iStock_80038439_XXXLARGE

Zabezpieczenia firmy Canon

Na tej stronie można znaleźć ważne informacje dotyczące zabezpieczeń firmy Canon.


Zasady dotyczące ujawniania problemów z zabezpieczeniami

Firma Canon poważnie traktuje bezpieczeństwo systemów informatycznych i ceni społeczność użytkowników zajmujących się bezpieczeństwem. Ujawnienie wszelkich słabości w zakresie zabezpieczeń pomaga nam dbać o bezpieczeństwo i prywatność naszych użytkowników i zachować status zaufanego partnera. W tych zasadach objaśniamy wymagania i mechanizmy, które są związane z ujawnianiem luk w zabezpieczeniach systemu informatycznego firmy Canon w regionie EMEA, a umożliwiają badaczom zgłaszanie luk w zabezpieczeniach w bezpieczny i etyczny sposób zespołowi ds. bezpieczeństwa informacji firmy Canon w regionie EMEA.

Zasady dotyczą wszystkich osób, w tym pracowników firmy Canon i osób spoza firmy.


Zakres

Zespół ds. bezpieczeństwa informacji firmy Canon w regionie EMEA działa na rzecz ochrony klientów i pracowników firmy Canon. W ramach tych działań zachęcamy badaczy zajmujących się kwestiami bezpieczeństwa do wspomagania firmy Canon poprzez aktywne zgłaszanie luk i słabości w zabezpieczeniach. Wyniki ustaleń można zgłaszać na stronie appsec@canon-europe.com.


Uwzględnione domeny

Oto lista domen objętych zasadami firmy Canon dotyczącymi ujawniania luk w zabezpieczeniach.

*.canon-europe.com

*.canon.nl

*.canon.co.uk

*.canon.com.tr

*.canon.com.de

*.canon.com.sa

*.canon.com.ae

*.canon.com.jp

*.canon.com.ca

*.canon.no

*.canon.es

*.canon.se

*.canon.pl

*.canon.be

*.canon.pt

*.canon.it

*.canon.dk

*.canon.ch

*.canon.fi

*.canon.at

*.canon.fr

*.canon.ie

*.uaestore.canon.me.com

 



Zgłaszanie luki w zabezpieczeniach

Luki w zabezpieczeniach można zgłaszać pocztą e-mail: appsec@canon-europe.com. W wiadomości należy podać zwięzły opis szczegółów związanych z wykrytymi słabościami oraz przedstawić ewentualne dowody występowania problemów, pamiętając, że wiadomość zostanie przeanalizowana przez specjalistów ds. bezpieczeństwa firmy Canon. W szczególności należy umieścić w wiadomości następujące informacje:

  • Rodzaj luki
  • Instrukcje krok po kroku dotyczące sposobu odtworzenia usterki
  • Podejście badacza
  • Cały adres URL
  • Obiekty (np. filtry lub pola danych), które mogą mieć związek z luką
  • Bardzo przydatne są zrzuty ekranu.
  • W zgłoszeniu słabości zabezpieczeń należy podać swój adres IP. Te dane będą mieć charakter poufny i posłużą do prześledzenia czynności testowych zgłaszającego i przejrzenia naszych rejestrów.

Nie akceptujemy raportów z automatycznych programów skanujących.


Nieakceptowane elementy:
  • Luki związane z atakami wolumetrycznymi / DoS (czyli zarzucanie usługi nadmierną liczbą żądań)
  • Słabości konfiguracji TLS (np. „słaba” obsługa pakietu szyfrów, obsługa TLS1.0, sweet32 itd.)
  • Problemy dotyczące weryfikacji adresów e-mail używanych do tworzenia kont użytkowników związanych z myid.canon
  • Ataki Self-XSS
  • Skrypty zawartości mieszanej na stronie www.canon.*
  • Niebezpieczne pliki cookie na stronie www.canon.*
  • Ataki CSRF i CLRF, których wpływ jest minimalny
  • XSS nagłówka hosta HTTP bez działającego modelu koncepcyjnego
  • Niepełne/brakujące zabezpieczenia SPF/DMARC/DKIM
  • Ataki socjotechniczne
  • Błędy zabezpieczeń w zintegrowanych z firmą Canon witrynach zewnętrznych
  • Techniki wyliczania danych sieciowych (np. przechwytywanie banerów, występowanie publicznie dostępnych stron diagnostycznych serwera)
  • Raporty wskazujące, że nasze usługi nie są w pełni zgodne z „najlepszymi praktykami”

Jak postępujemy ze zgłoszeniami

Specjaliści ds. bezpieczeństwa informacji firmy Canon zbadają zgłoszenie i skontaktują się ze zgłaszającym w ciągu 5 dni roboczych.


Poufność danych

Dane osobowe zostaną użyte wyłącznie w celu podjęcia działań związanych ze zgłoszeniem. Nie udostępnimy danych osobowych innym osobom bez wyraźnej zgody zgłaszającego.


Zasady

Potencjalnie nielegalne działania

Osoba odkrywająca i badająca lukę w zabezpieczeniach może podejmować działania, które są nielegalne i jako takie podlegają karze. W przypadku stosowania się do poniższych zasad dotyczących zgłaszania słabości naszych systemów informatycznych nie zgłosimy wykroczenia władzom i nie będziemy domagać się zadośćuczynienia.

Trzeba jednak pamiętać, że to prokuratura – a nie firma CANON – podejmuje decyzję o ściganiu, nawet jeśli my nie zgłosimy zdarzenia odpowiednim władzom. Oznacza to, że nie możemy zagwarantować zgłaszającemu, że nie będzie ścigany za popełnienia przestępstwa karalnego w trakcie analizowania słabości systemu.

Krajowe centrum bezpieczeństwa cybernetycznego przy Ministerstwie Bezpieczeństwa i Sprawiedliwości opracowało wytyczne dotyczące zgłaszania słabości systemów informatycznych. Nasze zasady opierają się na tych wytycznych. (https://english.ncsc.nl/)


Zasady ogólne

Należy postępować z najwyższą ostrożnością. Badając sprawę, należy stosować wyłącznie metody lub techniki niezbędne do znalezienia lub wykazania słabości systemu.

  • Wykrytych słabości nie wolno używać do celów innych niż prowadzenie badania.
  • Nie wolno używać socjotechnik w celu uzyskania dostępu do systemu.
  • Nie wolno instalować żadnych mechanizmów typu „tylne wejście”, nawet w celu zademonstrowania usterki systemu. Takie mechanizmy zmniejszają bezpieczeństwo systemu.
  • Nie wolno zmieniać żadnych informacji w systemie ani ich usuwać. Jeśli badacz chce skopiować informacje w celu przeprowadzenia analizy, powinien skopiować tylko niezbędną ilość danych. Jeśli wystarczy do tego jeden wpis, należy na tym poprzestać.
  • Nie wolno w żaden sposób modyfikować systemu.
  • Do systemu można przeniknąć tylko wtedy, gdy jest to bezwzględnie konieczne. Jeśli badaczowi uda się przeniknąć do systemu, nie może umożliwiać dostępu innym osobom.
  • Do uzyskania dostępu do systemów nie wolno używać ataków typu brute force, takich jak wielokrotne wprowadzanie haseł.
  • Do uzyskania dostępu nie wolno używać ataków typu DoS.

Często zadawane pytania

Czy otrzymam nagrodę za badanie?

Nie, badaczowi nie przysługuje prawo do wynagrodzenia.

Czy mogę upublicznić stwierdzone przeze mnie słabości i moje badanie?

Nie wolno upubliczniać słabości systemów informatycznych firmy Canon ani przeprowadzonych badań bez uprzedniego skonsultowania się z nami za pośrednictwem poczty e-mail: appsec@canon-europe.com. Możemy współpracować, aby zapobiegać nieuprawnionemu wykorzystywaniu danych przez przestępców. Skonsultuj się z naszym zespołem ds. bezpieczeństwa informacji, aby ustalić treść i zasady publikacji.

Czy mogę anonimowo zgłosić słabość systemu?

Tak, można to zrobić. Zgłaszając słabość systemu, badacz nie musi podawać swojego imienia i nazwiska ani danych kontaktowych. Badacz musi jednak pamiętać, że nie będziemy mogli omówić z nim dalszych działań, np. związanych ze zgłoszeniem lub dalszą współpracą.

Do czego nie należy używać tego adresu e-mail?

Adres appsec@canon-europe.com nie jest przeznaczony do wykonywania następujących czynności:

  • Przesyłanie skarg dotyczących produktów lub usług firmy Canon
  • Przesyłanie pytań lub skarg dotyczących dostępności stron internetowych firmy Canon
  • Zgłaszanie oszustw lub podejrzeń popełnienia oszustwa
  • Zgłaszanie fałszywych wiadomości e-mail lub wiadomości służących do wyłudzania informacji
  • Zgłaszanie wirusów

Inne przydatne pozycje...