Proses ini bisa berubah. Silakan lihat halaman ini untuk VRP terkini.
This page was last updated April 2023.
Researchers: during your study and network testing, we ask that you refrain from the following: - Performing active exploits or Denial of Service attacks on the I2P network - Performing social engineering on I2P team and community members - Performing any physical or electronic attempts against I2P property and/or data centers
As I2P is an open-source community, many volunteers and development team members run their own I2P Sites as well as public (“non-private internet”) domains. These sites/servers are NOT in the scope of the vulnerability assessment / response process, only the underlying code of I2P is.
I. Point of Contact for Security Issues
security (at) geti2p.net - GPG Key fingerprint = EA27 06D6 14F5 28DB 764B F47E CFCD C461 75E6 694AII. Security Response Team
Echelon is the trusted security point-of-contact. He forwards emails to team members as appropriate.
III. Incident Response
- Peneliti mengirimkan laporan melalui: security (at) geti2p.net
- Response Team menunjuk Response Manager yang bertanggung jawab atas laporan tertentu berdasarkan ketersediaan dan/atau knowledge-set.
- Tidak lebih dari 3 hari kerja, Response Team harus dengan penuh rasa terima kasih menanggapi peneliti dengan hanya menggunakan metode terenkripsi.
- Response Manager membuat pertanyaan untuk memuaskan informasi yang dibutuhkan dan untuk memastikan bahwa laporan tersebut memang merupakan kerentanan.
- Jika laporan terbukti adalah kerentanan, lanjutkan.
- Jika bukan kerentanan:
- Response Manager merespons dengan alasan mengapa laporan bukan merupakan kerentanan.
- Response Manager memindahkan diskusi ke tiket baru atau tiket yang sudah ada di Trac publik, jika perlu.
-
Menetapkan tingkat keparahan kerentanan:
- HIGH
- Memberikan efek kepada jaringan secara keseluruhan, berpotensi menghancurkan keseluruhan jaringan atau berskala bencana besar.
- MEDIUM
- Memberikan efek kepada router individual, atau harus dieksploitasi secara hati-hati.
- LOW
- Tidak mudah dieksploitasi.
- Merespon sesuai dengan tingkat keparahan kerentanan:
- Tingkat keparahan yang tinggi harus diberitahukan di situs web dan news feed dalam 3 hari kerja.
- Pemberitahuan harus mencantumkan langkah-langkah yang tepat untuk diambil pengguna, jika ada.
- Pemberitahuan tersebut tidak boleh menyertakan rincian yang dapat menyarankan jalur eksploitasi.
- Yang terakhir lebih diutamakan daripada yang pertama.
- Tingkat keparahan yang SEDANG dan TINGGI akan memerlukan Point Release.
- Tingkat keparahan yang RENDAH akan diatasi di dalam Regular Release berikutnya.
- Tingkat keparahan yang tinggi harus diberitahukan di situs web dan news feed dalam 3 hari kerja.
- Response Team menerapkan patch yang sesuai.
- Manajer Respons membuat patch secara lokal, patch dibagikan oleh tim respons melalui email yang dienkripsi PGP sampai waktu yang aman untuk diekspos kepada publik.
- Patch diperiksa oleh peneliti.
- Setiap pesan yang terkait dengan komitmen PUBLIK selama peninjauan sebaiknya tidak mengacu pada sifat keamanan cabang PRIVATE atau commit-nya.
- Pengumuman kerentanan disusun.
- menyertakan tingkat keparahan dari kerentanan.
- Menyertakan sistem/aplikasi yang terpengaruh.
- Menyertakan solusi (jika ada) jika patch tidak bisa diterapkan.
- Tanggal rilis dibahas.
- Pada tanggal rilis, Response Team berkoordinasi dengan pengembang untuk menyelesaikan pembaruan:
- Response Manager menyebarkan "hotfix bramch" ke dalam trunk.
- Response Manager menyertakan draft pengumuman kerentanan dalam catatan rilis.
- Lanjutkan dengan Point atau Regular Release. Saat ini, tidak mungkin merilis pembaruan dalam jaringan hanya untuk satu sistem operasi atau arsitektur. Agar semua produk yang terpengaruh dapat dirilis secepat mungkin, orang yang bertanggung jawab untuk perangkat lunak itu harus dapat melakukan proses rilis yang diperlukan dalam tepat waktu. Yang penting, ini harus termasuk pertimbangan untuk package maintainer di Debian, Ubuntu dan F-Droid.
IV. Post-release Disclosure Process
- Response Team memiliki waktu 90 hari untuk memenuhi semua poin di dalam bagian III.
- Jika proses Incident Response pada bagian III berhasil diselesaikan:
- Response Manager menghubungi peneliti dan menanyakan apakah peneliti menginginkan namanya disebut.
- Selesaikan draft pengumuman kerentanan dan masukkan hal-hal berikut:
- Nama proyek dan URL
- Beberapa versi diketahui terkena pengaruh.
- Versi yang diketahui tidak terpengaruh (misalnya, kode yang rentan dimasukkan dalam versi terbaru sehingga versi yang lebih lama tidak terpengaruh).
- Versi tidak diperiksa.
- Jenis kerentanan dan dampaknya.
- Jika sudah didapat atau bisa diterapkan, CVE-ID.
- Tanggal rilis yang direncanakan dan terkoordinasi.
- Faktor yang mengurangi (misalnya, kerentanan hanya terjadi dalam konfigurasi non-default yang tidak biasa).
- Workarounds (perubahan konfigurasi yang dapat dilakukan pengguna untuk mengurangi paparan terhadap kerentanan).
- Jika berlaku, ucapkan terima kasih kepada orang yang melaporkan.
- Pengumuman kerentanan rilis terakhir di situs web dan news feed.
- If the vulnerability may be exploited while the network is being upgraded, delay the announcement until the vulnerable routers are upgraded.
- After the update is successful, write the announcement for the news feed, send it for translation, and release it.
- When translations come in, news operators should pull in the translations and update their feeds.
- Untuk tingkat keparahan yang TINGGI, rilis pengumuman kerentanan akhir pada milis terkenal:
- oss-security@lists.openwall.com
- bugtraq@securityfocus.com
- Jika dapat diterapkan, pengembang dapat meminta CVE-ID.
- Komitment menerapkan perbaikan juga dijadikan rujukan di masa mendatang dan menyertakan CVE-ID.
- Jika proses Incident Response pada bagian III *tidak* berhasil diselesaikan:
- Response Team dan pengembang mengatur pertemuan IRC untuk membahas mengapa poin di bagian III tidak terselesaikan dan bagaimana tim dapat menyelesaikannya di masa mendatang.
- Setiap pertemuan pengembang yang diadakan segera setelah kejadian tersebut harus mencakup poin yang dibuat di bagian V.
- Jika perselisihan timbul tentang apakah harus mengungkapkan informasi tentang kerentanan atau kapan mengungkapkan kerentanan, Response Team akan mendiskusikan masalah ini melalui IRC dan berusaha mencapai konsensus.
- Jika konsensus mengenai waktu pengungkapan tidak terpenuhi (selambat-lambatnya 90 hari), peneliti (setelah 90 hari) memiliki hak untuk mengekspos kerentanan kepada publik.
V. Incident Analysis
- Isolate codebase
- Response team dan pengembang harus berkoordinasi untuk mengerjakan hal-hal berikut:
- Implementasi bermasalah pada classes/libraries/functions, dll.
- Fokus pada aplikasi/distro packaging, dll.
- Operator/config error, dll.
- Response team dan pengembang harus berkoordinasi untuk mengerjakan hal-hal berikut:
- Auditing
- Response team dan pengembang harus berkoordinasi untuk mengerjakan hal-hal berikut:
- Mengaudit area masalah(-masalah) sebagaimana dibahas pada butir 1.
- Buat laporan internal dan simpan referensi untuk masa mendatang.
- Jika hasil tidak sensitif, bagikan dengan publik melalui IRC atau public Trac.
- Response team dan pengembang harus berkoordinasi untuk mengerjakan hal-hal berikut:
- Response Team memiliki 45 hari setelah selesainya bagian III untuk memastikan penyelesaian seksi V.
VI. Resolutions
Pertanyaan atau resolusi lebih lanjut mengenai insiden antara tim peneliti dan tim pengembang + respon setelah pengungkapan publik dapat ditangani melalui:
- Trac
- IRC
VII. Perbaikan terus-menerus
- Response Team dan pengembang harus mengadakan pertemuan tahunan untuk meninjau insiden tahun sebelumnya.
- Response Team atau orang(-orang) yang ditunjuk harus memberikan presentasi singkat, termasuk:
- Area I2P yang terkena dampak insiden.
- Setiap downtime jaringan atau biaya moneter (jika ada) dari kejadian tersebut.
- Cara-cara di mana insiden bisa dihindari (jika ada).
- Seberapa efektif proses ini dalam menghadapi insiden tersebut.
- Setelah presentasi, Response Team dan pengembang harus mendiskusikan:
- Potensi perubahan pada proses pengembangan untuk mengurangi insiden di masa depan.
- Potensi perubahan pada proses ini untuk memperbaiki respons di masa depan.