Popup Date Time Portlet
BannerPortlet
Quy trình cảnh báo lỗ hổng tới Bkav
Nếu bạn phát hiện được các vấn đề và bạn cho rằng đó là lỗ hổng an ninh trong các sản phẩm của Bkav, bạn có thể gửi email thông báo tới địa chỉ security@bkav.com.vn. Email thông báo cần có ít nhất những thông tin được liệt kê ở bên dưới, những thông tin này sẽ giúp chúng tôi hiểu được vấn đề mà bạn muốn thông báo.
* Loại vấn đề cần thông báo : Buffer overflow, SQL Injection… * Tên sản phẩm và phiên bản của phần mềm bị ảnh hưởng * Từng bước thực hiện để tái lập được vấn đề * Mã khai thác hoặc mã chứng minh sự tồn tại của vấn đề * Nguy cơ của vấn đề, bao gồm cả việc hacker sẽ thực hiện như thế nào để tấn công
Bạn sẽ nhận được phản hồi của chúng tôi trong vòng 24-48h. Nếu vì một lý do nào đó bạn không nhận được phản hồi, hãy tìm cách tiếp tục liên lạc với chúng tôi, để chắc rằng chúng tôi đã nhận được thông báo của bạn.
Để bảo vệ cho người sử dụng tránh khỏi các nguy cơ bị kẻ xấu lợi dụng (trong trường hợp lỗ hổng được xác thực là thực sự tồn tại), bạn cần thông báo vấn đề trực tiếp với nhà sản xuất. Khi bạn thông báo tới chúng tôi, chúng tôi sẽ nghiên cứu cho việc thiết lập 1 kênh liên lạc và phối hợp riêng (task case) với bạn. Trong thời gian này, chúng tôi đề nghị bạn có trách nhiệm tôn trọng các quy tắc về việc công bố và không công bố rộng rãi thông tin đó cho đến khi người sử dụng có cơ hội để tự bảo vệ họ trong trường hợp đây thực sự là lỗ hổng.
Chúng tôi cũng khuyến cáo bạn, khi thông tin bạn thông báo chưa được xác thực, bạn (cũng như bất cứ bên thứ 3 nào) không được công bố trên bất cứ một phương tiện truyền thông nào cũng như với bất cứ bên thứ 3 nào khác. Những thông tin chưa được xác thực có thể gây ảnh hưởng tới người sử dụng cũng như ảnh hưởng tới uy tín của nhà sản xuất và người gây ra sẽ phải chịu trách nhiệm trước pháp luật.
Lưu ý:
Hàng ngày chúng tôi nhận được nhiều các thông báo, tuy nhiên hầu hết không phải là lỗ hổng an ninh của phần mềm. Vì vậy, để chúng ta không mất nhiều thời gian vào việc giải quyết các vấn đề không liên quan tới lỗ hổng an ninh, trước hết, bạn có thể vui lòng tham khảo 10 luật bất biến trong việc thông báo lỗ hổng được Microsoft đưa ra và chúng tôi cũng sử dụng các luật đó trong việc tiếp nhận các thông báo liên quan tới vấn đề an ninh của các sản phẩm của Bkav.
Các luật này sẽ giúp cho những người thông báo hiểu được thế nào thực sự là một lỗ hổng, để tránh tình trạng thông báo sai và chúng ta phải mất nhiều thời gian cho những việc thông báo sai này.
Luật số 1: Nếu một kẻ xấu có thể lừa bạn chạy một chương trình của hắn trên máy tính của bạn, thì đó không còn là máy tính của bạn nữa. (Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore).
Luật số 2: Nếu một kẻ xấu có thể chỉnh sửa hệ điều hành trên máy tính của bạn, thì đó không còn là máy tính của bạn nữa. (Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore).
Luật số 3: Nếu một kẻ xấu có thể ngồi trực tiếp trên máy tính của bạn, thì đó không còn là máy tính của bạn nữa. (Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore).
Luật số 4: Nếu bạn cho phép một kẻ xấu upload các chương trình lên website của bạn, thì đó không còn là website của bạn nữa. (Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more).
Luật số 5: Mật khẩu yếu làm hỏng mức an ninh mạnh. (Law #5: Weak passwords trump strong security).
Luật số 6: Một chiếc máy tính chỉ đảm bảo an toàn khi người quản trị là đáng tin cậy. (Law #6: A computer is only as secure as the administrator is trustworthy).
Luật số 7: Dữ liệu được mã hoá cũng chỉ an toàn như độ an toàn của khoá giải mã. (Law #7: Encrypted data is only as secure as the decryption key).
Luật số 8: Phần mềm diệt virus không cập nhật thì không khác gì so với việc không có phần mềm diệt virus. (Law #8: An out of date virus scanner is only marginally better than no virus scanner at all).
Luật số 9: Tuyệt đối ẩn danh tính là không thực tế, cả ở ngoài đời thực lẫn trên Web. (Law #9: Absolute anonymity isn't practical, in real life or on the Web).
Luật số 10: Công nghệ không phải là phương thuốc chữa bách bệnh. (Law #10: Technology is not a panacea).
Bạn có thể tham khảo các quy tắc về an ninh của Microsoft tại:
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx?mfr=tru
Thông tin liên hệ:
Công ty An ninh mạng Bkav
Địa chỉ : Toà nhà HH1 - Yên Hoà - Cầu Giấy - Hà Nội
Điện thoại : (04) - 3763 2552
Fax: (04) - 3782 2136
Email: security@bkav.com.vn
Website: www.bkav.com.vn
