English

SE-2011-01 Komunikacja z producentami

Ta strona prezentuje informacje dot. przebiegu komunikacji z producentami sprzętu i oprogramowania w których produktach Security Explorations wykryło błędy bezpieczeństwa.

Producenci nie odpowiadający na nasze zapytania mailowe przez 7+ dni:

  • Advanced Digital Broadcast
    oczekiwanie na odpowiedź do wiadomości z dnia 11-Sty-2012
  • ITI Neovision
    oczekiwanie na odpowiedź do wiadomości z dnia 01-Lut-2012
  • STMicroelectronics
    oczekiwanie na odpowiedź do wiadomości z dnia 11-Kwi-2017 / 18-Kwi-2018
  • NC+
    oczekiwanie na odpowiedź do wiadomości z dnia 23-Lut-2018
  • CERT-FR
    oczekiwanie na odpowiedź do wiadomości z dnia 15-Mar-2018
  • Vivendi
    oczekiwanie na odpowiedź do wiadomości z dnia 24-Mar-2018
  • IT-CERT
    oczekiwanie na odpowiedź do wiadomości z dnia 03-Kwi-2018
  • Canal+
    oczekiwanie na odpowiedź do wiadomości z dnia 03-Kwi-2018
  • US-CERT
    oczekiwanie na odpowiedź do wiadomości z dnia 02-Maj-2018

Podsumowanie procesu komunikacji:

  • 02-Sty-2012
- Zapytania o kontakty do zespołów bezpieczeństwa zostają wysłane do Onet.pl S.A, Advanced Digital Broadcast, STMicroelectronics, ITI Neovision, Conax AS, DreamLab Onet.pl S.A.
- Informacje kontaktowe otrzymano od Onet.pl S.A. oraz DreamLab Onet.pl S.A.
  • 03-Sty-2012
- Raporty bezpieczeństwa zawierające informacje o błędach zostają wysłane do Onet.pl S.A (błędy 1-4) oraz DreamLab Onet.pl S.A. (błąd 24).
- Informacje kontaktowe otrzymano od ITI Neovision - oczekujemy na odpowiedź i klucz PGP.
  • 04-Sty-2012
- W rezultacie braku odpowiedzi na zapytanie o kontakty do zespołów bezpieczeństwa z 2 stycznia, zostaje ono ponownie wysłane do Advanced Digital Broadcast, STMicroelectronics oraz Conax AS.
- Prośba o potwierdzenie poprawnego odszyfrowania otrzymanych raportów wysłana jest do Onet.pl S.A. / DreamLab Onet.pl S.A.
- Onet.pl S.A. / DreamLab Onet.pl S.A. potwierdza poprawne odszyfrowanie otrzymanych raportów.
- Otrzymano odpowiedź od firmy Advanced Digital Broadcast.
- Informacje kontaktowe otrzymano od Conax AS, do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 22-23).
- Conax AS potwierdza poprawne odszyfrowanie otrzymanych raportów.
- Otrzymano klucz PGP od ITI Neovision do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 20-21).
- ITI Neovision potwierdza poprawne odszyfrowanie otrzymanych raportów.
- Informacje kontaktowe otrzymano od STMicroelectronics, do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 17-19).
- Informacje kontaktowe otrzymano od Advanced Digital Broadcast, do którego zostają wysłane raporty bezpieczeństwa zawierające informacje o błędach (błędy 5-16).
  • 05-Sty-2012
- Prośby o potwierdzenie poprawnego odszyfrowania otrzymanych raportów wysłane zostają do Advanced Digital Broadcast i STMicroelectronics.
  • 06-Sty-2012
- STMicroelectronics potwierdza poprawne odszyfrowanie otrzymanych raportów.
  • 07-Sty-2012
- Advanced Digital Broadcast potwierdza poprawne odszyfrowanie otrzymanych raportów.
  • 11-Sty-2012
- Zapytania dot. skali podatności produktów na zgłoszone błędy zostają wysłane do Advanced Digital Broadcast i STMicroelectronics.
  • 12-Sty-2012
- Zapytanie dot. statusu prac nad poprawkami do zgłoszonych błędów wysłane jest do Onet.pl S.A. / DreamLab Onet.pl S.A.
  • 17-Jan-2012
- STMicroelectronics informuje nas, że żadne poufne informacje nie zostaną ujawnione Security Explorations w nawiązaniu do zapytania dot. skali podatności produktów na zgłoszone błędy (pytanie o listę podatnych modeli układów DVB i ich wersji, pytania o producentów urządzeń set-top-box i dostawców telewizji satelitarnej wykorzystujących podatne układy, itp.). STMicroelectronics informuje również, że nadal analizuje otrzymane raporty.
  • 23-Jan-2012
- Security Explorations wysyła zapytanie do STMicroelectronics w celu ustalenia, czy lista produktów firmy podatna na błędy bezpieczeństwa jest również traktowana jako informacja poufna.
  • 01-Lut-2012
- Zapytania dot. statusu prac / wyników analizy otrzymanej informacji wysłane jest do Onet.pl S.A, Advanced Digital Broadcast, ITI Neovision, Conax AS, DreamLab Onet.pl S.A.
- Onet.pl S.A / DreamLab Onet.pl S.A. potwierdzają poprawienie zgłoszonych błędów bezpieczeństwa (błędy 1-4 oraz 24).
  • 03-Lut-2012
- Conax AS przesyła wyniki analizy otrzymanych raportów. Firma informuje Security Explorations, że nie uznaje błedów 22 i 23 jako błędów bezpieczeństwa. Błąd 22 jest uznany jako spowodowany cechą konfiguracyjną systemu Conax CAS.
- Security Explorations odpowiada firmie Conax AS i wyrażą brak zgody z otrzymanymi wynikami analizy. Security Explorations przedstawia swoje rozumowanie i pyta Conax AS, czy firma nadal traktuje błędy 22 i 23 jako niezwiązane z bezpieczeństwem. Security Explorations dopytuje się również o naturę błędu 22.
  • 22-Lut-2012
- Conax AS przesyła dodatkowe informacje dot. błędu 22. Firma informuje, że w oparciu o dodatkowe dane i analizę, błąd 22 jest rozumiany jako niespowodowany przez wskazaną wcześniej cechę konfiguracyjną systemu Conax CAS, lecz jest wynikiem uruchomienia podatnego serwisu w sposób specyficzny dla starszej generacji systemów Conax.
  • 16-Mar-2012
- STMicroelectronics informuje, że jego zespoły kończą analizę materiału i szczegółów dostarczonych przez Security Explorations. Firma prosi o potwierdzenie jednego detalu przeprowadzonego ataku.
- Security Eplorations potwierdza detal przeprowadzonego ataku będący przedmiotem zapytania STMicroelectronics.
  • 22-Mar-2012
- STMicroelectronics prosi o potwierdzenie jednego detalu przeprowadzonego ataku w nawiązaniu do błędu 18.
- Security Explorations odpowiada, że nie może udzielić stosownego potwierdzenia i udziela odpowiedzi w oparciu o przeprowadzoną analizę i testy.
  • 23-Mar-2012
- Security Explorations przesyła STMicroelectronics dodatkowe informacje / rezultaty przeprowadzonych testów w odniesieniu do błędu 18.
  • 11-Kwi-2017
- Security Explorations pyta STMicroelectronics czy po 5 latach od ujawnienia słabości oraz w kontekście wycofania się firmy z produkcji procesorów dla dekoderów telewizyjnych, STMicroelectronics jest gotowe do dostarczenia listy procesorów, które były podatne na błędy odkryte i zgłoszone w ramach projektu SE-2011-01.
  • 19-Lut-2018
- Security Explorations przesyła zapytanie do NC+ w odniesieniu do procesu wymiany dekoderów oferowanego abonentom platformy (czy wymieniane są dekodery podatne na błędy w procesorach STMicroelectronics, czy proces wymiany jest wymogiem dostawców treści, ile podatnych urządzeń zostało wymienionych, jakie koszty z tego tytułu ponieśli użytkownicy, itp.). Urząd Ochrony Konkurencji i Konsumentów jest załączony do korespondencji.
  • 23-Lut-2018
- NC+ odpowiada, że platforma prowadzi szereg działań mających na celu zapewnienie wysokiego poziomu bezpieczeństwa oferowanych treści. Proces wymiany dekoderów ma na celu podniesienie poziomu zabezpieczeń nadawanego sygnału, co jest wymagane ze względu na umowy kontentowe zawierane z dostawcami treści. Wszelkie informacje z obszaru technologii są objęte tajemnicą przedsiębiorstwa i nie mogą zostać ujawnione do wiadomości publicznej.
- Security Explorations prosi NC+ o oficjalny kontakt mailowy do grupy Canal+ gdzie może kierować zapytania dot. kwestii bezpieczeństwa / wymiany dekoderów. Firma pyta również NC+ o powód 1) obciążania abonentów NC+ kosztem wymiany dekoderów zawierających "dziurawe" procesory firmy STMicroelectronics, 2) nierealizowania procesu wymiany dekoderów w całości na koszt NC+, bądź dostawców wadliwego sprzętu (producent dekoderów, producent procesorów), 3) traktowania jako tajemnicy przedsiębiorstwa potwierdzenia informacji o tym, że dekodery objęte procesem wymiany są oparte na wadliwych procesorach firmy STMicroelectronics.
  • 03-Mar-2018
- Security Explorations prosi CERT-FR (francuski rządowy zespół CERT) oraz IT-CERT (włoski rządowy zespół CERT) o pomoc w uzyskaniu informacji od firmy STMicroelectronics dot. błędów bezpieczeństwa odkrytych w ich procesorach (informacje o podatnych modelach i wersjach procesorów, czy podatny komponent TKD Crypto core układu STi7111 jest użyty w produktach innych producentów takich jak e-paszporty, karty bankowe i karty SIM, informacje o działaniach podjętych przez STMicroelectronics w celu zaadresowania zgłoszonych błędów). Dodatkowo, firma pyta się CERT-FR o kontakt do zespołu bezpieczeństwa Grupy Canal+ gdzie mogłyby być kierowane zapytania dot. procesu wymiany dekoderów podatnych na błędy w procesorach STMicroelectronics przez operatora NC+ w Polsce.
- CERT-FR informuje, że otrzymana informacja została przesłana do odpowiednich zespołów i jest aktualnie przedmiotem analizy.
  • 13-Mar-2018
- Security Explorations prosi IT-CERT o potwierdzenie poprawnego otrzymania wiadomości z dnia 3 marca 2018.
- IT-CERT potwierdza otrzymanie wiadomości. Zespół deklaruje, że będzie informować Security Explorations o dalszych działaniach.
  • 15-Mar-2018
- Security Explorations ponawia prośbę do CERT-FR o kontakt do zespołu bezpieczeństwa Grupy Canal+.
- CERT-FR odpowiada, że nie jest w bezpośrednim kontakcie z Canal+ oraz z uwagi na to iż żądana informacja stanowi przedmiot relacji biznesowych pomiędzy ST i jej klientami, nie jest rolą CERT-FR przekazywanie tych informacji Security Explorations. CERT-FR rekomenduje bezpośredni kontakt z firmą ST (zespół CSIRT firmy ST załączony do wiadomości), która powinna odpowiedzieć za zapytanie Security Explorations.
- Security Explorations pyta CERT-FR, czy otrzymana odpowiedź oznacza również iż CERT-FR nie udzieli asysty Security Explorations w uzyskaniu informacji od firmy STMicroelectronics w odniesieniu do błędów bezpieczeństwa odkrytych w ich procesorach (informacja o podatnych produktach oraz podjętych działaniach naprawczych).
  • 24-Mar-2018
- Security Explorations prosi Vivendi (właściciela grupy Canal+) o kontakt e-mail pod który może przesłać pytania dotyczące bezpieczeństwa oraz procesu wymiany dekoderów opartych o procesory STMicroelectronics używanych przez operatora NC+ z Polski.
  • 03-Kwi-2018
- Security Explorations pyta IT-CERT o to, czy nastąpił jakikolwiek postęp / czy IT-CERT uzyskał jakiekolwiek informacje od STMicroelectronics w odniesieniu do prośby z dnia 3 marca 2018.
- Security Explorations kontaktuje się z osobą odpowiedzialną za bezpieczeństwo w Grupie Canal+. Firma przesyła zapytanie dla Canal+ w odniesieniu do bezpieczeństwa oraz procesu wymiany dekoderów oferowanego abonentom platformy NC+ (czy wymieniane są dekodery podatne na błędy w procesorach STMicroelectronics, ile podatnych urządzeń zostało wymienionych, jakie koszty z tego tytułu ponieśli użytkownicy, powody obciążania abonentów NC+ kosztem wymiany dekoderów zawierających "dziurawe" procesory firmy STMicroelectronics, powody nierealizowania procesu wymiany dekoderów w całości na koszt NC+, Grupy Canal+, bądź dostawców wadliwego sprzętu takich jak producent dekoderów, czy producent procesorów).
  • 05-Kwi-2018
- Security Explorations prosi osobę odpowiedzialną za bezpieczeństwo w Grupie Canal+ o potwierdzenie otrzymania wiadomości z 3 kwietnia 2018. Firma prosi również o bardziej oficjalny adres e-mail do kontaktu z zespołem bezpieczeństwa Grupy Canal+ lub jego reprezentantem, który mógłby być używany do dalszej komunikacji.
  • 11-Kwi-2018
- Security Explorations prosi US-CERT (amerykański rządowy zespół CERT) o pomoc w uzyskaniu informacji od firmy STMicroelectronics dot. błędów bezpieczeństwa odkrytych w ich procesorach (informacje o podatnych modelach i wersjach procesorów, czy podatny komponent TKD Crypto core układu STi7111 jest użyty w produktach innych producentów takich jak e-paszporty, karty bankowe i karty SIM, informacje o działaniach podjętych przez STMicroelectronics w celu zaadresowania zgłoszonych błędów).
  • 16-Kwi-2018
- Security Explorations prosi US-CERT o potwierdzenie poprawnego otrzymania wiadomości z dnia 11 kwietnia 2018.
- US-CERT potwierdza otrzymanie wiadomości. Organizacja przesyła numer przypisany do zgłoszenia oraz informuje, że zostało ono przypisane do oceny przez analityków.
  • 18-Kwi-2018
- Security Explorations nawiązuje kontakt z zespołem CSIRT firmy STMicroelectronics. Security Explorations prosi STMicroelectronics o informacje dot. błędów bezpieczeństwa odkrytych w procesorach firmy (informacje o podatnych modelach i wersjach procesorów, czy podatny komponent TKD Crypto core układu STi7111 jest użyty w produktach innych producentów takich jak e-paszporty, karty bankowe i karty SIM, informacje o działaniach podjętych przez STMicroelectronics w celu zaadresowania zgłoszonych błędów).
- Security Explorations informuje NC+, osobę odpowiedzialną za bezpieczeństwo w Grupie Canal+ oraz Vivendi, iż firma oczekuje na odpowiedź na pytania dot. procesu wymiany dekoderów operatora NC+ podatnych na błędy bezpieczeństwa w procesorach firmy ST. Brak odpowiedzi na pytania oraz informacja uzyskana od NC+ w dniu 23 lutego 2018 będą stanowiły przesłankę do złożenia oficjalnego zawiadomienia do UOKiK.
  • 19-Kwi-2018
- Security Explorations prosi zespół CSIRT firmy STMicroelectronics o potwierdzenie poprawnego otrzymania wiadomości z dnia 18 kwietnia 2018.
  • 20-Kwi-2018
- Security Explorations powiadamia US-CERT o publikacji dodatkowych informacji o źródle oraz skali błędów w układach firmy ST.
  • 02-Maj-2018
- Security Explorations pyta US-CERT o to, czy nastąpił jakikolwiek postęp / czy US-CERT uzyskał jakiekolwiek informacje od STMicroelectronics w odniesieniu do prośby z dnia 11 kwietnia 2018.

Copyright 2008-2018 Security Explorations. All Rights Reserved.