Διατηρώντας το ProtonVPN ασφαλές

Όπως και με το ProtonMail, έχουμε δημιουργήσει το ProtonVPN με έμφαση στην ασφάλεια. Σήμερα, ξεκινάμε ένα πρόγραμμα Bug Bounty για να βελτιώσουμε περαιτέρω την ασφάλεια του ProtonVPN.

Κατά τη λειτουργία μιας υπηρεσίας VPN, απαιτείται ασφάλεια όχι μόνο για τις συνδέσεις VPN και τα ίδια τα πρωτόκολλα. Απαιτείται επίσης ασφάλεια για την υποκείμενη υποδομή διακομιστή, τις ιστοσελίδες και τους πίνακες ελέγχου, τις ίδιες τις εφαρμογές VPN, το σύστημα πληρωμών και επίσης τις βάσεις δεδομένων των χρηστών. Για να προστατεύσουμε σωστά το απόρρητο των χρηστών, πρέπει να προστατεύσουμε όλες τις πτυχές της υπηρεσίας από συμβιβασμούς.


Κατά την κατασκευή του ProtonVPN, χρησιμοποιήσαμε την τεχνογνωσία ασφάλειας που αποκτήσαμε από τη λειτουργία της μεγαλύτερης ασφαλούς υπηρεσίας ηλεκτρονικού ταχυδρομείου στον κόσμο. Συνεργαζόμαστε επίσης με τους συνεργάτες ασφαλείας της ProtonMail και την ευρύτερη κοινότητα για την ενίσχυση όλων των πτυχών του ProtonVPN. Πρόσφατα, συνεργαστήκαμε με τον μακροπρόθεσμο συνεργάτη ασφαλείας ProtonMail Mazin Ahmed για να ολοκληρώσουμε έναν ολοκληρωμένο έλεγχο ασφαλείας του ProtonVPN και να προσθέσουμε επιπλέον σκλήρυνση.

Μας πρόγραμμα bug bounty Μας επιτρέπει να επεκτείνουμε το έργο που ήδη κάνουμε σε καθημερινή βάση για την προστασία των χρηστών του ProtonVPN. Για αυτόν τον λόγο, τώρα που το ProtonVPN κυκλοφόρησε επίσημα, ένα από τα πρώτα πράγματα που κάνουμε είναι να ξεκινήσουμε το πρόγραμμα ProtonVPN Bug Bounty. Με αυτό το πρόγραμμα, σας προσκαλούμε εμπειρογνώμονες ασφαλείας από όλο τον κόσμο για να προσπαθήσουν να βρουν αδυναμίες στο ProtonVPN, και θα πληρώνουμε ανταμοιβές (bounties) για ζητήματα ασφαλείας που μας αναφέρονται μέσω αυτού του προγράμματος. Εάν είστε ερευνητής ασφάλειας, μπορείτε επίσης να συμμετάσχετε στο Πρόγραμμα Bug Bounty ProtonMail.

Πρόγραμμα ProtonVPN Bug Bounty

Κανόνες

Πεδίο εφαρμογής: Το πρόγραμμα περιορίζεται στους διακομιστές και τις εφαρμογές Ιστού, επιτραπέζιων υπολογιστών και κινητών που διαχειρίζονται το ProtonVPN. Τα προφίλ μας στο Facebook, το Twitter, το Linkedin, το Eventbrite κ.λπ. δεν πληρούν τις προϋποθέσεις. Οι ιστότοποι που πληρούν τις προϋποθέσεις περιλαμβάνουν:

  • protonvpn.com
  • account.protonvpn.com
  • api.protonvpn.ch [Σημείωση: .ch και όχι .com]

Οι εφαρμογές ProtonVPN σε Windows, MacOS, Linux, iOS και Android περιλαμβάνονται επίσης σε αυτό το πρόγραμμα.

Κρίνοντας: Το πάνελ κριτικής για τον προσδιορισμό των βραβείων αποτελείται από προγραμματιστές ProtonVPN και ProtonMail, επικουρούμενοι από έναν ή περισσότερους εξωτερικούς εμπειρογνώμονες που αποτελούν μέρος της ομάδας ασφαλείας μας. Οι συμμετέχοντες στο πρόγραμμα συμφωνούν να σέβονται την τελική απόφαση των δικαστών.

Υπεύθυνη αποκάλυψη: Ζητούμε να μας αναφέρονται όλες οι ευπάθειες στη διεύθυνση [email protected]. Πιστεύουμε ότι είναι αντίθετο με το πνεύμα αυτού του προγράμματος να αποκαλύψουμε το ελάττωμα σε τρίτους για σκοπούς άλλους από την πραγματική διόρθωση του σφάλματος. Οι συμμετέχοντες συμφωνούν να μην αποκαλύψουν σφάλματα που εντοπίστηκαν μέχρι να διορθωθούν και να συντονίσουμε την αποκάλυψη με την ομάδα μας μέσω των σημειώσεων έκδοσης για την αποφυγή σύγχυσης.

Υπεύθυνος έλεγχος:  Μην παραβιάζετε λογαριασμούς χρηστών, κατεστραμμένες βάσεις δεδομένων ή διαρροές δεδομένων που ενδέχεται να είναι ευαίσθητα. Αποθαρρύνουμε επίσης τον έλεγχο ευπάθειας που υποβαθμίζει την ποιότητα των υπηρεσιών για τους χρήστες μας. Εάν έχετε αμφιβολίες, μη διστάσετε να επικοινωνήσετε με την Ομάδα Ασφαλείας μας στη διεύθυνση [email protected]

Τήρηση των κανόνων: Με τη συμμετοχή σας σε αυτό το πρόγραμμα, συμφωνείτε να τηρείτε τους παραπάνω κανόνες και προϋποθέσεις. Πρέπει να τηρούνται όλοι οι κανόνες για να είναι επιλέξιμοι για βραβεία.

Προσόντα τρωτά σημεία

Κάθε ζήτημα σχεδιασμού ή εφαρμογής που επηρεάζει ουσιαστικά την εμπιστευτικότητα ή την ακεραιότητα των δεδομένων χρήστη είναι πιθανό να εμπίπτει στο πρόγραμμα. Αυτό περιλαμβάνει, αλλά δεν περιορίζεται σε:

Εφαρμογές Ιστού

  • Σενάριο μεταξύ ιστότοπων
  • Παραποίηση πλακιδίων αιτήσεων
  • Σενάρια μικτού περιεχομένου
  • Ελαττώματα ελέγχου ταυτότητας ή εξουσιοδότησης
  • Σφάλματα εκτέλεσης κώδικα από διακομιστή
  • Ευπάθειες API REST

Υπηρέτης

  • Μη εξουσιοδοτημένη πρόσβαση στο κέλυφος
  • Κλιμάκωση προνομίων
  • Απομακρυσμένη εκτέλεση κώδικα

Εφαρμογές

  • Ελαττώματα ελέγχου ταυτότητας ή εξουσιοδότησης
  • Παραβίαση ασφάλειας τοπικών δεδομένων (χωρίς rooting)

Πιστεύουμε ότι συνεργαζόμαστε στενά με ερευνητές ασφαλείας και είμαστε πρόθυμοι να κοινοποιήσουμε τεχνικές λεπτομέρειες, όπως προδιαγραφές API, πηγαίο κώδικα ή λεπτομέρειες υποδομής με επιλεγμένους ερευνητές με στόχο τη βελτίωση της ασφάλειας για όλους τους χρήστες του ProtonMail. Παρακαλώ επικοινώνησε [email protected] Για περισσότερες πληροφορίες.

Προκριματικές βελτιώσεις

Μερικές φορές, απονέμονται bounties για προτάσεις βελτίωσης που δεν εμπίπτουν σε καμία από τις παραπάνω κατηγορίες. Αυτό καθορίζεται κατά περίπτωση από την ομάδα μας. Αυτά περιλαμβάνουν πράγματα όπως:

  • Βελτιώσεις διαμόρφωσης διακομιστή
  • Διαμορφώσεις τείχους προστασίας
  • Βελτιωμένες διασφαλίσεις DoS / DDoS
  • Διαδρομή / αποκάλυψη πληροφοριών

Μη ευαίσθητα τρωτά σημεία

  • Ελαττώματα που επηρεάζουν τα παλιά προγράμματα περιήγησης (συγγνώμη, τα ζητήματα ασφαλείας IE6 δεν πληρούν τις προϋποθέσεις)
  • Θέματα ασφαλείας εκτός του πεδίου εφαρμογής του μοντέλου απειλής του ProtonVPN
  • Επιθέσεις ηλεκτρονικού ψαρέματος ή κοινωνικής μηχανικής
  • Σφάλματα που απαιτούν υπερβολικά απίθανες αλληλεπιδράσεις χρηστών
  • Σφάλματα WordPress (αλλά αναφέρετε αυτά στο WordPress)
  • Μη ενημερωμένο λογισμικό – Για διάφορους λόγους, δεν εκτελούμε πάντα τις πιο πρόσφατες εκδόσεις λογισμικού, αλλά εκτελούμε λογισμικό που είναι πλήρως ενημερωμένο
  • Σφάλματα λογισμικού σε OpenVPN ή IKEv2 (αλλά παρακαλούμε να τα αναφέρετε στους συντάκτες τους)

Ποσά ανταμοιβής

Το μέγεθος του ποσού που πληρώνουμε καθορίζεται κατά περίπτωση και εξαρτάται σε μεγάλο βαθμό από τη σοβαρότητα του ζητήματος. Για να σας απονεμηθεί μια γενναιοδωρία, πρέπει συνήθως το πρώτο άτομο που ανέφερε ένα ζήτημα, αν και μερικές φορές γίνονται εξαιρέσεις. Παρακάτω παρέχονται οδηγίες σχετικά με τα γενναιοδωρία:

Μικρές ευπάθειες διακομιστή και εφαρμογών που δεν θέτουν σε κίνδυνο τα δεδομένα χρήστη ή το απόρρητο: 50 $
Ευπάθειες που μπορούν να οδηγήσουν σε καταστροφή δεδομένων: 200 $
Ευπάθειες που μπορούν να οδηγήσουν στην αποκάλυψη δεδομένων χρήστη ή σε κίνδυνο του απορρήτου των χρηστών: 1.000 $+
Μέγιστο ποσό: 10.000 $

Οδηγίες αναφοράς

Αναφέρετε ζητήματα στο [email protected]. Τα ζητήματα πρέπει να αναφέρονται με σαφείς οδηγίες σχετικά με τον τρόπο αναπαραγωγής του ζητήματος ή / και απόδειξη της ιδέας.

Τις καλύτερες ευχές,
Η ομάδα Proton Technologies

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me