🔒

Процесс реагирования на уязвимости

Процесс сообщения и реагирования на уязвимости безопасности I2P

Электронная почта безопасности: security@i2p.net
Время отклика: В течение 3 рабочих дней.

Сообщите об уязвимости

Обнаружили проблему безопасности? Сообщите об этом на security@i2p.net (рекомендуется использование PGP)

Скачать PGP ключ | Отпечаток GPG ключа: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941

Руководство для исследователей

Пожалуйста, НЕ:

  • Эксплуатируйте живую сеть I2P
  • Проводите социальную инженерсию или атакуйте инфраструктуру I2P
  • Нарушайте работу услуг для других пользователей

Пожалуйста, ДЕЛАЙТЕ:

  • Используйте изолированные тестовые сети, когда это возможно
  • Следуйте практике согласованного раскрытия
  • Свяжитесь с нами перед тестированием в живой сети

Процесс реагирования

1. Получено сообщение

  • Ответ в течение 3 рабочих дней
  • Назначен менеджер по ответам
  • Классификация по степени важности (ВЫСОКАЯ/СРЕДНЯЯ/НИЗКАЯ)

2. Исследование и разработка

  • Разработка частной заплатки через зашифрованные каналы
  • Тестирование в изолированной сети
  • ВЫСОКАЯ важность: Общественное уведомление в течение 3 дней (без деталей эксплойта)

3. Выпуск и раскрытие

  • Обновление безопасности развернуто
  • Максимальный срок 90 дней до полного раскрытия
  • Возможность упоминания исследователя в анонсах

Уровни важности

ВЫСОКАЯ - Влияние на всю сеть, требует немедленного внимания СРЕДНЯЯ - Отдельные роутеры, целенаправленная эксплуатация НИЗКАЯ - Ограниченное влияние, теоретические сценарии

Безопасная связь

Используйте шифрование PGP/GPG для всех отчетов по безопасности:

Отпечаток: 40DF FE20 7D79 9BEC 3AE8 7DEA 5F98 BE91 176E 1941

Включите в ваш отчет:

  • Подробное техническое описание
  • Шаги по воспроизведению
  • Код доказательства концепции (если применимо)

Таймлайн

ЭтапВременные рамки
Первоначальный ответ0-3 дня
Исследование1-2 недели
Разработка и тестирование2-6 недель
Выпуск6-12 недель
Полное раскрытиемаксимум 90 дней

Часто задаваемые вопросы

Будут ли у меня проблемы за сообщение? Нет. Ответственное раскрытие приветствуется и защищается.

Могу ли я тестировать на живой сети? Нет. Используйте только изолированные тестовые сети.

Могу ли я остаться анонимным? Да, хотя это может усложнить связь.

Есть ли у вас баг баунти? На данный момент нет. I2P основана на волонтерах и ограниченных ресурсах.

Что следует сообщать

В пределах области:

  • Уязвимости маршрутизаторов I2P
  • Ошибки в протоколах или криптографии
  • Атаки на уровне сети
  • Техники деанонимизации
  • Проблемы отказа в обслуживании

Вне области:

  • Сторонние приложения (свяжитесь с разработчиками)
  • Социальная инженерия или физические атаки
  • Известные/раскрытые уязвимости
  • Чисто теоретические проблемы

Спасибо за вашу помощь в обеспечении безопасности I2P!