della vulnerabilità 90 giorni di calendario dopo il primo tentativo di contattare i fornitori interessati. Una risposta al nostro report di divulgazione della vulnerabilità che includa minacce legali sarà considerata una risposta non soddisfacente. Il nostro intento è sinceramente quello di aiutare voi e i vostri clienti a raggiungere un livello migliore di sicurezza o privacy, e non abbiamo alcun interesse economico in merito, in un senso o nell’altro.
- Se il fornitore fornisce una risposta soddisfacente a uno qualsiasi di questi tentativi di contatto, collaboreremo con lui secondo quanto descritto nella sezione successiva.
Mitigazione e tempistiche
Una volta che un fornitore risponde al nostro contatto per la divulgazione della vulnerabilità e manifesta la volontà di risolverla, i ricercatori ESET collaboreranno con il fornitore per un massimo di 90 giorni di calendario a partire dalla data della risposta. Trascorsi i 90 giorni, oppure prima se la vulnerabilità viene corretta, procederemo con la pubblicazione della divulgazione della vulnerabilità.
- Naturalmente, incoraggiamo i fornitori a risolvere le vulnerabilità di sicurezza nel minor tempo possibile, ma riconosciamo anche che concentrarsi eccessivamente sulla rapidità di rilascio delle patch può portare a risultati non ottimali. Il nostro obiettivo principale è ottenere il miglior miglioramento possibile in termini di sicurezza o privacy complessiva, quindi la velocità di mitigazione rappresenta sempre un equilibrio da trovare.
- In generale, ci impegniamo a non pubblicare una divulgazione della vulnerabilità: per 90 giorni di calendario dalla ricezione della risposta iniziale del fornitore; oppure per 90 giorni dal primo tentativo di contatto nei casi in cui il fornitore non risponda, non risponda in modo soddisfacente o non sia disposto a collaborare; oppure in un momento precedente, in coordinamento con il rilascio da parte del fornitore di un aggiornamento o di una patch che risolva la vulnerabilità.
- Tuttavia, ci riserviamo il diritto di pubblicare una divulgazione della vulnerabilità in qualsiasi momento, a seconda di vari fattori, tra cui, ma non solo: il rilascio da parte del fornitore di un aggiornamento senza aver collaborato con questo processo; la pubblicazione indipendente da parte di altri ricercatori dei dettagli della vulnerabilità; la scoperta che la vulnerabilità è stata sfruttata in attacchi reali; oppure un cambiamento significativo in negativo nella nostra valutazione dell’impatto della vulnerabilità.
- Ad esempio, qualora ritenessimo che l’interesse pubblico richieda una pubblicazione immediata (come nel caso dello sfruttamento attivo di una vulnerabilità ad alto impatto già in circolazione), ci riserviamo il diritto di pubblicare la ricerca entro 7 giorni di calendario dal nostro primo tentativo di notifica, o anche prima in casi estremamente urgenti, come la diffusione di un worm informatico che sfrutta una vulnerabilità zero-day di rete per propagarsi su Internet. In tali casi, questa intenzione sarà chiaramente indicata nel report di divulgazione della vulnerabilità inviato ai fornitori.
- In casi eccezionali, possiamo, a nostra esclusiva discrezione, concedere un periodo di tolleranza superiore ai 90 giorni. I fornitori che necessitano di più tempo per sviluppare, testare e rilasciare misure di mitigazione adeguate dovrebbero segnalare la possibilità di aver bisogno di una proroga il prima possibile nel processo di divulgazione coordinata.
- Infine, ci riserviamo la possibilità di comunicare la scoperta a una terza parte fidata, come un CSIRT, un CERT nazionale o una coalizione di settore appropriata (es. FS-ISAC, ICASI), allo scopo di ricevere assistenza nel coordinamento della divulgazione o, eventualmente, delegare completamente tale coordinamento. In quest’ultimo caso, si applicheranno le politiche di divulgazione dell’organizzazione coinvolta, e non la presente politica.