Bu süreç değişebilir. Geçerli süreç için lütfen bu sayfaya bakın.
This page was last updated April 2023.
Researchers: during your study and network testing, we ask that you refrain from the following: - Performing active exploits or Denial of Service attacks on the I2P network - Performing social engineering on I2P team and community members - Performing any physical or electronic attempts against I2P property and/or data centers
As I2P is an open-source community, many volunteers and development team members run their own I2P Sites as well as public (“non-private internet”) domains. These sites/servers are NOT in the scope of the vulnerability assessment / response process, only the underlying code of I2P is.
I. Güvenlik Konuları için İletişim Noktası
security (at) geti2p.net - GPG Key fingerprint = EA27 06D6 14F5 28DB 764B F47E CFCD C461 75E6 694AII. Güvenlik Müdahale Ekibi
Echelon is the trusted security point-of-contact. He forwards emails to team members as appropriate.
III. Olay Müdahalesi
- Araştırmacı bildirimini şuradan gönderir: security (at) geti2p.net
- Müdahale Ekibi, uygunluğa ve/veya bilgi kümesine göre bildirimden sorumlu bir Müdahale Sorumlusu belirler.
- Müdahale Ekibi en fazla 3 iş günü içinde, araştırmacıya yalnızca şifrelenmiş yöntemler üzerinden yanıt verir.
- Müdahale Sorumlusu, gerekli bilgileri sağlamak ve bildirimin gerçekten bir güvenlik
açığı olup olmadığını doğrulamak için sorgulamalar yapar.
- Bildirimin bir güvenlik açığı olduğu ortaya çıkarsa, ilerlenir.
- Bir güvenlik açığı değilse:
- Müdahale Sorumlusu, bildirimin neden bir güvenlik açığı olmadığını açıklayan bir yanıt verir.
- Müdahale Sorumlusu, gerekirse konuyu herkese açık Trac üzerindeki yeni ya da var olan bir destek kaydına taşır.
-
Güvenlik açığının önem derecesini belirleyin:
- HIGH
- Ağı bir bütün olarak etkiler, tüm ağı kırma potansiyeline sahiptir yada büyük bir felaket ölçeğindedir.
- MEDIUM
- Bazı yönelticileri etkiler veya dikkatlice yararlanılmalıdır.
- LOW
- Kolayca yararlanılmaz.
- Güvenlik açığının önem derecesine göre yanıtlayın:
- YÜKSEK önem dereceleri sınıflandırıldıktan en fazla 3 iş günü sonra
sitede ve haber akışında bildirilmelidir.
- Bildirimde, varsa kullanıcıların uygulaması gereken adımlar listelenmelidir.
- Bildirimde güvenlik açığından yararlanılmasını sağlayabilecek bir ayrıntı bulunmamalıdır.
- İkinci konu, birinciye göre önceliklidir.
- ORTA ve YÜKSEK önem dereceleri için Anlık Sürüm yayınlanır.
- DÜŞÜK önem dereceleri bir sonraki Normal Sürümde ele alınır.
- YÜKSEK önem dereceleri sınıflandırıldıktan en fazla 3 iş günü sonra
sitede ve haber akışında bildirilmelidir.
- Müdahale Ekibi gerekli yamaları uygular.
- Müdahale Sorumlusu, YEREL OLARAK bir yama üzerinde çalışır. Yamalar, müdahale ekibi tarafından, herkese açık olarak duyurulması güvenli olana kadar PGP ile şifrelenmiş e-posta yoluyla paylaşılır.
- Yamalar araştırmacı ile birlikte gözden geçirilir.
- Gözden geçirme sırasında HERKESE AÇIK yazılım güncellemelerindeki iletilerde, KİŞİSEL dal ya da yazılım güncellemelerindeki güvenlik kapsamına atıfta bulunulmamalıdır.
- Güvenlik açığı duyurusunun taslağı hazırlanır.
- Güvenlik açığının önem derecesini belirtin.
- Etkilenen sistemleri ve uygulamaları ekleyin.
- Yama uygulanamıyorsa (varsa) çözümleri ekleyin.
- Yayınlanma tarihi tartışılır.
- Yayınlanma tarihinde, Müdahale Ekibi güncellenmeyi tamamlamak üzere geliştiriciler ile iş birliği yapar:
- Müdahale Sorumlusu, yazılımın "düzeltme dalını" ana koda ekler.
- Müdahale Sorumlusu, güvenlik açığı duyuru taslağını sürüm notlarına ekler.
- Anlık ya da Normal Sürüm yayını ile ilerlenir. Şu anda, yalnızca bir işletim sistemi veya mimari için bir ağ içi güncelleme yayınlanamaz Etkilenen tüm ürünlerin olabildiğince hızlı yayınlanabilmesi için, bu yazılımdan sorumlu kişinin gerekli işlemleri en kısa zamanda yapması gerekir. Daha da önemlisi, Debian, Ubuntu ve F-Droid üzerindeki paket yöneticileri de düşünülmelidir.
IV. Yayın Sonrası Açığa Çıkarma Süreci
- Müdahale Ekibi, III. bölümdeki tüm işlemleri 90 gün içinde yapmalıdır.
- III. bölümdeki Olay Müdahalesi süreci başarıyla tamamlanırsa:
- Müdahale Sorumlusu araştırmacı ile görüşerek, araştırmacının katkıda bulunduğunun duyurulmasını isteyip istemediğini sorar.
- Güvenlik açığı duyuru taslağı tamamlanır ve aşağıdakiler eklenir:
- Proje adı ve adresi.
- Etkilendiği bilinen sürümler.
- Etkilenmediği bilinen sürümler (Örnek: Güvenlik açığından etkilenen kod yeni bir sürümde eklendiğinden bundan önceki sürümler etkilenmemiş olabilir).
- Denetlenmeyen sürümler.
- Güvenlik açığının türü ve etkisi.
- Zaten alınmışsa veya varsa, bir CVE kodu.
- Planlanmış ve organize edilmiş yayın tarihi.
- Azaltıcı etkenler (Örnek: Güvenlik açığı yalnızca yaygın kullanılmayan durumlarda, varsayılan yapılandırmadan farklı ayarlarda ortaya çıkıyorsa).
- Geçici çözümler (kullanıcıların bu güvenlik açığından etkilenmesini azaltmak için yapabilecekleri yapılandırma değişiklikleri).
- İstiyorsa, bildirimi yapan araştırmacının emeklerini anma.
- Tamamlanmış güvenlik açığı duyurusu sitede ve haber akışında yayınlanır.
- If the vulnerability may be exploited while the network is being upgraded, delay the announcement until the vulnerable routers are upgraded.
- After the update is successful, write the announcement for the news feed, send it for translation, and release it.
- When translations come in, news operators should pull in the translations and update their feeds.
- YÜKSEK önem dereceleri için, iyi bilinen e-posta listelerinde tamamlanmış güvenlik açığı duyurusu yayınlanır:
- oss-security@lists.openwall.com
- bugtraq@securityfocus.com
- Uygulanabiliyorsa, geliştiriciler bir CVE kodu başvurusunda bulunur.
- Düzeltmenin yapıldığı kayıt, gelecekteki işlemler için referans yapılır ve bir CVE kodu eklenir.
- III. bölümdeki Olay Müdahale süreci başarıyla *tamamlanmadıysa*:
- Müdahale Ekibi ve geliştiriciler, III. bölümdeki konuların hangilerinin neden çözümlenemediğini ve bunların gelecekte nasıl çözümleneceğini tartışmak için bir IRC toplantısı düzenler.
- Olayı izleyen bir geliştirici toplantısında V. bölümde ele alınan noktalar görüşülmelidir.
- Bir güvenlik açığı hakkında bilgi verilip verilmeyeceği veya ne zaman duyurulacağı konusunda anlaşmazlık ortaya çıkarsa, Müdahale Ekibi IRC aracılığıyla konuyu herkese açık olarak tartışır ve bir fikir birliğine varmaya çalışır.
- Duyuru zamanlaması ile ilgili fikir birliği sağlanamazsa (en geç 90gün içinde), araştırmacı (90gün sonra) güvenlik açığını herkese açık olarak duyurma hakkına sahiptir.
V. Olay İncelemesi
- Kod temelini yalıtma
- Müdahale Ekibi ve geliştiriciler şu konular üzerinde çalışmak için organize olmalıdır:
- Sınıfların/kitaplıkların/işlevlerin vb. soruna göre uyarlanması
- Uygulamalara/dağıtım paketlerine vb. odaklanılması.
- Kullanıcı/yapılandırma hatası vb.
- Müdahale Ekibi ve geliştiriciler şu konular üzerinde çalışmak için organize olmalıdır:
- Denetim
- Müdahale Ekibi ve geliştiriciler şu konular üzerinde çalışmak için organize olmalıdır:
- 1. maddede anıldığı gibi sorunlu alan(lar)ın denetlenmesi.
- İç raporların oluşturulması ve ileride başvurulmak üzere arşivlenmesi.
- Sonuçlar kritik değilse, IRC ya da herkese açık Trac üzerinde herkese açık olarak paylaşılması.
- Müdahale Ekibi ve geliştiriciler şu konular üzerinde çalışmak için organize olmalıdır:
- Müdahale Ekibi, III. bölümü tamamladıktan sonra 45 gün içinde V. bölümü tamamlamalıdır.
VI. Sonuçlar
Herkese açık duyuru yapıldıktan sonra, olay(lar) ile ilgili ilgili herhangi bir başka soru veya çözüm, araştırmacı ile müdahale + geliştirme ekibi arasında şu başlıklarla ele alınabilir:
- Trac
- IRC
VII. Sürekli iyileştirme
- Müdahale Ekibi ve geliştiriciler, önceki yılın olaylarını gözden geçirmek için yıllık toplantılar düzenlemelidir.
- Müdahale Ekibi veya belirlenen kişi(ler) şu konularda kısa bir sunum yapmalıdır:
- Olaylardan etkilenen I2P alanları.
- Olaylardan kaynaklanan herhangi bir ağ kesintisi ya da (varsa) parasal maliyet.
- Olaylardan kaçınma yolları (varsa).
- Bu sürecin olaylarla başa çıkmada ne kadar etkili olduğu.
- Sunumdan sonra, Müdahale Ekibi ve geliştiriciler şu konuları tartışmalıdır:
- Gelecekteki olayları azaltmak için geliştirme süreçlerinde yapılabilecek değişiklikler.
- Gelecekteki müdahaleleri iyileştirmek için bu süreçte yapılabilecek değişiklikler.