Notificare i risultati del test del sistema di Covid Certificate

La invitiamo a descrivere quello che ha scoperto/il risultato del Suo test nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto. Idealmente, la notifica è composta da una descrizione dettagliata e dalle relative ripercussioni. È anche possibile caricare materiale supplementare, ad es. schermate.

Si prega di notare che il modulo sottostante non è finalizzato all’invio né di domande di carattere generale sul funzionamento dell’app né di richieste dei media. A tale riguardo si rinvia alle FAQ o a media@bag.admin.ch. Grazie per la comprensione.

Notifica dei risultati del test

Sintesi/parole chiave

Breve descrizione della vulnerabilità (massimo 250 caratteri).

Descrizione

La invitiamo a descrivere quello che ha scoperto nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto.

Conseguenze

Descrizione delle conseguenze della vulnerabilità. Cosa accade quando si sfrutta la vulnerabilità.

Mitigazione

Se disponibile, qui si può descrivere un approccio di soluzione.

Upload di file

Utilizzare ASCII (per esempio Markdown), pdf o png per la documentazione.

Condizioni quadro («scope») e regole («rules of engagement») del test di valutazione della sicurezza.

Accetto il quadro e le regole

Informazioni personali (opzionale)

Qui può inserire le Sue informazioni personali. Questo ci permetterà di contattarla in caso di domande supplementari. Può anche indicare se acconsente alla pubblicazione del Suo nome.

Nome

Cognome

Nickname/Alias

Questo nome compare nei ringraziamenti.

PGP-Key

Può allegare la sua chiave pubblica PGP qui.

Numero di telefono

Vorrei che il mio nome venisse pubblicato su questa pagina in relazione al risultato.

Definizione livelli di gravità

Il livello di gravità può essere determinato attraverso il «Common Vulnerability Scoring System» (CVSS). Il sito Internet del «Forum of Incident Response and Security Teams» mette a disposizione uno strumento interattivo a tal fine: https://www.first.org/cvss/calculator/3.0.

Critical (CVSS v3 Score: 9.0-10.0): generalmente gli eventi critici non richiedono l’interazione della persona presa di mira. Di conseguenza, un aggressore non necessita di conoscenze particolari sulla vittima. Un «Remote Code Execution» è di regola la causa di un evento critico. Le conseguenze possono essere ad esempio fughe di dati personali o la perdita dell’anonimato.

High (CVSS v3 Score 7.0-8.9): le azioni dell’utente (ingegneria sociale) sono la chiave per uno sfruttamento riuscito. In tal modo l’aggressore può procurarsi privilegi estesi. Anche in questo caso le conseguenze possono essere fughe di dati.

Medium (CVSS v3 Score: 4.0-6.9): in caso di sfruttamento, viene concesso soltanto un accesso limitato. Inoltre, l’aggressore deve muoversi all’interno dello stesso sistema della vittima. I dati non vengono toccati o solo parzialmente.

Low (CVSS v3 Score: 0.1-3.9): non vi è nessuna ripercussione sulla funzionalità o sui dati. Rientrano in questa categoria anche gli errori di layout e di ortografia.

Ultima modifica 31.05.2021

Inizio pagina