Сообщить нам
Политика «Лаборатории Касперского» в отношении сообщений и раскрытия информации об уязвимостях
Мы признательны исследователям в области безопасности за помощь в поддержании высоких стандартов безопасности и конфиденциальности для наших клиентов. Мы благодарны за обнаружение потенциальных уязвимостей в наших продуктах и за сообщения о них в «Лабораторию Касперского». Безопасность имеет для нас решающее значение.
В этой политике изложено ответственное отношение «Лаборатории Касперского» к поиску уязвимостей и сообщениям о них, а также указано вознаграждение, которое исследователи могут получить от «Лаборатории Касперского». Условия программы Bug Bounty «Лаборатории Касперского» описаны ниже.
Если вы обнаружили уязвимость в продуктах «Лаборатории Касперского», пожалуйста, сразу напишите нам об этом на адрес Vulnerability@kaspersky.com или через нашу программу Bug Bounty. Для шифрования письма используйте PGP-ключ. Мы примем необходимые меры для скорейшего устранения уязвимости.
В письме укажите, пожалуйста:
- Контактную информацию. Специалистам «Лаборатории Касперского» нужно знать, как с вами связаться и как к вам обращаться, чтобы уточнить данные по найденной уязвимости продукта.
- Название и версию продукта, тип операционной системы устройства, на котором найдена уязвимость.
- Подробное описание найденной уязвимости, чтобы мы могли определить характер и масштаб проблемы.
- Информацию, планируете ли вы распространять информацию об уязвимости третьим лицам.
Пожалуйста, не публикуйте информацию об уязвимости, пока она не будет исправлена нашей командой.
«Лаборатория Касперского» проанализирует информацию и сообщит вам о результатах.
Программа Bug Bounty «Лаборатории Касперского»
«Лаборатория Касперского» запускает на платформе Yogosha свою общедоступную программу вознаграждения за найденные уязвимости. Если вы хотите принять участие в программе, пожалуйста, зарегистрируйтесь и присоединяйтесь к сообществу.
Продукты, на которые распространяется действие программы
- Kaspersky Internet Security
- Kaspersky Endpoint Security для Windows
- Kaspersky Endpoint Security для Linux
- Kaspersky Password Manager
- Kaspersky Secure Connection
Условия программы
| Удаленно (нет прямого доступа к хосту, т.е. за NAT) | LAN (сетевой доступ к хосту в том же широковещательном домене) | Локальный вектор (прямой доступ к операционной системе хоста с привилегиями пользователя) | |
|---|---|---|---|
|
Удаленное выполнение кода (RCE) в продукте с высокими привилегиями |
$5 000¹ – $20 000² |
$5 000¹ – $10 000² |
- |
|
Другие случаи удаленного выполнения кода (RCE) в продукте |
$2 000¹ – $10 000² |
$2 000¹ – $5 000² |
- |
|
Локальное повышение привилегий |
- |
- |
$1 000¹ – $5 000² |
|
Раскрытие конфиденциальных³ пользовательских данных |
$2 000¹ – $10 000² |
$2 000¹ – $5 000² |
$500¹ – $2 000² |
Исходя из модели угроз нашего продукта, атаки на канал связи в рамках служб удаленного управления (конфигурация, обновление и т.д.) могут быть реализованы на любой целевой системе независимо от активности пользователя. Используя атаку «человек посередине» (Man-in-the-Middle), можно удаленно выполнить произвольный код в процессах антивируса с высокими привилегиями. В этом случае код злоумышленника будет выполнен в рамках антивирусного продукта в обход технологий обнаружения. Мы очень серьезно относимся к возможности такого вида атаки.
За высококачественный отчет с доказательством реализации вектора атаки Man-in-the-Middle мы выплатим специальное вознаграждение в размере $100 000.
Комментарии:
[1] – Отчет с тестовыми примерами с подробным пошаговым описанием реализации уязвимости.
[2] – Высококачественный отчет с доказательством концепции (должен продемонстрировать, что уязвимость возможна). Мы можем не принять отчет, если для выполнения уязвимости требуется слишком много времени, или она не заслуживает доверия по каким-либо другим причинам.
[3] – Конфиденциальные данные: пароли пользователей, платежные данные (если применимо), токены аутентификации.
Вне сферы действия программы
Действие программы не распространяется на:
- Онлайн-сервисы и сайты «Лаборатории Касперского», а также другие сетевые услуги.
- Уязвимости в стороннем программном обеспечении (библиотеки, операционные системы и т.д.).
- Локальные атаки, изначально выполненные с административными (или более высокими) привилегиями.
- Отчеты о необнаруженном вредоносном ПО. Пожалуйста, отправляйте такие отчеты на адрес newvirus@kaspersky.com.
Проверка отчетов на соответствие требованиям
«Лаборатория Касперского» проверяет все присланные отчеты и оценивает серьезность найденных уязвимостей и уровень потенциального воздействия на наших клиентов. Для этого мы используем версию 3.1 системы оценки CVSS (Common Vulnerability Scoring System). «Лаборатория Касперского» оставляет за собой право по собственному усмотрению определять, соответствуют ли отчеты требованиям, могут ли они быть приняты к рассмотрению, и заслуживают ли они вознаграждения. «Лаборатории Касперского» не рассматривает отчет, если в нем содержится информация об уже известной уязвимости, или если часть отчета была раскрыта третьей стороне.
Условия участия
В программе Bug Bounty «Лаборатории Касперского» могут участвовать все исследователи, кроме:
- лиц, которым на момент отправки отчета не исполнилось 13 лет;
- сотрудников «Лаборатории Касперского» и ее дочерних компаний, а также их ближайших родственников.
По условиям этой политики «Лаборатории Касперского» оставляет за собой право:
- расширять положение Safe Harbor для исследований уязвимостей, связанных с этой политикой;
- взаимодействовать с исследователями для лучшего понимания и проверки их отчетов;
- своевременно устранять обнаруженные уязвимости. Это наш главный приоритет;
- признавать вклад исследователей в улучшение безопасности наших продуктов, если исследователь первым сообщил об уникальной уязвимости, и его отчет привел к изменению кода или настроек.
Положение Safe Harbor
«Лаборатория Касперского» считает, что все проводимые по этой политике исследования уязвимостей:
- не нарушают общепринятые в индустрии практики (в частности «Закон о мошенничестве и злоупотреблении с использованием компьютеров» (CFAA) и «Закон об авторском праве в цифровую эпоху» (DMCA)). «Лаборатория Касперского» не будет инициировать или поддерживать судебные иски против исследователей за случайные, добросовестные нарушения этой политики, а также за обход средств технологического контроля;
- освобождаются от описанных в Условиях использования ограничений, которые могли бы помешать проведению исследований в области безопасности. «Лаборатория Касперского» частично снимает эти ограничения для работ, выполняемых в рамках этой политики;
- являются законными, полезными для общей безопасности экосистемы информационно-коммуникационных технологий и выполняются добросовестно.
Правила этики
Чтобы поощрить исследования уязвимостей и избежать путаницы между добросовестными исследованиями и злонамеренной деятельностью, мы просим исследователей:
- Следовать этой политике, а также любым другим связанным соглашениям. Если между ними существует какое-либо несоответствие, условия этой политики считаются приоритетными.
- Незамедлительно сообщать о каждой обнаруженной уязвимости и включать в свой отчет их подробное описание.
- Действовать добросовестно, чтобы избежать нарушения конфиденциальности, уничтожения данных и/или нарушения работы наших систем.
- Обсуждать с нами информацию об уязвимостях только через официальные каналы.
- Не разглашать третьим лицам информацию о любых обнаруженных уязвимостях до их устранения.
- Проводить тестирование только на продуктах, предусмотренных программой, и уважать продукты и услуги, на которые ее действие не распространяется.
- Немедленно сообщать нам, если вы непреднамеренно столкнулись с пользовательскими данными. Пожалуйста, не просматривайте, не изменяйте, не сохраняйте, не передавайте и не получайте доступ к таким данным. Немедленно очистите любую локальную информацию после сообщения нам об уязвимости.
- Использовать только тестовые учетные записи, которые принадлежат вам, или явно разрешены к использованию владельцем учетной записи.
- Не заниматься вымогательством.
- Соблюдать законы РФ и общепринятые в индустрии практики.
Исследователи безопасности обязуются выплатить налог от полученных вознаграждений.
«Лаборатория Касперского» оставляет за собой право изменить условия этой программы или отменить ее в любое время. «Лаборатория Касперского» не будет применять любые изменения этой программы, если они внесены задним числом.
Я принимаю условия этой политики и хочу сообщить об уязвимости
