responsible Disclosure PoLicy

Einführung

ONEKEY ist eine Plattform für automatisierte Sicherheitsanalysen und Compliance-Prüfungen von IoT-Firmware. Unsere Mission ist es, das Internet der Dinge zu sichern. Um Schwachstellen und Schwachstellenmuster in IoT-Geräten zu entdecken und die automatische Identifizierung weiter zu verbessern, die eine skalierbare Erkennung innerhalb von ONEKEY ermöglicht, führen wir umfangreiche Sicherheitsforschung im Bereich IoT durch. Durch die Behebung vorhandener Sicherheitslücken und die Installation der neuesten Sicherheitspatches auf die betroffenen Geräte spielen Anbieter, Hersteller und Endbenutzer alle eine wichtige Rolle bei der Absicherung des Internet der Dinge. Immer wenn das ONEKEY Research Lab Sicherheitslücken im Internet der Dinge entdeckt
Firmware, unser Ziel ist es, relevante Informationen verantwortungsbewusst an den Hersteller des betroffenen IoT-Geräts sowie an die breite Öffentlichkeit weiterzugeben, sodass potenzielle Schäden minimiert und weitere Sicherheitsanalysen von IoT-Systemen gefördert werden.
Aber...
ONEKEY Research Lab respektiert die Privatsphäre seiner Kunden und die Vertraulichkeit der über die ONEKEY-Plattform durchgeführten Analysen. Aus diesem Grund wird ONEKEY Research Lab keine von seinen Kunden identifizierten Sicherheitslücken über die ONEKEY-Plattform.

Offenlegungs-Prozess

Um den Best Practices der Branche zu folgen, basiert unser Verfahren zur verantwortungsvollen Offenlegung von Sicherheitslücken auf der Google-Richtlinie zur Offenlegung von Sicherheitslücken. (https://www.google.com/about/appsecurity/): Wir glauben, dass die Offenlegung von Sicherheitslücken keine Einbahnstraße ist. Sowohl Anbieter als auch Forscher müssen verantwortungsbewusst handeln. Aus diesem Grund hält sich ONEKEY Research Lab an eine 90-tägige Offenlegungsfrist. Wir benachrichtigen Anbieter sofort über Sicherheitslücken und veröffentlichen Details erst nach 90 Tagen (oder früher, wenn der Anbieter einen Fix veröffentlicht). Diese Frist kann auf folgende Weise variieren:

• Wenn eine Frist an einem Wochenende oder einem US-amerikanischen Feiertag abläuft, wird die Frist auf den nächsten Werktag verschoben.
• Wenn uns ein Anbieter vor Ablauf der 90-Tage-Frist mitteilt, dass die Veröffentlichung eines Patches an einem bestimmten Tag geplant ist, der innerhalb von 14 Tagen nach Ablauf der Frist liegt, verzögern wir die Veröffentlichung, bis der Patch verfügbar ist.
• Wenn wir eine bisher unbekannte und ungepatchte Sicherheitslücke in einer Software beobachten, die aktiv ausgenutzt wird (ein „0-Tag“), sind wir der Ansicht, dass dringendere Maßnahmen — innerhalb von 7 Tagen — angemessen sind. Der Grund für diese besondere Bezeichnung ist, dass jeden Tag, an dem eine aktiv ausgenutzte Sicherheitslücke der Öffentlichkeit verborgen bleibt und nicht gepatcht wird, mehr Geräte oder Konten gefährdet werden. Sieben Tage sind ein aggressiver Zeitplan und können für einige Anbieter zu kurz sein, um ihre Produkte zu aktualisieren, aber es sollte genug Zeit sein, um Ratschläge zu möglichen Abhilfemaßnahmen zu veröffentlichen, wie z. B. die vorübergehende Deaktivierung eines Dienstes, die Beschränkung des Zugriffs oder die Kontaktaufnahme mit dem Anbieter für weitere Informationen. Daher werden wir Forscher nach Ablauf von 7 Tagen ohne einen Patch oder eine Empfehlung dabei unterstützen, Informationen zur Verfügung zu stellen, damit die Benutzer Maßnahmen ergreifen können, um sich selbst zu schützen.
• Wenn Geräte oder Software, für die das Offenlegungsverfahren gilt, vom Anbieter ausdrücklich als Ende der Lebensdauer oder des Supports bezeichnet werden, begrenzen wir die Frist auf 30 Tage, es sei denn, wir erhalten eine positive Bestätigung, dass der Anbieter einen Out-of-Band-Patch herausgeben wird.
• Wie immer behalten wir uns das Recht vor, Termine aufgrund extremer Umstände vor- oder zurückzuziehen. Wir setzen uns weiterhin dafür ein, alle Anbieter gleich zu behandeln. ONEKEY und ONEKEY Research Lab gehen davon aus, dass dieselben Standards eingehalten werden.

Wir können uns während des Prozesses zur verantwortungsvollen Offenlegung an Computer Emergency Response Teams (CERT) wenden, um die öffentliche Offenlegung zu koordinieren, falls kritische Sicherheitslücken festgestellt wurden, die eine große Nutzerbasis betreffen.

Zusammenarbeit mit Anbietern

ONEKEY Research Lab commits to putting reasonable effort into establishing communication with the affected vendor. We try to use publicly available security contact, otherwise we contact the vendor for support through publicly available mechanisms and/or send emails to security@, cybersecurity@, support@, and info@ addresses.  

We ask vendors to provide an appropriate security contact including encryption certificates to protect the confidentiality of the security advisory or any further communication.  

In no cases will a vulnerability be “kept quiet” because a product vendor does not wish to address it. To maintain transparency in the process, we include the summary of the communication we've had with the vendor into the advisory.  

We encourage vendors to provide us with updated information to be included in the final security advisory. This could include: the software versions or hardware revisions affected by the bug, number of the fixed version, and a means to obtain the update (e.g., the URL of a website where the security fix or new version can be downloaded). We recommend that the vendor request CVE numbers for the corresponding vulnerability.

We would appreciate it if vendors do credit the researcher(s) who identified the security issue and ONEKEY Research Lab with release notes and announcements made by the vendor.

Before an advisory is published, we provide a courtesy copy of the to be published advisory/blog post to the vendor. We allow at least 2 business days to comment or provide feedback on the advisory. We do not guarantee that comments or feedback will be accepted or incorporated; neither would we block or postpone the publication of the advisory. Feedback and comments will be considered at the discretion of the ONEKEY research team.

ONEKEY Forschungslabor

Das ONEKEY Research Lab ist die integrierte Forschungsorganisation von ONEKEY. Für Anfragen, Feedback oder Kommentare wenden Sie sich bitte an research (at) onekey.com.

‍