Μετάβαση στο κύριο περιεχόμενο
Επικοινωνία

Πολιτική απόκρισης ευπαθειών της Dell

Εισαγωγή

Η Dell προσπαθεί να βοηθήσει τους πελάτες της να ελαχιστοποιήσουν τους κινδύνους που σχετίζονται με τις ευπάθειες ασφάλειας στα προϊόντα της. Στόχος μας είναι να παρέχουμε στους πελάτες επιλογές έγκαιρης πληροφόρησης, καθοδήγησης και περιορισμού για την αντιμετώπιση των ευπαθειών. Η Ομάδα ανταπόκρισης σε περιστατικά ασφάλειας προϊόντων της Dell (Dell PSIRT) είναι υπεύθυνη για τον συντονισμό της αντιμετώπισης και της γνωστοποίησης των ευπαθειών προϊόντων που επηρεάζουν τα προϊόντα Dell και συνιστά σε όλους τους πελάτες να μεταβούν στις υποστηριζόμενες εκδόσεις των προϊόντων Dell πριν από τις ημερομηνίες λήξης της υποστήριξης, ώστε να συνεχίσουν να λαμβάνουν ενημερώσεις ασφάλειας.

Η Dell συμμετέχει ενεργά σε διάφορες προσπάθειες της κοινότητας​ (​Στα Αγγλικά​), συμπεριλαμβανομένων των Forum of Incident Response and Response Teams (FIRST)​ (​Στα Αγγλικά​) και Software Assurance Forum for Excellence in Code (SAFECode)​ (​Στα Αγγλικά​). Οι διαδικασίες μας είναι εναρμονισμένες με το πλαίσιο FIRST PSIRT Services Framework​ (​Στα Αγγλικά​), καθώς και με άλλα πρότυπα, όπως τα ISO/IEC 29147:2018​ (​Στα Αγγλικά​) και ISO/IEC 30111:2019​ (​Στα Αγγλικά​).

Χειρισμός αναφορών ευπαθειών

Στην Dell θεωρούμε πολύτιμους τους συνεργάτες μας στον κλάδο και τους ερευνητές σε θέματα ασφάλειας, εκτιμούμε όλες τις συνεισφορές στις πρωτοβουλίες που αναλαμβάνουμε για την ασφάλεια και ενθαρρύνουμε την υπεύθυνη και συντονισμένη γνωστοποίηση, καθώς η ασφάλεια των πελατών μας είναι ύψιστης σημασίας. Στόχος μας είναι να διασφαλίζουμε τη διαθεσιμότητα λύσεων αποκατάστασης ή/και στρατηγικών μετριασμού κατά τον χρόνο γνωστοποίησης των ευπαθειών που αφορούν προϊόντα Dell, και να συνεργαζόμαστε με τρίτους προμηθευτές, όταν η αποκατάσταση απαιτεί τη δική τους συνεργασία.

Σύμφωνα με αυτήν την πολιτική, όλες οι πληροφορίες που γνωστοποιούνται για νέες ευπάθειες θεωρούνται εμπιστευτικές και κοινοποιούνται μόνο μεταξύ της Dell και του μέρους που υποβάλλει την αναφορά, αν οι πληροφορίες δεν είναι ήδη δημόσιες, μέχρι να γίνουν διαθέσιμες οι λύσεις αποκατάστασης και να συντονιστούν οι ενέργειες γνωστοποίησης.

Αποκατάσταση ευπάθειας

Μετά τη διερεύνηση και την επικύρωση μιας αναφερθείσας ευπάθειας, θα επιχειρήσουμε να αναπτύξουμε και να διαθέσουμε την κατάλληλη λύση για τα προϊόντα που βρίσκονται υπό ενεργή υποστήριξη από την Dell. Οι λύσεις αποκατάστασης μπορούν να λάβουν μία ή περισσότερες από τις ακόλουθες μορφές:

  • Μια νέα έκδοση του επηρεαζόμενου προϊόντος που διατίθεται από την Dell.
  • Μια ενημέρωση κώδικα που παρέχεται από την Dell και μπορεί να εγκατασταθεί στο επηρεαζόμενο προϊόν.
  • Οδηγίες για τη λήψη και την εγκατάσταση μιας ενημέρωσης ή ενημέρωσης κώδικα από έναν τρίτο προμηθευτή που απαιτείται για τον μετριασμό της ευπάθειας.
  • Μια διορθωτική διαδικασία ή προσωρινή αντιμετώπιση που δημοσιεύεται από την Dell και δίνει οδηγίες στους χρήστες σχετικά με τα μέτρα που μπορούν να λάβουν για τον μετριασμό της ευπάθειας.

Η Dell καταβάλλει κάθε δυνατή προσπάθεια για την παροχή της λύσης ή της διορθωτικής ενέργειας στο, από εμπορικής πλευράς, συντομότερο δυνατό χρονικό διάστημα. Τα χρονοδιαγράμματα απόκρισης εξαρτώνται από πολλούς παράγοντες, όπως:

  • Σοβαρότητα της ευπάθειας
  • Πολυπλοκότητα της ευπάθειας
  • Εύρος του επηρεασμού
  • Προσπάθεια/αντίκτυπος σε σχέση με την αποκατάσταση
  • Κύκλος ζωής προϊόντος

Πώς αξιολογεί η Dell τη σοβαρότητα και τον αντίκτυπο των ευπαθειών

Η Dell χρησιμοποιεί το πρότυπο Common Vulnerability Scoring System​ (​Στα Αγγλικά​) (Σύστημα βαθμολόγησης κοινών ευπαθειών), έκδοση 3.1 (CVSS v3.1), για να ανακοινώνει τα χαρακτηριστικά των ευπαθειών σε προϊόντα Dell. Αυτό το πρότυπο τηρείται από το FIRST.

Το σύστημα βαθμολόγησης CVSS παρέχει ένα αριθμητικό μέσο για την ποσοτικοποίηση της σοβαρότητας της ευπάθειας και λαμβάνει υπόψη διάφορους παράγοντες, όπως το επίπεδο της προσπάθειας που απαιτείται για την εκμετάλλευση μιας ευπάθειας και τον πιθανό αντίκτυπο από την εκμετάλλευση της ευπάθειας. Η Dell συνοψίζει την αξιολόγηση του αντίκτυπου μιας ευπάθειας μέσω μιας αριθμητικής βαθμολογίας, μιας συμβολοσειράς φορέα (vector string) και μιας ποιοτικής αναπαράστασης της σοβαρότητας (δηλαδή Κρίσιμη, Υψηλή, Μεσαία και Χαμηλή), σύμφωνα με την κλίμακα που παρέχεται παρακάτω:

Σπουδαιότητα

Βαθμολογία CVSS v3.1

Κρίσιμη

9,0 – 10

Υψηλή

7,0 – 8,9

Μεσαία

4,0 – 6,9

Χαμηλή

0,1 – 3,9

Η Dell συνιστά σε όλους τους πελάτες να χρησιμοποιούν αυτές τις πληροφορίες για να υποστηρίζουν τον υπολογισμό των μετρήσεων περιβάλλοντος που μπορεί να είναι σχετικές με το περιβάλλον τους και να αξιολογούν με ακρίβεια τους κινδύνους που σχετίζονται με τους πόρους τους ή την υλοποίηση των προϊόντων Dell.

Σημειώστε ότι υπάρχουν φορές που η αξιολόγηση μιας ευπάθειας, μιας βαθμολογίας CVSS ή/και μιας συμβολοσειράς φορέα από την Dell διαφέρει από τις αξιολογήσεις που παρέχονται από άλλες πηγές. Σε περίπτωση διαφοράς, η Dell θα χρησιμοποιεί τις πληροφορίες που περιέχονται στις Συστάσεις ασφάλειας της Dell (Dell Security Advisories), θεωρώντας ότι αυτά τα δελτία είναι η έγκυρη πηγή πληροφοριών.

Εξωτερικές επικοινωνίες

Η Dell δημοσιεύει συστάσεις ασφάλειας, ειδοποιήσεις και ενημερωτικά άρθρα για να πληροφορεί τους πελάτες σχετικά με ευπάθειες ασφάλειας που επηρεάζουν τα προϊόντα μας.

Οι συστάσεις ασφάλειας εκδίδονται για να παρέχουν καθοδήγηση ή οδηγίες σχετικά με τον τρόπο με τον οποίο οι πελάτες μπορούν να προστατευτούν, να μετριάσουν ή/και να αποκαταστήσουν τις ευπάθειες, μόλις η Dell αναλύσει τις ευπάθειες και προσδιορίσει λύσεις.

Στόχος των Συστάσεων ασφάλειας είναι να παρέχουν επαρκείς λεπτομέρειες για την αξιολόγηση των επιπτώσεων των ευπαθειών και για την αντιμετώπιση των δυνητικά επηρεαζόμενων προϊόντων. Ωστόσο, μπορεί να μην παρέχονται όλες οι λεπτομέρειες προκειμένου να μειωθεί η πιθανότητα να επωφεληθούν οι κακόβουλοι δρώντες από τις παρεχόμενες πληροφορίες και να τις εκμεταλλευτούν εις βάρος των πελατών μας.

Οι Συστάσεις ασφάλειας της Dell συνήθως περιλαμβάνουν τις ακόλουθες πληροφορίες, ανάλογα με την περίπτωση:

  • Τον συνολικό αντίκτυπο, που είναι η κειμενική αναπαράσταση της σοβαρότητας (δηλαδή Κρίσιμη, Υψηλή, Μεσαία και Χαμηλή) και υπολογίζεται με βάση την κλίμακα ποιοτικής αξιολόγησης σοβαρότητας του CVSS για την υψηλότερη βασική βαθμολογία CVSS όλων των προσδιορισμένων ευπαθειών.
  • Τα προϊόντα και τις εκδόσεις που επηρεάζονται.
  • Τη βασική βαθμολογία CVSS και τον φορέα για όλες τις προσδιορισμένες ευπάθειες.
  • Το αναγνωριστικό Κοινών ευπαθειών και εκτεθειμένων σημείων​ (​Στα Αγγλικά​) (Common Vulnerabilities and Exposures, CVE) για όλες τις προσδιορισμένες ευπάθειες, έτσι ώστε οι πληροφορίες για κάθε μοναδική ευπάθεια να μπορούν να κοινοποιηθούν σε διάφορες δυνατότητες διαχείρισης ευπαθειών (για παράδειγμα, εργαλεία όπως σαρωτές για εντοπισμό ευπαθειών, αποθετήρια και υπηρεσίες).
  • Σύντομη περιγραφή της ευπάθειας και του δυνητικού αντίκτυπου σε περίπτωση εκμετάλλευσης.
  • Λεπτομέρειες αποκατάστασης με πληροφορίες ενημέρωσης/επίλυσης.
  • Πληροφορίες κατηγορίας ευπάθειας:
    • Κώδικας αποκλειστικής χρήσης – υλικό, λογισμικό ή υλικολογισμικό που αναπτύχθηκε από την Dell.
    • Στοιχείο τρίτου κατασκευαστή – υλικό, λογισμικό ή υλικολογισμικό που διατίθεται δωρεάν συσκευασμένο ή με άλλον τρόπο ενσωματωμένο σε προϊόν Dell.
  • Πρόσθετες παραπομπές, ανάλογα με την περίπτωση.

Κατά περίπτωση, η Dell μπορεί να δημοσιεύσει μια ειδοποίηση ασφάλειας (Security Notice) για να αναγνωρίσει μια δημόσια γνωστή ευπάθεια ασφάλειας και να παράσχει μια δήλωση ή άλλη καθοδήγηση σχετικά με το πότε (ή πού) θα είναι διαθέσιμες πρόσθετες πληροφορίες.

Η Dell μπορεί να δημοσιεύσει ενημερωτικά άρθρα για την κοινοποίηση πληροφοριών για μια σειρά θεμάτων που σχετίζονται με την ασφάλεια, όπως:

  • Προσθήκη νέων δυνατοτήτων ενίσχυσης της ασφάλειας.
  • Οδηγούς διαμόρφωσης ασφάλειας και βέλτιστες πρακτικές για συγκεκριμένα προϊόντα.
  • Ευπάθειες ασφάλειας σε στοιχεία τρίτων κατασκευαστών που εντοπίζονται από εργαλεία σάρωσης για εντοπισμό ευπαθειών αλλά των οποίων η εκμετάλλευση δεν είναι δυνατή στο προϊόν που προσδιορίζεται.
  • Οδηγίες εγκατάστασης για την εφαρμογή συγκεκριμένων ενημερώσεων ασφάλειας.
  • Πληροφορίες σχετικά με την επίδραση των ενημερώσεων ασφάλειας σε συναπαιτούμενα και προαπαιτούμενα προϊόντων άλλου κατασκευαστή που θα μπορούσαν να επηρεάσουν τα προϊόντα Dell.

Οι Συστάσεις και γνωστοποιήσεις ασφάλειας της Dell διατίθενται στη διεύθυνση www.dell.com/support/security (​Στα Αγγλικά​). Τα ενημερωτικά άρθρα είναι διαθέσιμα σε αυτόν τον σύνδεσμο, εφόσον έχει ολοκληρωθεί η διαδικασία πιστοποίησης.

Τρόπος αναφοράς ευπάθειας ασφάλειας

Αν εντοπίσετε μια ευπάθεια ασφάλειας σε οποιοδήποτε προϊόν Dell, παρακαλούμε να μας το αναφέρετε το συντομότερο δυνατό. Ο έγκαιρος εντοπισμός και αναφορά των ευπαθειών ασφάλειας είναι ζωτικής σημασίας για τον περιορισμό των πιθανών κινδύνων για τους πελάτες μας. Οι ερευνητές θεμάτων ασφάλειας πρέπει να υποβάλλουν αναφορές ευπαθειών μέσω του ιστότοπου Bugcrowd της Dell​ (​Στα Αγγλικά​).  Οι εταιρικοί και εμπορικοί πελάτες και συνεργάτες θα πρέπει να επικοινωνούν με την αντίστοιχη ομάδα τεχνικής υποστήριξης για να αναφέρουν τυχόν ζητήματα ασφάλειας που έχουν ανακαλυφθεί στα προϊόντα Dell. Η ομάδα τεχνικής υποστήριξης, η κατάλληλη ομάδα προϊόντων και η ομάδα Dell PSIRT θα συνεργάζονται για την αντιμετώπιση του αναφερόμενου ζητήματος και θα παρέχουν στους πελάτες τα επόμενα βήματα.

Οι ομάδες του κλάδου, οι προμηθευτές και άλλοι χρήστες που δεν έχουν πρόσβαση στην Τεχνική υποστήριξη ή/και δεν θέλουν συμμετάσχουν στο πρόγραμμα ανταμοιβής για αναφορά σφαλμάτων μπορούν να στέλνουν αναφορές ευπαθειών απευθείας στην ομάδα Dell PSIRT μέσω email. Θα πρέπει να κρυπτογραφείτε τα μηνύματα email και τα συνημμένα κατά τη μετάδοση ευαίσθητων πληροφοριών χρησιμοποιώντας το PGP και ένα κλειδί PGP από την ομάδα Dell PSIRT, το οποίο είναι διαθέσιμο για λήψη εδώ. Η Dell θα επιβεβαιώνει τη λήψη της αναφοράς γνωστοποίησης ευπαθειών το συντομότερο δυνατό.

Σε κάθε περίπτωση, η Dell θα προσπαθεί να αναγνωρίζει την αναφορά γνωστοποίησης ευπαθειών εντός τριών (3) εργάσιμων ημερών από την παραλαβή και να παρέχει ενημερώσεις για την αποκατάσταση με συχνότητα τριάντα (30) ή λιγότερων ημερολογιακών ημερών.

Όταν αναφέρετε μια πιθανή ευπάθεια, συμπεριλάβετε όσο το δυνατόν περισσότερες από τις παρακάτω πληροφορίες, ώστε να μπορέσουμε να κατανοήσουμε καλύτερα τη φύση και το εύρος του αναφερόμενου ζητήματος:

  • Όνομα και έκδοση προϊόντος που περιέχει την πιθανή αδυναμία/ευπάθεια.
  • Πληροφορίες για το περιβάλλον ή το σύστημα όπου αναπαράχθηκε το ζήτημα (για παράδειγμα: αριθμό μοντέλου προϊόντος, έκδοση λειτουργικού συστήματος και άλλες σχετικές πληροφορίες).
  • Απαρίθμηση κοινών αδυναμιών (Common Weakness Enumeration, CWE) και τύπο ή/και κατηγορία ευπάθειας [π.χ. δέσμη ενεργειών από άλλο ιστότοπο (cross-site scripting), υπερχείλιση buffer (buffer overflow), άρνηση υπηρεσίας (denial of service), απομακρυσμένη εκτέλεση κώδικα (remote code execution)].
  • Οδηγίες βήμα προς βήμα για την αναπαραγωγή της ευπάθειας.
  • Κώδικα απόδειξης σύλληψης ή εκμετάλλευσης.
  • Δυνητικό αντίκτυπο της ευπάθειας.

Οδηγίες δεοντολογίας ερευνητών

Αν κάποια ευπάθεια σάς παρέχει πρόσβαση σε εμπιστευτικές ή μη δημόσιες πληροφορίες (όπως δεδομένα τρίτων, προσωπικά δεδομένα ή οποιαδήποτε πληροφορία που επισημαίνεται από την Dell ως «Εσωτερική χρήση», «Περιορισμένη» ή «Ιδιαίτερα περιορισμένη»), θα πρέπει να έχετε πρόσβαση σε αυτές τις πληροφορίες στον μικρότερο δυνατό βαθμό που απαιτείται για την αναφορά της ευπάθειας στην Dell. Εκτός από την υποβολή σας στην Dell, δεν πρέπει να αποθηκεύετε, να μεταφέρετε, να χρησιμοποιείτε, να διατηρείτε, να αποκαλύπτετε ή να αντιγράφετε οποιεσδήποτε τέτοιες πληροφορίες.

Επίσης, δεν θα πρέπει να προβαίνετε σε ενέργειες που επηρεάζουν την ακεραιότητα ή τη διαθεσιμότητα των συστημάτων Dell, εκτός εάν έχετε τη ρητή άδεια του κατόχου. Θα πρέπει να κάνετε τις λιγότερες δυνατές ενέργειες που απαιτούνται για την απόκτηση μιας απόδειξης σύλληψης. Εάν παρατηρήσετε υποβάθμιση της απόδοσης κατά την έρευνά σας ή προκαλέσετε ακούσια παραβίαση ή διακοπή λειτουργίας (όπως πρόσβαση σε δεδομένα πελατών ή διαμορφώσεις υπηρεσιών), διακόψτε κάθε χρήση αυτοματοποιημένων εργαλείων και αναφέρετε το περιστατικό αμέσως. Αν, οποιαδήποτε στιγμή, έχετε προβληματισμούς ή δεν είστε βέβαιοι εάν η έρευνα ασφάλειάς σας είναι συνεπής με αυτήν την πολιτική, υποβάλετε ερώτημα στη διεύθυνση secure@dell.com προτού προχωρήσετε.

Ειδοποίηση της Dell για άλλα ζητήματα ασφάλειας

Χρησιμοποιήστε τα κατάλληλα στοιχεία επικοινωνίας που παρατίθενται παρακάτω για να αναφέρετε άλλους τύπους ζητημάτων ασφάλειας στην Dell:

Ζήτημα ασφάλειας

Στοιχεία επικοινωνίας

Για να αναφέρετε μια ευπάθεια ή ένα ζήτημα ασφάλειας στο Dell.com ή σε άλλη online υπηρεσία, εφαρμογή web ή ιδιοκτησία της Dell:

Υποβάλετε μια αναφορά στη διεύθυνση https://bugcrowd.com/dell-com​ (​Στα Αγγλικά​) με οδηγίες βήμα προς βήμα για την αναπαραγωγή του ζητήματος.

Αν υποπτεύεστε κλοπή ταυτότητας ή έχετε εμπειρία από δόλια συναλλαγή που σχετίζεται με τις υπηρεσίες Dell Financial Services:

Ανατρέξτε στη σελίδα Ασφάλεια υπηρεσιών Dell Financial Services​ (​Στα Αγγλικά​).

Για να υποβάλετε αιτήματα ή ερωτήσεις σχετικά με την προστασία του απορρήτου:

Ανατρέξτε στη σελίδα Απόρρητο Dell​ (​Στα Αγγλικά​).

Περιορισμοί

Η Dell προσπαθεί να είναι όσο το δυνατόν πιο διαφανής παρέχοντας πληροφορίες σχετικά με τις προσπάθειες αποκατάστασης ευπαθειών στη Σύσταση ασφάλειας και τη σχετική τεκμηρίωση, η οποία μπορεί να περιλαμβάνει σημειώσεις έκδοσης, άρθρα γνωσιακής βάσης και συχνές ερωτήσεις.  Η Dell δεν κοινοποιεί επαληθευμένα προγράμματα εκμετάλλευσης ευπάθειας ή κώδικες απόδειξης σύλληψης για τις προσδιορισμένες ευπάθειες. Επιπλέον, ακολουθώντας τις πρακτικές του κλάδου, η Dell δεν κοινοποιεί σε εξωτερικές οντότητες τα αποτελέσματα των δοκιμών, τις αποδείξεις σύλληψης από τις εσωτερικές δοκιμές ασφάλειας ή άλλους τύπους προνομιακών πληροφοριών.

Δικαιώματα πελατών: εγγυήσεις, υποστήριξη και συντήρηση

Τα δικαιώματα των πελατών της Dell όσον αφορά τις εγγυήσεις, την υποστήριξη και τη συντήρηση, συμπεριλαμβανομένων των ευπαθειών σε οποιοδήποτε προϊόν λογισμικού Dell, διέπονται από την ισχύουσα συμφωνία μεταξύ της Dell και του εκάστοτε πελάτη. Οι δηλώσεις σε αυτήν την ιστοσελίδα δεν αλλάζουν, διευρύνουν ή με οποιονδήποτε άλλο τρόπο τροποποιούν τα δικαιώματα των πελατών, ούτε δημιουργούν πρόσθετες εγγυήσεις.

Δήλωση αποποίησης ευθύνης

Όλες οι πτυχές αυτής της Πολιτικής αντιμετώπισης ευπαθειών υπόκεινται σε αλλαγές χωρίς ειδοποίηση. Η απόκριση δεν είναι εγγυημένη για οποιοδήποτε συγκεκριμένο ζήτημα ή κατηγορία ζητημάτων. Η χρήση των πληροφοριών που περιέχονται σε αυτό το έγγραφο ή σε υλικά που συνδέονται με το παρόν γίνεται με δική σας ευθύνη.