Güvenlik Açığı Raporlama
Şüpheli Güvenlik Açıklarını Raporlama
- Amazon Web Services (AWS): AWS bulut hizmetleri veya açık kaynaklı projelerle ilgili bir güvenlik açığını ya da güvenlik endişesini raporlamak için HackerOne'da Güvenlik Açığı İfşa Programımızı ziyaret edin. H1 kapsamı/platformu dışındaki başvurular için veya herhangi bir soruya yanıt almak için aws-security@amazon.com (PGP anahtarı) ile iletişime geçin.
- Amazon: Amazon Perakende hizmetleri veya ürünleriyle ilgili bir güvenlik açığı veya güvenlik endişesini Perakende Güvenliğine bildirin.
- Sızma Testi: AWS müşterileri, listelenen hizmetler için ön onay gerekmeksizin AWS altyapıları üzerinde diledikleri güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilir. Ek rehberlik için bkz. Sızma Testi Politikası.
- AWS Kötüye Kullanım: AWS kaynaklarının (EC2 bulut sunucusu veya S3 bucket'ı gibi) şüpheli etkinlikler için kullanıldığından şüpheleniyorsanız lütfen AWS kötüye kullanım formunu doldurun veya trustandsafety@support.aws.com ile iletişime geçin.
Bildiriminize daha etkili bir şekilde yanıt verebilmemiz için lütfen güvenlik açığının niteliğini ve ciddiyetini anlamamıza yardımcı olma konusunda yararlı olacak her türlü destekleyici malzemeyi (kavram kanıtlama kodu, araç çıktısı vb.) sunun.
Amazon CNA Kapsamı
Amazon CNA, müşterileri aşağıdaki sınıflardaki geçerli güvenlik açıklarını gidermede destekleyen CVE'ler yayınlayacaktır:
- AWS tarafından sağlanan ve müşterilerin genel erişimine açık olan AWS Hizmetleri. (ör. Amazon EC2, Amazon RDS).
- Amazon Hizmetleri, Amazon tarafından sağlanır ve müşterilerin genel erişimine açıktır. (ör. Amazon.com Satıcı API Hizmeti).
- Amazon veya AWS tarafından yönetilen bir GitHub kuruluşundaki açık kaynaklı yazılım.
- Amazon veya AWS tarafından yayınlanan istemci yazılımı ve bizim tarafımızdan işletilen bir web sitesinden veya indirme konumundan indirilebilen istemci yazılımı (ör. Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle Uygulaması, Amazon MShop Uygulaması, Amazon WorkSpaces istemcisi).
- Müşterilerin satın alıp kullanabileceği ve Amazon veya AWS tarafından üretilen cihazlar (ör. Amazon Fire TV, Amazon Echo cihazları, Amazon Kindle, AWS Outpost).
Ek olarak, aşağıdaki gereksinimlerin tümü karşılanmalıdır:
- Müşteri Etkileme: Sorun, müşteriler tarafından genel erişime açık olan Amazon veya AWS'ye ait bir sınıfta bulunmalıdır VE
- Müşteri Ajansı: Desteklenen veya EOL/EOS ürün sorunlarının giderilmesi, müşteri eylemi gerektirir. Bu, düzelmenin yönetimi konusunda risk temelli bir karar vermeyi (VEYA müşterilerin olası etkiyi değerlendirmesi gerektiğini) veya geçerli bir güvenlik açığının ne zaman genel erişime açık olacağına (VEYA genel erişime açılma potansiyeli olup olmadığına) dair bir karar vermeyi içerir VE
- CVSS puanı: 4.0 (ORTA) veya üstü.
Güvenlik açığı olmadığı düşünülen hizmetler, yazılım veya donanım sorunları aşağıdakileri içerir ancak bunlarla sınırlı değildir:
- Varsayılan olmayan yapılandırma veya doğru yetkilendirilmiş geçerli kimlik bilgileri kullanılarak yapılan değişiklikler
- Amazon veya AWS müşterilerinin (ya da AWS altyapısında barındırılan AWS dışı sitelerin) varlıklarını hedeflemek
- Amazon veya AWS müşterileri ya da çalışan hesaplarının suistimal edilmesiyle elde edilen güvenlik açıkları
- Amazon veya AWS ürünlerine (ya da Amazon veya AWS müşterilerine) karşı herhangi bir Hizmet Reddi (DoS) Saldırısı
- Amazon veya AWS çalışanları, ofisleri ve veri merkezlerine fiziksel saldırılar
- Amazon veya AWS çalışanları, yüklenicileri, satıcıları ve hizmet sağlayıcılarına yönelik sosyal mühendislik
- Bilinçli şekilde kötü amaçlı yazılım paylaşmak, iletmek, yüklemek, bağlantı oluşturmak ya da göndermek
- İstenmeyen toplu mesajlar (spam) ileten güvenlik açıklarını takip etmek
AWS Güvenlik Açığı Raporlama
AWS hızlı yanıt vermeyi ve sizi ilerlememiz ile ilgili olarak bilgilendirmeyi taahhüt eder. 24 saat içinde ilk raporunuzun alındığını onaylayan otomatik olmayan bir yanıt, zamanında güncellemeler ve etkileşim boyunca aylık kontroller alacaksınız. İstediğiniz zaman güncelleme talep edebilirsiniz. Herhangi bir endişeyi veya ifşa koordinasyonunu netleştirmeye yönelik iletişimleri memnuniyetle karşılarız.
Yukarıdaki güvenlik açığı olmadığı düşünülen faaliyetler de AWS Güvenlik Açığı İfşa Programı'nın kapsamı dışındadır. Yukarıda belirtilen faaliyetlerden herhangi birinin yapılması programdan kalıcı olarak diskalifiye edilmek anlamına gelir.
Genel Bildirim
Uygunsa, AWS doğrulanmış herhangi bir güvenlik açığına ilişkin genel açıklama bildirimini sizinle birlikte koordine eder. Mümkün olduğunda, ilgili genel açıklamalarımızın aynı anda gönderilmesini tercih ederiz.
AWS olarak, müşterilerimizi korumak amacıyla bildirilen güvenlik açığını giderinceye kadar ve gerekirse müşterileri bilgilendirinceye kadar olası güvenlik açığıyla ilgili hiçbir bilginin yayınlanmamasını veya paylaşılmamasını isteriz. Ayrıca müşterilerimize ait hiçbir veriyi göndermemenizi veya paylaşmamanızı rica ediyoruz. Bir güvenlik açığını azaltmak için gereken sürenin güvenlik açığının ciddiyetine ve etkilenen sistemlere bağlı olduğunu lütfen unutmayın.
AWS, genel bildirimleri AWS Güvenlik web sitesinde yayınlanan Güvenlik Bültenleri biçiminde yapmaktadır. Kişiler, şirketler ve güvenlik ekipleri genellikle önerilerini kendi web sitelerinde ve diğer forumlarda yayınlar. Ayrıca ilgisi olduğunda AWS Güvenlik Bültenlerine söz konusu üçüncü tarafların bağlantılarını ekleriz.
Güvenli Liman
AWS iyi niyetle yapılan güvenlik araştırmaları için güvenli liman sağlanması gerektiğine inanmaktadır. Güvenlik araştırmaları ve güvenlik açıklarını bildirmek için güvenli liman sağlanması amacıyla, Altın Standart Güvenli Liman'ı benimsedik. Müşterilerimizi koruma kararlılığımızı paylaşan güvenlik araştırmacılarıyla çalışmayı dört gözle bekliyoruz.
Altın Standart Güvenli Liman, İyi Niyetli Güvenlik Araştırmaları ile uğraşan kuruluşların ve bilgisayar korsanlarının korunmasını destekler. "İyi Niyetli Güvenlik Araştırması", bir bilgisayara yalnızca iyi niyetli bir şekilde test etmek, araştırmak ve/veya güvenlik açığını düzeltmek amacıyla erişmektir. Bu tür faaliyetler, bireylere veya halka zarar vermemek için tasarlanmış bir şekilde gerçekleştirilir ve faaliyetten elde edilen bilgiler, öncelikle erişilen bilgisayarın ait olduğu cihaz, makine veya çevrimiçi hizmet sınıfının veya bu tür cihazları, makineleri veya çevrimiçi hizmetleri kullananların güvenliğini artırmak için kullanılır.
İyi Niyetli Güvenlik Araştırmasını, tarafımızca yapılan muhalif yasal işlemlerden korunan yetkili faaliyet olarak görüyoruz. Hizmet Şartlarımızda ("TOS") ve/veya Kabul Edilebilir Kullanım Politikalarımızdaki, ("AUP") burada belirtilen İyi Niyetli Güvenlik Araştırmaları standardıyla çelişen ilgili kısıtlamalardan feragat ediyoruz.
Bu, bu program aktifken yürütülen faaliyetler için şu anlama gelir:
- Kapsamdaki uygulamaları korumak için kullandığımız teknolojik önlemleri atlamak da dahil olmak üzere, size karşı yasal işlem başlatmayız veya sizi İyi Niyetli Güvenlik Araştırması açısından ihbar etmeyiz ve
- Bir başkası size karşı yasal işlem başlatırsa İyi Niyetli Güvenlik Araştırması yaptığınızı bildirmek için adımlar atarız.
İyi Niyetli Güvenlik Araştırması ile tutarsız olabileceğini veya politikamız tarafından ele alınmadığını düşündüğünüz davranışlarda bulunmadan önce açıklama için bizimle iletişime geçmelisiniz.
Üçüncü taraf altyapılarında güvenlik araştırmasına izin veremediğimizi ve bu güvenli liman beyanının üçüncü taraflar için bağlayıcı olmadığını unutmayın.
İfşa Politikası
Bildirim gönderildikten sonra bildirilen güvenlik açığını doğrulamak için çalışırız. Sorunu doğrulamak ya da yeniden oluşturmak için ek bilgi gerekiyorsa bu bilgiyi almak üzere sizinle birlikte çalışacağız. İlk inceleme tamamlandığında, sonuçlar çözüm ve genele açıklamaya yönelik bir değerlendirme ve planla birlikte size gönderilir.
Bu süreç hakkında dikkat edilmesi gereken birkaç nokta:
- Üçüncü Taraf Ürünleri: Güvenlik açığının bir üçüncü taraf ürününü etkilediği tespit edilirse etkilenen ürünün sahibini bilgilendiririz. Sizinle üçüncü taraf arasında koordinasyon sağlamaya devam ederiz. Kimliğiniz, izniniz olmadan üçüncü tarafa açıklanmaz.
- Güvenlik Açığı Dışındaki Durumları Onaylama: Sorun doğrulanamazsa veya kapsam dışında olduğu tespit edilirse bu durum sizinle paylaşılır.
- Güvenlik Açığı Sınıflandırma: Olası güvenlik açıklarını değerlendirmek için Ortak Güvenlik Açığı Puanlama Sistemi'nin (CVSS) 3.1 sürümünü kullanırız. Elde edilen puan, sorunun ciddiyetini ölçmemize ve yanıtımızın önceliğini belirlememize yardımcı olmaktadır. CVSS konusunda daha fazla bilgi için lütfen NVD sitesine bakın.
Güvenlik açığı ifşa programımıza iyi niyet çerçevesinde katılırken, sizden şunları rica ediyoruz:
- Bu politikaya ve diğer ilgili anlaşmalara uymak da dahil olmak üzere kurallara uygun davranın. Bu politika ile diğer geçerli şartlar arasında herhangi bir tutarsızlık varsa bu politikanın şartları geçerli olacaktır;
- Keşfettiğiniz herhangi bir güvenlik açığını derhal bildirin;
- Başkalarının gizliliğini ihlal etmekten, sistemlerimizi kesintiye uğratmaktan, verileri tahrip etmekten ve/veya kullanıcı deneyimine zarar vermekten kaçının;
- Güvenlik açığı bilgilerini bizimle tartışmak için yalnızca daha önce belirtilen kanalları kullanın;
- Sorunu kamuya açıklamadan önce çözmemiz için ilk rapordan itibaren makul bir süre tanıyın;
- Yalnızca kapsam içi sistemlerde test yapın ve kapsam dışı sistem ve faaliyetlere saygı gösterin;
- Bir güvenlik açığı verilere istenmeyen erişim sağlıyorsa: Etkili bir şekilde bir kavram kanıtı ortaya koymak üzere, eriştiğiniz veri miktarını gereken minimum seviyeyle sınırlayın; test sırasında Kimliği Tanımlayabilecek Bilgiler (PII), Kişisel Sağlık Bilgileri (PHI), kredi kartı verileri veya tescilli bilgiler gibi herhangi bir kullanıcı verisiyle karşılaşırsanız derhal testi durdurun ve bir rapor gönderin;
- Yalnızca sahip olduğunuz test hesaplarıyla veya hesap sahibinin açık izniyle etkileşim kurun ve
- Zorla elde etme eyleminde bulunmayın.