---

1. Cel projektu

Bezpieczeństwo jest dla nas najwyższym priorytetem. Bardzo poważnie podchodzimy do tematu wszelkich podatności we wdrożonych przez nas rozwiązaniach. Chcemy w jak największym stopniu usunąć podatności, które mogą wpłynąć na bezpieczeństwo danych naszych użytkowników i funkcjonowanie systemów, infrastruktury i procesów. Wiemy też, że nie walczymy sami.

Żadna technologia nie jest idealna. Doceniamy chęć współpracy z osobami, które mogą wspomóc identyfikację problemów bezpieczeństwa informatycznego. Głównym celem projektu „hackPP” jest wykrycie luk w zabezpieczeniach systemów wdrożonych na Politechnice Poznańskiej. Jeśli zidentyfikujesz błąd bezpieczeństwa – wynagrodzimy Ci to!

Istnieje ogromna społeczność osób zajmujących się bezpieczeństwem IT, którzy są zaangażowani w ten sam cel. Jeśli zajmujesz się bezpieczeństwem, praktykujesz odpowiedzialne ujawnianie podatności przy zachowaniu naszych zasad – zapraszamy! Program kierujemy m.in. dla studentów Uczelni. Imię, nazwisko lub pseudonim każdego kto zgłosi podatność, a która zostanie pozytywnie rozpatrzona będą wyróżnione na stronie internetowej jako odkrywcy luki w zabezpieczeniach. Dzięki temu każdy będzie miał możliwość pochwalenia się np. pracodawcy o takim osiągnięciu.

Dodatkowo dla tych, którzy studiują na Politechnice Poznańskiej i pomogą nam wyeliminować poważne błędy proponujemy 3 miesięczny staż, który przeprowadzą wykwalifikowani administratorzy na co dzień zajmujący się infrastrukturą Politechniki Poznańskiej. Jeśli chcesz poznać nasze systemy od wewnątrz, zachęcamy do poszukiwań! Razem możemy więcej!

 

2. Udział

Wzięcie udziału w projekcie „hackPP” jest dobrowolne. Podlega ono warunkom prawnym, które wyszczególnione są w regulaminie. Osoba, która przystępuje do projektu potwierdza, że przeczytała i zgadza się na postanowienia określone w zakresie projektu „hackPP” i zobowiązuje się ich przestrzegać.

Dane osobowe odkrywcy wykorzystamy tylko do podjęcia działań na podstawie zgłoszenia. Nie będziemy udostępniać danych osobowych bez wyraźnej zgody (np. ewentualne umieszczenie na stronie internetowej).

 

3. Kodeks postępowania

a. Kryteria kwalifikacji podatności

W celu zakwalifikowania się, aby otrzymać nagrodę należy spełnić następujące wymagania:

• Być pierwszym zgłaszającym lukę z zabezpieczeniach.
• Nie można publicznie ujawniać luki w zabezpieczeniach bez uprzedniej aprobaty administratorów Politechniki Poznańskiej.
• Luka musi być powiązana z systemem lub domeną należącą do Politechniki Poznańskiej.
• Luka w zabezpieczeniach musi mieć wyraźnie określony wpływ na bezpieczeństwo i musi zawierać wystarczającą ilość informacji do zbadania i odtworzenia podatności przez Pracowników Politechniki Poznańskiej.
• Nie wykorzystywać ewentualnego dostępu do danych innych użytkowników

Zgłoszenia  zawierające podatności o wysokim wpływie oraz luki w zabezpieczeniach, które wpływają na  integralność lub prywatność danych użytkownika są punktowane. Niektóre cechy brane pod uwagę przy „kwalifikujących się” podatnościach obejmują te, które:

• Mogą spowodować uszkodzenie systemu użytkownika.
• Naruszają integralność systemu.
• Umożliwiają nieautoryzowany dostęp do istotnych danych lub zasobów.
• Włączają uruchamianie nieautoryzowanego kodu.
• Zwiększają uprawnienia lub dostęp wykraczający poza to, co jest zamierzone.
• Zakłócają lub omijają mechanizmy kontroli lub mechanizmy bezpieczeństwa.
• Są użyteczne (tj. nie są czysto teoretyczne).
• Mogą być uruchomione zdalnie.

b. Co jest zabronione

Głównym celem jest przestrzeganie zasad, dlatego:

• NIGDY nie próbuj degradować usług.
• NIGDY nie wpływaj na innych użytkowników podczas testowania.
• Testuj tylko w systemach i domenach objętych zakresem.
• Nie przeprowadzaj ogromnych testów (ataków DDoS), które mogą mieć negatywny wpływ na systemy Politechniki Poznańskiej.

Zabronione jest ujawnianie wszelkich luk w zabezpieczeniach lub podejrzanych podatności odkrytych przez inne osoby bez wcześniejszej pisemnej zgody administratorów Politechniki Poznańskiej. Nie ma prawa ujawniania treści zgłoszeń do projektu „hackPP” bez zgody Politechniki poznańskiej.

Zabronione jest działanie w ramach inżynierii społecznej (np. wyłudzanie informacji,) z dowolnego punktu np. pracownika czy studenta Politechniki Poznańskiej. Testujemy systemy, a nie ludzi.

Ekstrakcja danych jest surowo zabroniona. Należy wykorzystywać minimum niezbędne do zweryfikowania błędów.

Działania zabronione:

• Ataki DDoS,
• Ataki socjotechniczne(np. phising),
• Wysyłanie spamów lub nieautoryzowanych wiadomości,
• Self-XSS (wymagamy dowodów na to, jak XSS można wykorzystać do zaatakowania innego użytkownika w obrębie Politechniki Poznańskiej)
• Fizyczny atak na infrastrukturę,
• Naruszenie bezpieczeństwa przeglądarki / urządzenia (np. Współdzielenie komputera, fizyczny dostęp do urządzenia użytkownika, ...),
• Brute-force,
• Clickjacking,

 

4. Co można zgłosić?

Nasz projekt „hackPP” jest przeznaczony wyłącznie do błędów związanych z bezpieczeństwem. Możesz zgłosić dowolną liczbę słabych punktów w naszych systemach. Jeśli zauważysz podatność, skontaktuj się z nami jak najszybciej. Przykładami są:

• Luki w skryptach krzyżowych (tj. przechowywane, odzwierciedlone);
• Luki w zabezpieczeniach SQL Injection;
• Słabości szyfrowania;
• Zdalne wykonanie kodu;
• Bypass uwierzytelnienia, nieautoryzowany dostęp do danych;
• Fałszowanie żądań;
• Problemy z autoryzacją.

 

5. Wytyczne ujawniania informacji o lukach w zabezpieczeniach

a. Proces ujawniania informacji o lukach

Zgłaszając luki w zabezpieczeniach, musisz najpierw podać dane, dzięki którym będziemy mogli się skontaktować. Opisując lukę, ważne jest, aby zawrzeć wszystkie niezbędne szczegóły wymagane do odtworzenia problemu.

• Każde zgłoszenie otrzyma odpowiedź
• Zduplikowane zgłoszenia (jeśli luka została już zgłoszona, nie kwalifikują się.
• Cała komunikacja z nami powinna pozostać całkowicie poufna.

b. Przykładowy raport

W ramach działania projektu „hackPP” możesz zgłosić dowolną liczbę podatności w naszych systemach politechnicznych. Jeśli znalazłeś lukę bezpieczeństwa skontaktuj się z nami jak najszybciej!

Zgłoszenie luki odbywa się poprzez wiadomość e-mail obsługiwaną całą dobę pod adresem hackpp@put.poznan.pl.

W formularzu ważne jest podanie takich informacji jak:

• Imię, nazwisko lub pseudonim

Chcemy uhonorować Twoje pozytywne działania dla Uczelni i poprawy jakości bezpieczeństwa naszych rozwiązań. Każdy kto zgłosi  podatność i zostanie ona pozytywnie rozpatrzona zostanie wyróżniony na stronie internetowej jako odkrywca luki w zabezpieczeniach.

• Opis znalezionego błędu bezpieczeństwa

Opisz znalezioną lukę najbardziej szczegółowo jak to możliwe. Przedstaw dowody, które uda się Tobie zebrać.

Przykładowy opis powinien zawierać:

• Nazwę podatności,
• Nazwę systemu, który posiada lukę,
• Adres URL systemu,
• Opis podjętych kroków w celu znalezienia błędu bezpieczeństwa,
• Zrzuty ekranu.

Przesłany raport musi być szczegółowy i możliwy do odtworzenia. Inaczej nie zostanie on nagrodzony.

W przypadku duplikatów nagradzamy pierwszy otrzymany raport dla danej luki bezpieczeństwa.

Nie ujawniaj publicznie żadnych problemów związanych z bezpieczeństwem bez zgody administratorów Uczelni.

Jeśli przypadkowo spowodujesz naruszenie lub zakłócenie prywatności (takie jak dostęp do danych konta, konfiguracji usług lub innych poufnych informacji) podczas badania problemu, daj nam znać w swoim raporcie.