USOM

Telefon
+90 312 412 20 25
+90 312 586 53 05
Telefon
+90 549 779 87 85

Zafiyet Bildirim Politikası

KISALTMALAR ve TANIMLAR


CVE : Common Vulnerabilities and Exposures – Yaygın Zafiyetler ve Maruziyetler

CNA : CVE Numbering Authority – CVE Numaralandırma Otoritesi

CWE : Common Weakness Enumeration - Ortak Zayıflık Numaralandırması

CAPEC : Common Attack Pattern Enumerations and Classifications - Yaygın Saldırı Modeli Numaralandırma ve Sınıflandırmaları

CVSS : Common Vulnerability Scoring System - Yaygın Zafiyet Puanlama Sistemi

CPE : Common Platform Enumeration - Yaygın Platform Numaralandırması

Zafiyet : Bilgi Teknolojileri ürünlerinde istismara yol açabilen hata veya eksikliklerdir.

Üretici : Yazılım ve/veya donanım ürününü üreten gerçek/tüzel kişiliği ifade eder.

Bildirimci : Yazılım ve/veya donanım ürününde zayıflığı tespit ederek USOM’a bildiren gerçek/tüzel kişileri ifade eder.


GENEL

  1. USOM; internet güvenliğini desteklemek, siber saldırıları önlemek/engellemek, zafiyetlerin ortadan kaldırılmasını desteklemek/hızlandırmak, kullanıcıları zafiyetler hakkında bilgilendirmek ve siber güvenlik alanında uluslararası işbirliğini tesis ve idame etmek amacıyla MITRE ile iş birliği içerisinde CNA (CVE Numbering Authority) rolünü görev ve sorumluluk alanında üstlenmektedir.
  2. Tanımlanmamış zafiyetlerin “Kontrol – Doğrulama – Tanımlama – Koordinasyon – Giderme – İlan” süreçleri aşağıda belirtilen kurallar çerçevesinde yürütülür;

    1. KONTROL

      • USOM’a zafiyet bildirimleri https://www.usom.gov.tr/zafiyet-bildirimi adresinden yapılır. İlk bildirimin alınmasını müteakip başvuran kişi ile iletişim, gereken durumlarda cve@usom.gov.tr adresi aracılığıyla yapılır.
      • Yalnızca Türkiye Cumhuriyeti’nde üretilen yerli yazılımlar ve başka bir CNA kapsamına girmeyen ve Türkiye'de yaygın olarak kullanılan üçüncü taraf yazılımlardaki bulunan zafiyetler değerlendirilir. Bu kapsam haricinde bulunan zafiyetler, tespit eden kişi veya kuruluş tarafından https://www.cve.org/PartnerInformation/ListofPartners adresinde bulunan CNA yetki dağılım listesinde uygun otoriteye iletilmelidir. Zafiyetlerin hatasız iletilmesi amacıyla zafiyeti bulan kişinin ilgili CNA’ya iletmesi esastır.
      • Zafiyetin kesin olarak kanıtları iletilmeyen ve yöntem, metod ve öneri içeren bildirimlere işlem yapılmaz.
      • Üreticisi tarafından yama desteği devam etmeyen ürün versiyonlarına ait bildirilen zafiyetler dikkate alınmaz. *
      • Varsayılan ayarlarıyla çalışan ürünlerde mevcut bulunmayan, kullanıcının konfigürasyon hatası ile ortaya çıkan zafiyetlere işlem yapılmaz.
      • Üretici firmanın ürün üzerindeki haklarını devretmeden faaliyetlerini sona erdirmesi durumunda, ürünün ömrünün sona erdiği değerlendirilerek işlem yapılmaz. *
      • Üreticisine ulaşılamayan ve son bir yılda herhangi bir güncelleme/yama dağıtımı yapılmayan ürünlere, ürünün ömrünün sona erdiği değerlendirilerek işlem yapılmaz. *
      • Başvuruya konu bir site, ağ ve benzeri tekil durumlardaki zafiyetler olması halinde değerlendirmeye alınmaz. Başvuruya konu ürün merkezi bir platformdan müşterilerine hizmet veriyorsa bu durum, tekil olarak değerlendirilir ve CVE süreci yürütülmez. CVE atama sürecinde esas, yazılım veya donanımsal olarak zafiyetli bir ürünü değerlendirmek ve zafiyet bulunması halinde bu ürünü kendi alanlarında kullananları ikaz etmek/bilgilendirmektedir.

    2. DOĞRULAMA

      • Bildirilen zafiyetler ile ilgili iletilen kanıtlar USOM tarafından doğrulanır, gerek görülmesi halinde test ortamında zafiyet test edilir.
      • Yazılımların ön sürümlerinde veya test (demo) ortamlarında bulunan zafiyetlere işlem yapılmaz.
      • Yetki alanında olan ve doğrulanan zafiyetler için bu aşamada zafiyet kodu rezerve edilir ve içeriği boş olarak bekletilir. Tahsis edilen zafiyet kodu, zafiyeti tespit eden kişiye iletilir.

    3. TANIMLAMA

        • Bildirilen zafiyete ait CWE ve CAPEC sınıflandırmaları USOM tarafından MITRE standartlarına uygun olarak değerlendirilir. CVSS skoru hesaplanır ve zayıflığın derinliği (başka zafiyetlere sebebiyet verip vermediği) incelenir.

    4. KOORDİNASYON

      • Üretici firmaya ilgili ürünündeki zafiyetin, zafiyeti tespit eden kişi tarafından birincil olarak iletilmesi esastır.
      • Bulunan zafiyetin bir bileşende olması ve dolayısıyla birden fazla yazılımda bulunması durumunda USOM tarafından -gerekli görülmesi durumunda- güvenlik bildirimi yayınlanır.
      • Zafiyeti tespit eden kişinin firmaya iletmesi neticesinde üretici tarafından zafiyetin kabul edilmemesi veya dikkate alınmaması durumunda ve zafiyetin USOM tarafından doğrulandığı durumda üreticiye bildirim yapılır.

    5. GİDERME

      • USOM tarafından, MITRE standartlarına göre hesaplanacak zafiyet skoruna göre;
        • Kritik dereceli zafiyetlerin en çok bir hafta,
        • Yüksek dereceli zafiyetlerin en çok iki hafta,
        • Orta dereceli zafiyetlerin en çok üç hafta,
        • Düşük dereceli zafiyetlerin en çok dört hafta içerisinde kapatılması beklenmektedir.

        Bu süre zafiyeti tespit eden kişinin ya da USOM’un zafiyeti üreticiye iletmesi ile başlar.

    6. İLAN

      • Güncellemenin üretici tarafından yayınlanması ve kullanıcılara makul bir süre güncelleme süresi bırakılmasını müteakip (bu süreye USOM karar verir) USOM tarafından zafiyete ilişkin bilgiler https://www.usom.gov.tr/bildirim adresinde ve MITRE veri tabanı aracılığıyla ilan edilir.
      • Zafiyet ilan edildiğinde zafiyeti tespit edene USOM tarafından bilgi verilir.
  3. Yukarıda belirtilen süreçlerde esas olarak; zafiyetin ifşa olması durumu istisna olmak üzere, tespit edilen zafiyetler zafiyetin üreticiye bildirilmesinden itibaren 90 gün boyunca üretici tarafından giderilmedikçe ilan edilmeyecektir. 90 gün boyunca üreticisine ulaşılmayan, cevap alınmayan, üreticisinin gerekli düzeltmeleri yapmadığı ve sair sebeplerle giderilmeyen zafiyetler, tam olarak zafiyetli noktayı ifşa etmeden ilan edilir. Zafiyeti giderilmeden ilan edilen kayıtlarda açıklama bölümünde durum belirtilir, ilgili üretici firma tarafından daha sonra düzeltme yapılması ve talep edilmesi halinde zafiyetin giderildiği versiyon eklenerek zafiyet kaydı yeniden düzenlenir.
  4. Üretici veya yayıncı kuruluş tarafından saldırgan davranışı tespit edilen kullanıcıların “Zafiyet arama”sı bir sebep olarak kabul edilmez, yetki sahibi olmadan uygulanan her davranış hakkında hukuk yolu açıktır ve bu politika bahane olarak öne sürülemez.
  5. Tespit edilen zafiyete ait kanıt toplanırken zafiyeti sömürmek, saldırgan davranış olarak nitelendirilir. Zafiyet bildiriminde zafiyetin varlığının kanıtlanması yeterlidir.
  6. Süreçlerin herhangi bir aşamasında USOM tarafından zafiyeti bertaraf edecek ayarlar ilan edilebilir.
  7. CVE formatında zafiyeti tespit eden kişinin kimliğine yer verilmektedir ve bulgu sahibi olmak başarı olarak nitelendirilir. Bu başarının sahibi olmak için zafiyeti bulmak yeterli değildir, tüm süreci takip ederek zafiyetin kapatılmasını sağlamak başarıyı hak etmeyi sağlar. Bu sebeple tespit edilen zafiyeti ilgili firmaya iletmeyen veya zafiyetin kapatılma sürecini sonuna kadar yakından takip etmeyenlerin kimliği yayınlanmaz.
  8. Zafiyet bildirimini yerli ya da yabancı tüm gerçek ve tüzel kişiler yapabilir.
  9. Aynı ürünün aynı sürümünde ve aynı tipte bulunan birden fazla zafiyetin her birine zafiyet kodu atanmaz, “çoklu” ibaresi kullanılarak tek zafiyet kodu atanır.
  10. CVE veri tabanı tüm dünya tarafından etkin olarak kullanılan İngilizce dilinde yazılan bir bilgi kaynağıdır. Bu sebeple;
    • USOM tarafından bildirimler Türkçe alınır, MITRE’ye İngilizce gönderilir.
    • Özel isim dahi olsa Türkçe karakter kullanılmaz.
    • Üreticinin ve ürünün adı tam olarak yazılır.
    • Kimliğinin CVE kaydında yer almasını istemeyenlerin kimlikleri MITRE veri tabanında yayınlanmaz, gerekli görülen hallerde ulaşmak amacıyla USOM tarafından tutulur. CVE kaydında kimlik örnek olarak “Kagan TURKOGLU” (sadece isim ve soy isim), “Kagan TURKOGLU from ZZZ Informatics” (isim, soy isim ve kuruluş) veya “ZZZ Informatics” (sadece kuruluş) olarak yazılabilir. Bu alanda takma isim kullanılmaz.
  11. Zafiyetli olduğu tespit edilen ve üreticisi tarafından desteği sona eren ancak halihazırda yaygın olarak kullanılan ürünler “unsupported-when-assigned” etiketiyle ilan edilir.
  12. Zafiyet tespit ederek internet güvenliğine katkı sağlayan katılımcıların isimleri (CVE kaydında isimlerinin yazılmasını talep eden ve buna hak kazananlar) USOM tarafından bir başarı tablosu olarak yayınlanır.
  13. USOM, zafiyet bildirim politikasını güncellemeyi ve güncellenen politikayı geçmişe yürütme hakkını saklı tutar.

* Yaygın olarak kullanılmaya devam edilen ürünler hakkında 11’inci madde hükümleri uygulanır.


İletişim

Zafiyet Bildirim E-Posta Adresi: cve@usom.gov.tr


Kaynakça

https://cve.mitre.org/
https://www.cve.org/ResourcesSupport/AllResources/CNARules
https://www.jpcert.or.jp/english/vh/vul-coordination-disclosure-policy_2019.pdf