Responsible Disclosure

15/05/2018 - 15:45

  • Responsible Disclosure
- + Text size
Stampa
PARTNERSHIP-300x140

Per inviare una segnalazione scrivi a
responsible-disclosure@telecomitalia.it

Trovi le regole qui di seguito.

La Responsible Disclosure definisce una modalità per segnalare vulnerabilità dei sistemi informatici, lasciando al ricevente il tempo necessario per poter individuare ed applicare le opportune contromisure, prima di renderle pubbliche.

Applicando questo modello controllato ed eticamente corretto,  per le segnalazioni di vulnerabilità di sicurezza, si contribuisce ad innalzare il livello di protezione dei servizi informatici e dei prodotti offerti ai clienti, aiutando le aziende a rilevare e porre rimedio alle falle dei sistemi, per evitare che vengano creati danni o disservizi.

Nell’eventualità in cui un cliente, un ricercatore o un esperto rilevasse una o più vulnerabilità riguardanti i seguenti ambiti:

  • Portali TIM (ad es. www.tim.it, telecomitalia.com)
  • Applicazioni mobili a marchio TIM e pubblicate sugli store ufficiali (ad es. TIM Music, My TIM Fisso, TIM Telefono)
  • Dispositivi a marchio TIM (ad es. decoder TIM Vision, modem-router ADSL con l'esclusione dei cellulari)
  • Apparati della rete TIM fissa e mobile (ad es. router, bilanciatori)

può segnalarle a TIM secondo la procedura descritta di seguito.

Utilizzando la procedura di Responsible Disclosure, chi segnala la vulnerabilità del sistema si impegna, nei confronti di TIM, ad effettuare una divulgazione responsabile così da non esporre altri clienti a rischi di sicurezza non necessari.

Il segnalante deve tuttavia astenersi da qualsiasi attività che potrebbe comportare disservizi o perdita di dati relativamente ai sistemi e servizi coinvolti nella segnalazione.

La Responsible Disclosure implica inoltre che il segnalante non abbia spiato e divulgato dati di terze parti.

In particolare chi avvia la procedura deve:

  1. Inviare la segnalazione all’indirizzo email responsible-disclosure@telecomitalia.it con le seguenti informazioni:
    • Propri dati identificativi (nome, cognome ed eventuale organizzazione per cui lavora)
    • Il tipo di vulnerabilità rilevata
    • Il servizio/apparato/applicazione impattato dalla falla
    • La descrizione dettagliata della problematica (al fine di poterla riprodurre)
    • La data in cui ha scoperto la vulnerabilità
    • Un archivio/zip di tutti i file che possono aiutare a riprodurre la problematica (es. immagini, file di testo con descrizione di dettaglio, PoC, codice sorgente, script, file pcap, log, indirizzi IP sorgenti utilizzati, …). Le dimensioni massime dell’archivio non possono superare i 10MB. Se si protegge l’archivio con una password, occorre fornirla nel testo della mail.
    • Il consenso o meno a comunicare i propri dati all’eventuale produttore della tecnologia coinvolta dalla segnalazione, per una possibile interazione diretta.
    • La disponibilità ad essere inseriti nella sezione Hall of Fame della Responsible Disclosure di TIM , in cui gli autori delle segnalazioni vengono menzionati e ringraziati pubblicamente per i contributi forniti. Specificare un contatto personale da aggiungere al Nome e Cognome, se si desidera.
    • Chi avvia la procedura di Responsible Disclosure può cifrare la mail usando la seguente chiave pubblica:
      PGP key: 0x68DEAD71
      Fingerprint:
      0184D9E3E0CACB6F6E9A813BDE90CF9768DEAD71
  2. Mantenere strettamente riservate e segrete le vulnerabilità scoperte, impegnandosi a non rivelarle o altrimenti renderle disponibili a terzi, per un periodo comunque non inferiore a 90 giorni, per consentire a TIM di individuare ed applicare le opportune contromisure. In caso di situazioni particolarmente complesse, TIM si riserva di estendere tale periodo, dandone opportuna informativa a chi ha inviato la segnalazione.
  3. Nel caso in cui fosse una persona giuridica (pubblica o privata), un ente, un consorzio o altra forma associativa, chi invia la segnalazione si impegna a limitare l'accesso alle informazioni sulle vulnerabilità rilevate ai soli propri dipendenti e nella misura strettamente necessaria per la propria attività, provvedendo comunque a porre in essere tutte le misure idonee ed adeguate ad assicurare la riservatezza ed i suddetti limiti d’accesso e d’uso delle informazioni sulle falle scoperte.

Una volta ricevuta la segnalazione, TIM si impegna a:

  1. inviare una prima mail di riscontro con cui comunica che la segnalazione è stata ricevuta, cui farà seguito entro 10 giorni una successiva mail sulla pertinenza della segnalazione rispetto al processo Responsible Disclosure e sull’esito dell’analisi preliminare effettuata da TIM;
  2. gestire la segnalazione in maniera adeguata per rispettare i tempi indicati e, in caso di segnalazione eleggibile relativa a vulnerabilità non già in corso di risoluzione, a ringraziare pubblicamente l'autore nella sezione ”Hall of Fame” se questo ha fornito la sua autorizzazione.

TIM si riserva la possibilità di non gestire segnalazioni che non soddisfano i criteri qui indicati.

TIM sottolinea l’importanza di assumere un atteggiamento responsabile anche dopo il rilascio della patch in quanto il suo processo di dispiegamento può essere lungo e complesso. Pertanto si chiede di valutare con attenzione il tipo di informazioni rilasciate al riguardo, sempre con l’obiettivo di preservare la sicurezza degli utenti.

Di seguito sono forniti alcuni esempi di Categorie di vulnerabilità considerate come eleggibili per la pubblicazione nella Hall of Fame:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Injection (ad es. SQL injection, user input)
  • Broken Authentication and Session Management
  • Broken Access Control
  • Security Misconfiguration
  • Redirect / Man in the Middle attacks
  • Remote code execution
  • Underprotected API
  • Privilege Escalation

Sono invece escluse dall’iniziativa di Responsible Disclosure, e quindi considerate non eleggibili alla pubblicazione nella Hall of Fame, le seguenti casistiche:

  • aspetti non inerenti la sicurezza (es. indisponibilità dei servizi, bug di GUI, ecc.) e gestibili quindi attraverso i canali tradizionali di customer care quali il 187, 119 e 191;
  • problematiche di phishing/spam e vulnerabilità inerenti tecniche di social engineering da segnalare alla casella abuse@telecomitalia.it o tramite la form che si trova alla pagina http://www.telecomitalia.com/tit/it/sustainability/form-abuse.html
  • esiti di tool automatici di vulnerability assessment/penetration testing (es Nessus, nmap…).

TIM si riserva la possibilità di aggiornare, in qualunque momento, la procedura di Responsible Disclosure sopra descritta.

Ringraziamo pubblicamente tutti coloro che contribuiscono, in maniera responsabile, a proteggere i nostri Clienti, migliorando la sicurezza dei nostri servizi e prodotti.

2018

  • Luigi Gubello, www.gubello.me | Multiple XSS vulnerabilities
  • Emanuele Gentili, twitter.com/emgent | HTML Code injections, XSS vulnerability, Redirect, Security Misconfiguration
  • Davide Del Vecchio, www.davidedelvecchio.com | XSS vulnerability, Security Misconfiguration
  • Carlo Pelliccioni, twitter.com/cpelliccioni | Multiple XSS vulnerabilities, Redirect
  • Raffaele Forte, backbox.org | Remote Code Execution
  • Federico Valentini, twitter.com/f3d_0x0 | SQL injection
  • Frank Vickers, www.linkedin.com/in/frank-vickers-199109a | Multiple Security Misconfigurations
  • Andrei Manole, www.linkedin.com/in/andrei-manole-81626090 | XSS vulnerability
  • Alessandro Moccia, www.linkedin.com/in/mocciaalessandro | XSS vulnerability
  • Shubham Pathak, twitter.com/ShubhamPthk | Multiple Security Misconfiguration
  • Paolo Montesel, twitter.com/pmontesel | Underprotected API
  • Simone Cardona, www.linkedin.com/in/simone-cardona | Multiple XSS vulnerability, Redirect
  • Vishal Jain, linkedin.com/in/vishaljain113 | Security Misconfiguration
  • Michele Toccagni, hacktips.it | SQL injection
  • Alfie Njeru, twitter.com/emenalf  | Multiple Security Misconfigurations
  • Federico Zambito, www.linkedin.com/in/federico-zambito-2b967571 | Redirect
  • Mohamed Ouad, www.linkedin.com/in/ouadmoha | Broken Authentication and Session Management
  • Ezio Paglia, www.linkedin.com/in/ezio-paglia-3704196  | Security Misconfiguration
  • Akash Labade, www.linkedin.com/in/m0ns7er | CSRF, XSS vulnerability
  • Domenico Curigliano, www.linkedin.com/in/domenico-matis-curigliano | Remote code execution
  • Jose Carlos Exposito | XSS vulnerability