سلام
آقای رضوی، یا رضویان، یا 7dadc9b3 یا ن. ن. یا آنتیویروس پادویش یا ... هر اسم دیگری که روی خودتان میگذارید؛
متاسفانه بعد از حرکاتی مثل جعل کردن ایمیل، جعل ناشیانه اکانت و مطلب از سمت یکی از نمایندگان پادویش و حرکات کودکانه دیگر، ... هیچ امیدی ندارم که این صحبت بنده اثری برای شما داشته باشد و در واقع مخاطبم کاربران پادویش هستند.
ساختن فیلم با کشف آسیبپذیری دو مقوله جداگانه است و هیچ کجای دنیا یک ویدیو که معلوم نیست در چه شرایطی و چگونه ساخته شده را «آسیبپذیری» نمینامند.
آسیبپذیری در دنیا دو شیوه اعلام بیشتر ندارد:
۱- Responsible Disclosure یا اعلام مسئولانه: که در آن برای جلوگیری از در معرض خطر قراردادن کاربران، جزئیات آسیبپذیری کشف شده به تولیدکننده اعلام میشود و تنها بعد از ارائه وصله و رفع آن به صورت عمومی اعلام میشود.
۲- Full Disclosure یا اعلام عمومی: که بدون اعلام قبلی به تولیدکننده جزئیات آسیبپذیری به صورت عمومی اعلام میشود.
در این روش به هر حال تا آماده شدن و انتشار وصله کاربران در معرض خطر خواهند بود. یک توجیه استفاده از این روش، این است که باگ به هر صورت وجود داشته و احتمال دستیابی هکرها به آن وجود دارد و در نتیجه اعلام هر چه سریعتر آن میتواند به کاربران فرصت دهد - حتی قبل از ارائه وصله - روشی برای محافظت از خودشان پیدا کنند.
در سالهای اخیر، تیمهای کشف آسیبپذیری مانند تیم Project Zero در گوگل، آسیبپذیریها را ابتدا به صورت مسئولانه به تولیدکننده اعلام میکنند، و سپس در صورت عدم ارائه وصله ظرف ۹۰ روز به صورت عمومی جزئیات منتشر میشود. این کار به نوعی مزایای دو روش را دارد: هم خطری برای کاربران ایجاد نمیکند و فرصت ارائه وصله وجود دارد، و هم تولیدکننده مجبور به رفع مشکل است و باگ باقی نمیماند. در نهایت نیز این انتشار جزئیات فنی است که موجب میشود بتوان با خطر مقابله کرد.
هیچ محصولی بدون باگ نیست، و پادویش نیز از این قاعده مستثنی نیست.
برای مثال برخی باگهای ضدویروسهای خارجی که منجر به آلوده شدن سیستم از طریق ضدویروس (نه از کار افتادن آن، بلکه اجرای ویروس توسط خود ضدویروس) میشده است:
باگ ماه گذشته میکروسافت،
کسپراسکی،
سیمانتک،
کومودو،
نود۳۲ و ...
یا مثال دیگری از یک
باگ در نسخههای قدیمی پادویش که چند سال قبل به صورت عمومی (بدون اطلاع به ما) توسط آقای جلایری اعلام شده بود. (و قبل از اعلام توسط ایشان از طریق دیگری در محصول برطرف شده بود)
پادویش نیز مانند تمام تولیدکنندگان نرمافزار، خود را موظف به کشف و رفع آسیبپذیریهای محصول میداند و در این زمینه از همه علاقمندان و متخصصان استقبال کرده و میکند و قطعا از نظر مالی نیز زحمات این دوستان را بدون پاداش نمیگذارد.
این دوستان برای تماس با تیم امنیت ما و ارسال گزارشهای امنیتی میتوانند از ایمیل
bug@amnpardaz.com استفاده کنند.
با این حساب، انتشار ویدیو نوعی جنگ روانی و تبلیغاتی به نام FUD است [۱] و انتشار آسیبپذیری نیست.
قطعا حساب کسانی که با هدف جنگ روانی و ارعاب کاربران و از طریق انتشار مطالب جعلی و هوچیگری، قصد باجگیری یا تخریب داشته باشند از متخصصان و دلسوزان جداست و با چنین افرادی چارهای جز برخورد قضایی وجود ندارد.
ضمنا جناب رضوی یا هر اسمی دیگری که دارید، بدانید که استفاده از تور و پروکسی، یا اسامی جعلی برای اتصال باعث نمیشود آیپی و هویت شما مخفی بماند یا برایتان «مصونیت قضایی» ایجاد کند تا از قانون فرار کنید!
۱ - تعریف FUD:
علامت اختصاری Fear , uncertainty , and Doubt تاکتیک ترساندن مشتری از قبول محصول رقیب با ایجاد تردید درمورد آینده ی آن .
Fear, uncertainty and doubt (often shortened to FUD) is a disinformation strategy used in sales, marketing, public relations, talk radio, politics, religious organizations, and propaganda. FUD is generally a strategy to influence perception by disseminating negative and dubious or false information and a manifestation of the appeal to fear.