وقتی سازمانها برای اولین بار وارد حوزه باگ بانتی میشوند، یکی از اصلیترین سوالهایی که برای آنها به وجود میآید چگونگی پذیرش گزارشهای آسیبپذیری است. آیا میتوان ساز و کاری اندیشید تا قبول یا رد کردن گزارشها با سادگی و شفافیت حداکثری انجام شود؟ بله! VDP همه چیز را مشخص میکند.
VDP (Vulnerability Disclosure Policy) یا سیاست کشف آسیبپذیری توسط هر سازمان با مشاوره تخصصی باگدشت تهیه میشود تا از هرگونه سردرگمی پس از دریافت گزارشهای آسیبپذیری جلوگیری کند.همچنین برای آشنایی با مفهموم برنامه اعلام باگ یا VDP به وبلاگ باگدشت مراجعه فرمائید. موارد ذیل از جمله مواردی هستند که باید در VDP مشخص شوند:
- سامانه های معرفی شده در برنامه (In Scope) و خارج از برنامه (Out Of Scope)
- دستهبندی آسیبپذیریهای مورد قبول و غیرقابل قبول
- زمانبندی، چگونگی و میزان مبالغ پرداختی به عنوان جایزه (بانتی)
- مشخص کردن روال و چگونگی انجام تستها
برای درک بهتر موضوع بد نیست نگاهی به یک نمونه VDP مربوط به سازمانی فعال در حوزه خدمات گردشگری و هتلداری داشته باشیم و سرفصلهایی که باید در VDP باشند را بررسی کنیم:
ارائه زمانبندی
در این بخش سازمان به صورت تقریبی اعلام میکند که برای انجام هریک از مراحل پذیرش گزارش چه مدت زمانی نیاز دارد:
- پاسخ اولیه: سه روز
- انجام تریاژ: یک هفته
- پرداخت بانتی: پس از اینکه آسیبپذیری توسط سازمان و باگدشت تایید شد(حداکثر ۶۰ روز)
سیاست عدم افشای اطلاعات
- بدون کسب رضایتنامه کتبی از سازمان متخصص نباید هیچگاه هرگونه اطلاعات مربوط به برنامه باگبانتی سازمان یا آسیبپذیریهای کشف شده را افشا کند. افشا شامل ارسال مطالب در شبکههای اجتماعی و یا استفاده از اطلاعات با قصد تولید محتوای آموزشی نیز میشود.
- در همه موارد ذکر نشده نیز، پیروی از قوانین باگدشت لازم الاجراست.
قوانین کلی برنامه باگبانتی
- از جمعآوری هرگونه اطلاعات شخصی مربوط به مسافران و کاربران سامانه خودداری کنید.
- از تغییر دادن یا پاک کردن اطلاعات کشفشده خودداری کنید.
- تجربه کاربری (UX) کاربران نباید دچار اختلال شود.
- کارکنان و پیمانکاران فعلی و یا سابق سازمان نمیتوانند در این برنامه شرکت کنند.
- در صورتی که یک آسیبپذیری توسط چند متخصص ثبت شوند، تنها اولین نفر مشمول دریافت بانتی میشود.
- از بهکارگیری مهندسی اجتماعی (Social Engineering) خودداری کنید.
قوانین ثبت گزارش
- تنها گزارشهایی مورد قبول است که از طریق پلتفرم باگدشت ثبت شوند و سازمان بلیست سامانههای خارج از برنامه (Out Of Scope)و دسته بندی آسیبپذیریهای غیرقابل قبولرنامهای برای ارتباط مستقیم با متخصصین ندارد.
- گزارشهای ثبت شده باید طبق استاندارد باگدشت تهیه شوند.
روشهای تست
- متخصصین میتوانند از اکانتهای تستی ساختهشده مخصوص این برنامه باگبانتی در تستهای خود استفاده کنند.
- در صورتی که تست شما شامل رزرو اتاق یا مواردی از این دست میباشد، لطفا در توضیحات نام باگدشت ذکر شود و رزرو مذکور نیز باید با فاصله زمانی حداقل دو ماه انجام شده و بلافاصله پس از اتمام تست لغو شود.
جوایز (بانتیها)
تمام گزارشها براساس محاسبهگر CVSS امتیازبندی شده و طبق مبالغ از پیش تعیین شده پرداخت میشوند
لیست سامانههای معرفی شده (In Scope) و دستهبندی آسیبپذیریهای مورد قبول
- دور زدن منطق بیزینس
- تغییر سطح دسترسی
- XSS
لیست سامانههای خارج از برنامه (Out Of Scope) و دسته بندی آسیبپذیریهای غیرقابل قبول
- هرگونه آسیبپذیری منجر به از دست رفتن سرویس (DoS)
- آسیبپذیریهایی که هرگونه نیاز به دسترسی فیزیکی به دستگاههای سازمان یا قربانی دارند.
- آسیبپذیریهای مربوط به افشای نسخه نرمافزار
مصونیت قانونی
سازمان متعهد میشود در صورتی که متخصصین تستهای خود را با رعایت موارد بالا انجام دهند، هیچگونه پیگرد و مسئولیت قانونی از سمت سازمان متوجه آنها نخواهد بود. همچنین در صورتی که طرف ثالثی قصد پیگرد متخصص را بنابر تستهای انجامشده ذیل این برنامه داشته باشد، سازمان آماده است رضایت خود از تستهای انجامشده را اعلام نماید.
بدین ترتیب میتوان با تهیهی یک VDP مناسب تجربهای لذت بخش و بدون سردرگمی را در باگبانتی داشت و هرچه بیشتر در راستای امنسازی سامانهها قدم برداشت.
در این ویدیو؛ مدیر عامل مجموعه باگدشت در خصوص راهکار بین المللی کاهش مسایل حقوقی اعلام باگ امنیتی را عنوان نموده است.
بدین ترتیب میتوان با تهیهی یک VDP مناسب تجربهای لذت بخش و بدون سردرگمی را در باگبانتی داشت و هرچه بیشتر در راستای امنسازی سامانهها قدم برداشت.