Segnalazione di una falla di sicurezza (coordinated vulnerability disclosure, CVD)

Vulnerabilità nel «certificato COVID»

Per le vulnerabilità di sicurezza nel «certificato COVID», usi il nostro modulo di segnalazione speciale.

Vulnerabilità nel «SwissCovid Proximity Tracing System»

Per le vulnerabilità di sicurezza nel «SwissCovid Proximity Tracing System», usi il nostro modulo di segnalazione speciale.

Vulnerabilità di sicurezza generale

Avete scoperto una falla di sicurezza nei sistemi informatici del Governo svizzero o in sistemi infrastrutturali critici? Oppure avete individuato una falla di sicurezza nelle applicazioni, nei software o negli hardware in commercio? La regola d’oro è informare direttamente il venditore o il proprietario del sistema. Tuttavia, se non rispondono alla vostra segnalazione o la risposta ricevuta non è soddisfacente, il centro nazionale per la cibersicurezza (ncsc.ch) può fungere da intermediario per risolvere tali problemi di sicurezza. Potete fornirci le informazioni su questa pagina.

Come potete trasmetterci una CVD?

  • Compilate il modulo qui sotto con i dettagli della falla di sicurezza individuata. Inserite la chiave pubblica PGP in modo da garantire una comunicazione tempestiva e sicura con la piattaforma ncsc.ch.
  • Fornite il maggior numero di informazioni possibile per permettere di garantire la riproducibilità della falla di sicurezza e accelerare il processo di risoluzione del problema.
  • È probabile che nel caso di falle di sicurezza più complesse dovremo contattarvi direttamente. Comunicateci almeno un indirizzo e-mail o un numero di telefono.
  • Potete utilizzare la chiave PGP di vulnerability [at] ncsc.ch.

PGP Key - vulnerability [at] ncsc.ch (ASC, 3 kB, 07.06.2021)Fingerprint:
85CF EF1B 517B A4A4 B161 6953 B0BC 0026 B7E3 7415


Notifica dei risultati del test

*
Breve descrizione della vulnerabilità (massimo 250 caratteri).
 
Descrizione livelli di gravità vedi sotto in questa pagina.
*
La invitiamo a descrivere quello che ha scoperto nel modo più dettagliato possibile, per consentirci di riprodurre quanto osservato e risolvere il tutto al più presto.
 
Descrizione delle conseguenze della vulnerabilità. Cosa accade quando si sfrutta la vulnerabilità.
 
Se disponibile, qui si può descrivere un approccio di soluzione.
 
Utilizzare ASCII (per esempio Markdown), pdf o png per la documentazione.
*

Informazioni personali (opzionale)

Qui può inserire le Sue informazioni personali. Questo ci permetterà di contattarla in caso di domande supplementari.

 
 
 
 
Può allegare la sua chiave pubblica PGP qui.
 


Definizione livelli di gravità

Il livello di gravità può essere determinato attraverso il «Common Vulnerability Scoring System» (CVSS). Il sito Internet del «Forum of Incident Response and Security Teams» mette a disposizione uno strumento interattivo a tal fine: https://www.first.org/cvss/calculator/3.0.

Critical (CVSS v3 Score: 9.0-10.0): generalmente gli eventi critici non richiedono l’interazione della persona presa di mira. Di conseguenza, un aggressore non necessita di conoscenze particolari sulla vittima. Un «Remote Code Execution» è di regola la causa di un evento critico. Le conseguenze possono essere ad esempio fughe di dati personali o la perdita dell’anonimato.

High (CVSS v3 Score 7.0-8.9): le azioni dell’utente (ingegneria sociale) sono la chiave per uno sfruttamento riuscito. In tal modo l’aggressore può procurarsi privilegi estesi. Anche in questo caso le conseguenze possono essere fughe di dati.

Medium (CVSS v3 Score: 4.0-6.9): in caso di sfruttamento, viene concesso soltanto un accesso limitato. Inoltre, l’aggressore deve muoversi all’interno dello stesso sistema della vittima. I dati non vengono toccati o solo parzialmente.

Low (CVSS v3 Score: 0.1-3.9): non vi è nessuna ripercussione sulla funzionalità o sui dati. Rientrano in questa categoria anche gli errori di layout e di ortografia.

 

 
 

Ultima modifica 11.08.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html