قوانین و شرایط استفاده از سامانه راورو

نسخه ۱.۰.۱

۲۰ آبان ماه، ۱۳۹۸

تعاریف

شکارچی

عبارت شکارچی به هر شخص حقیقی که یکبار در سامانه راورو ثبت نام کرده است اطلاق می‌گردد. شکارچی می‌تواند در پروژهای ارایه گزارش آسیب‌پذیری از هدف‌‌های تعریف شده شرکت کند.

میدان

این عبارت به شخصیت حقیقی یا حقوقی که اقدام به عقد تفاهم نامه جهت استفاده از خدمات راورو می‌کند اطلاق می‌گردد.

شکار

به گزارش‌ آسیب‌پذیری تایید شده، که توسط شکارچی از هدف‌های میدان ارایه شده است، اطلاق می‌گردد.

هدف

برنامه‌های کشف آسیب‌پذیری قابل ارایه توسط میدان در راورو را به اختصار هدف‌ می‌نامیم. هر میدان باید محدوده‌، قوانین و هزینه‌ی قابل پرداخت هر گروه آسیب‌پذیری به ازای هر محدوده، جهت فعالیت در سامانه راورو مشخص کند.

قوانین عمومی

رعایت این قوانین در تمامی میدان‌ها و هدف ها توسط تمامی شکارچیان الزامی می‌باشد. درصورت پیدا کردن آسیب پذیری های که به دسترسی به اطلاعات حساس یا به حملات منع سرویس ختم می شود، شکارچی موظف است به محض مشاهده این موضوع مستندات و گزارش را برای راورو ارسال کند و منتظر نتیجه بررسی آسیب پذیری باشد. تیم داوری راورو گزارش دریافت شده را ارزیابی و صحت سنجی کرده و نتایج آن را به مدیران فنی میدان‌ها ارائه می‌دهند. پس از تایید نهایی گزارش شکار توسط راورو، هزینه پاداش و میزان امتیاز آن تعیین می شود.

ساختار گزارش شکار

۱. با توجه به شرایط آسیب پذیری، گزارش شکار را آماده و تنظیم کنید.

۲. هر گزارش باید شامل جزئیات فنی، شواهد و مراحل تست باشد.

۳. برای بررسی فنی گزارش دریافت شده، امکان تولید مجدد آن لازم و ضروری می‌باشد.

۴. شواهد کافی نظیر مقادیر ورودی و عملیات انجام‌شده مورد نیاز برای بهره‌برداری از آسیب‌پذیری را در گزارش قرار دهید.

۵. در یک گزارش انتظار می‌رود که موارد زیر مشخص شده باشد: ۱.۵ دسته بندی آسیب‌پذیری (SQL Injection، Cross-Site Scripting و ... ) ۲.۵ هرگونه تنظیم خاصی مورد نیاز جهت بازسازی فرآیند. ۳.۵ دستورالعمل مرحله به مرحله برای بازسازی فرآیند. ۴.۵ توضیح در خصوص میزان تاثیر آسیب پذیری بنا به بررسی شکارچی ۵.۵ شرح کامل گزارش و توضیح در خصوص نحوه‌ی سوء استفاده از آسیب‌پذیری ۶.۵ شواهد و مدارک قابل استناد که وجود آسیب‌پذیری را تائید کند. می‌تواند شامل: فیلم، عکس، اسکرین‌شات از صفحه، اسکریپت وکد مورد استفاده و … باشد.

قوانین شکارچی

۱. ثبت نام کاربر در راورو به‌منزلۀ پذیرشِ کاملِ «قوانین» می‌باشد.

۲. شکارچی باید متعهد به تمام قوانین کشور و قوانین مربوطه به حوزه قانون جرایم رایانه ای کشور باشد.

۳. ارایه تمامی مستندات کافی و لازم جهت بررسی گزارش شکار الزامی می‌باشد.

۱.۳ تهیه و ارسال مستندات درخواستی از طرف راورو در طول فرآیند بررسی گزارش در مدت زمان تعیین شده الزامی می‌باشد

۲.۳ صورت عدم ارسال مستندات درخواستی در مدت زمان مشخص شده، وضعیت بررسی گزارش خاتمه می‌یابد و امکان ادامه‌ی بررسی وجود نخواهد داشت.

۴. گزارش شکار صرفا مربوط به همان میدان و هدف باشد و از طریق برنامه دیگری ایجاد نشده باشد.

۵. مسئولیت محتوی و رعایت حق نشر مستندات ارسال شده با شخص ارسال کننده می‌باشد.

۶. مسئولیت فعالیت‌ شکارچی بعهده‌ی خودشان می‌باشد.

۷. صحت مدارک ارسالی بعهده‌ی شکارچی می‌باشد.

۸. شکارچی متعهد می‌شود تا هیچ گونه اقدام مخرب شامل نقض حریم خصوصی، تخریب داده‌ها، انتشار اطلاعات، وقفه یا تخریب در خدمات، سرویس دهی و … را از آغاز فرآیند کشف تا تکمیل فرآیند بررسی‌گزارش و پس از آن انجام ندهد/نداده باشد.

۹. شکارچی متعهد می‌شود هیچ گونه اقدامی که باعث حملات منع سرویس و اختلال برروی سرویس دهی محصولات شود را انجام ندهد. در صورت مشاهده اینگونه آسیب پذیری‌ها، صرفا اطلاع رسانی کفایت مي‌کند.

۱۰. عدم تلاش برای دسترسی یا تخریب و یا انتشار اطلاعات

۱۱. عدم انتشار و افشای هر گونه گزارش و خبر در خصوص آسیب‌پذیری در سطح شبکه های اجتماعی و اینترنت و…

۱۲. عدم انتشار و افشای کد یا روش استفاده از آسیب‌پذیری در سطح شبکه های اجتماعی و اینترنت و …

۱۳. افشای گزارش و اطلاعات و جزيیات آسیب‌پذیری‌ فقط بر اساس قوانین راورو و با موافقت میدان و توسط راورو انجام می‌شود. هر گونه افشای اطلاعات توسط شکارچی بدون تایید راورو مغایر با قوانین است و می تواند منجر به پیگرد قانونی گردد.

۱۴. شکارچی یا بستگان درجه یک آن نمی‌بایست با میدان مربوط به گزارش در حداقل زمان ۶ ماه گذشته همکاری داشته باشند.

۱۵. شکارچی نمی‌تواند از اعضای تیم داوری تعیین شده به ازای گزارش شکار باشد.

۱۶. جهت تکمیل فرآیند دریافت پاداش، شکارچی موظف است اطلاعات هویتی و بانکی معتبر خود را به سامانه ارسال کند.

۱۷. شکارچیان زیر ۱۸ سال، باید از طریق ولی و قیم قانونی برای دریافت پاداش اقدام کنند.

۱۸. ممنوعیت فعالیت در حوزه های خارج از تعریف میدان

۱۹. هر شکار فقط یکبار و فقط برای اولین کشف کننده مشمول پاداش می شود. ملاک تشخیص اولین، براساس زمان ارسال گزارش محاسبه می‌گردد.

۲۰. در صورت نقض هر یک از قوانین بالا، حتی پس از اتمام فرآیند نیز امکان پیگرد قانونی برای صاحبان حق مجاز می‌باشد و هیچ پاداشی به شکارچی تعلق نخواهد گرفت.

قوانین میدان

۱. تایید و امضای قرارداد همکاری با سامانه راورو و تعهد به رعایت مفاد قرارداد.

۲. فعالیت میدان در راورو به‌منزلۀ پذیرشِ کاملِ «قوانین» می‌باشد.

۳. در صورت رعایت قوانین توسط شکارچی، میدان حق هیچگونه پیگیری حقوقی نسبت به گزارش شکار، شکارچی و سامانه راورو را ندارد.

۴. میدان موظف است ظرف مدت زمان تعیین شده در سامانه، نتیجه بررسی‌ها، مدارک و شواهد لازم گزارش را اعلام کند. در غیر اینصورت راورو می تواند، علاوه بر دریافت هزینه‌ی برآورد شده از میدان، بصورت روزانه حداقل ۲درصد از هزینه‌ی برآورد شده را از میزان اعتبار میدان تا زمان پرداخت هزینه بصورت کامل بعنوان جریمه کسر کند و میدان حق هیچگونه پیگیری قانونی نخواهد داشت.

۵. اعلام دقیق حوزه‌های مجاز جهت فعالیت شکارچیان

۶. اعلام و مشخص کردن لیست انواع آسیب‌پذیریهای ممنوعه

۷. انعقاد قرارداد به منزله‌ي تایید ضریب ارزش مجموعه می باشد.

۸. درصـورت وجود فرآیند بررسـی گزارش آسـیب پذیري ناتمام در پایان زمان قرارداد، پس از مشـخص شـدن وضـعیت فرآیندها، در صـورت نیاز به پرداخت هزینه مازاد بر اعتبار موجود، شـرکت موظف اسـت، هزینه‌ي برآورد شـده گزارش آسـیب‌پذیري‌هاي تایید شـده به همراه کارمزد محاسـبه شـده )بر اساس کارمزد پرداخت نقد به ازاي هر گزارش) را بصورت کامل پرداخت نماید.

۹. تهیه و ارسال تقدیرنامه کتبی به راورو برای شکارچی در صورت درخواست شکارچی

۱۰. تعیین مدت زمان برای رفع مشکل شکار گزارش شده

۱۱. بررسی هکر برای عدم فعالیت و ارتباط با شرکت – در صورت اطلاع یافتن از نقض این بند شرکت جریمه شده و باید همان هزینه را به راورو پرداخت کند.

قوانین ثبت گزارش شکار

۱. تنها گزارش های که مربوط به میدان‌های طرف قرارداد و هدف‌های تعریف شده موجود در سامانه راورو باشد مورد بررسی قرار می گیرد.

۲. تمامی گزارش‌ها باید قوانین کلی و قوانین تعریف شده در هر هدف را رعایت کند.

۳. تنها گزارش هایی که در آن ساختار گزارش رعایت شده باشد، مورد بررسی قرار می‌گیرند.

۴. استفاده از کلمات و جملات توهین آمیز و یا مباحث سیاسی و غیر فنی مورد پذیرش نمی باشد.

قوانین پرداخت پاداش

۱. پس از تایید نهایی آسیب پذیری، هزینه پاداش و میزان امتیاز آن تعیین می شود.

۲. میزان امتیاز یک میلیونیوم پاداش پرداختی است.

۳. برای دریافت پاداش توسط شکارچی، طبق قوانین مالی کشور، باید مشخصات هویتی و بانکی شکارچی تایید شود. بنابراین برای پوشش بیشتر شکارچی ها و در نظر گرفتن و اهمیت به نظرات آن ها 4 راه حل زیر در نظر گرفته شده است:

۱.۱ پرداخت به حساب بانکی: در این حالت باید تصویر کارت ملی، تصویر کارت بانکی، تصویر امضا شده رعایت قوانین راورو در سامانه بارگذاری شود تا امکان پرداخت وجود داشته باشد.

۲.۱ معرفی نفر واسط: از آنجایی که برخی از شکارچی ها علاقه ای به مشخص شدن هویت خود ندارند، می توانند در این حالت با معرفی نفر سوم و تایید هویت و قبول ضمانت شکار انجام شده، پاداش را دریافت کنند. واضح است که مبلغ پاداش به حساب نفر سوم واریز می شود و راورو ضمانتی در برگشت پاداش به حساب شکارچی اصلی ندارد. همچنین در صورت پیش آمد مشکل در رابطه با گزارش شکار انجام شده، تمام مسئولیت و پیگیری های آن با نفر معرفی شده می باشد.

۳.۱ کمک به سامانه راورو: در این حالت شکارچی اعلام رضایت می کند که هزینه پاداش توسط تیم راورو جهت پیشبرد اهداف سامانه و ارایه سرویس بهتر هزینه شود.

۴.۱ پرداخت به خیریه: در این حالت شکارچی اعلام رضایت می کند که هزینه پاداش توسط تیم راورو به یکی از نهادهای خیریه پرداخت شود.

گزارش‌های غير قابل قبول

منظور از گزارش‌های غیر قابل قبول، گزارش‌هایی می باشد که شامل بررسی در راورو نمی باشند و شامل پیگیرد قانونی توسط میدان می‌باشد. این بخش می تواند با توجه به قوانین و شرایط تعریف شده توسط میدان و نوع هدف مربوطه متفاوت باشد.

۱. گزارش های تکراری

۲. آسيب پذيري در دامنه ها و آدرس هاي IP غير از آدرس هدف

۳. حملات از كار اندازي سرویس (DoS/DDoS)

۴. حملات مهندسي اجتماعي و Phishing

۵. ا Best Practice ها، شامل حداقل طول كلمات عبور و غيره.

۶. آسیب پذیری ها و Best Practice های مربوط به SSL

۷. حمله Brute force

۸. آسیب پذیری هایی که به تعامل با کاربر نیاز است.

۹. آسیب پذیری های مربوط به مرورگر های قدیمی

۱۰. نامه نگاری الکترونیکی جعلی (E-mail spoofing)

۱۱. حمله Self XSS

۱۲. هر مورد مربوط به بدست آوردن نام های کاربری با استفاده از (Account/e-mail enumeration)

۱۳. آسیب پذیری هایی که قبلاً توسط سایر متخصصین گزارش شده

۱۴. آسیب پذیری های گزارش شده توسط اسکنر ها و سایر ابزار های اتوماتیک

۱۵. گزارش پایین بودن ورژن کتابخانه ها و نرم افزار های به کار برده شده در صورت عدم بهره برداری