ضعف امنیتی پادویش
ارسال شده: سهشنبه دسامبر 05, 2017 7:16 pm
تالار پشتیبانی ضدویروس پادویش و سایر محصولات شرکت نرمافزاری امن پرداز
https://forum.amnpardaz.com/
این پاسخ فکر میکنم از دوست خوبمون به اندازه کافی گویا و کافی هست بنابراین بحث رو همینجا خاتمه میدم
البته با توجه به تماسی که با شرکت امن پرداز داشتم و عدم تمایل اونها برای دریافت آسیب پذیری ؛ با اجازه جزئیات آسیب پذیری در اختیار فروم های مخفی قرار میگیره ؛ حالا میخوان مفید استفاده کنن یا مفید استفاده نکنن ! مسئولیت با شرکت امن پرداز هست
به جوابیه دقت کنید....
لینک به سایت soft98
متن کامل جوابیه ....
یادمه اون روز تو پـی سـی ورلد من 3 صفحه با شما بحث کردم جواب هیچ کدوم سوالام رو هم قانع کننده ندادی. جواب چیو میخوای فنی بدی؟ این انتی ویرس پولی حتی ماژول انتی اکسپولیت نداره! تموم انتی ویروس های پولی این قابلیت رو دارن حتی رایگان هاشون! تو اون ویدئو نشون داره میده ک انتی ویروس پادویش در مقابل حمله Buffer overflow اسیب پذیره! به خاطر اینکه این انتی ویروس کلا توانایی مقابل با کد مخرب و اکسپولیت رو نداره این از این!
دومین مورد:
تموم شرکتای بزرگ امنیتی تو دنیا باگ بانتی دارن واسه محصولاتشون انتی ویروس توتال سکوریتی 360 ک رایگانه باگ بانتی داره پادویش حتی باگ بانتی نداره( همین حالت در مورد امسی سافت هم درسته و چند تای دیگه البته اگه در مورد امسی سافت کسی چییز میدونه بگه بهم) عموما اکثرا دارن همشون اونایی ک سرتهشون به هم می ارزه شرکت بزرگ و درست حسابین و پول دارن امکانات دارن تمومشون باگ بانتی دارن. هر جای دنیا باشه به این شخصی ک تونسه این کارو رو انجام بده جایزه میدن! در مورد 360 همینقدر میدونم ک اگه همچین بایپسی بتونی انجام بدی رو محصولاتشون چ سخت افزاری ا چ نرم افزاری ها تا 50 هزار دلار بهت پول میدن(بستگی به مقدار حساسیت اون بایپس و مهم بودنش داره) پادویش میاد ماسمالی میکنه!! اوست همینطور داره کسپر اسکای همشون میتونی سرچ کنی ببینی خودت ک دارن. انتی ویروسی ک باگ بانتی نداره اصلا ب درد نمیخوره! چون باید پول بده میزبانی کنه تا اون کسایی ک کارشون اینه بیان حفره های امنیتی تو نرم افزارشو واسش پیدا کنن البته در ازای پولهای کلان همین کاری ک گوگل داره انجام میده ب خاطر چی اینقدر امن مرورگرش؟ ب خاطر همین باگ بانتی ها و محققایی ک دور برش هستن حالا چ داوطلب چ اونایی ک واسه پول اومدن پادویش ترجیح میده ماسمالی کنه موضوع رو!ب جای اینکه برن اون طرف پیدا کنن یه چیزیم بهش بدن بگن مرسی بازم از اینکارابکن بیا پولتم میدیم! 50 هزار دلار نه بیا 5 میلیون تومنت میدیم؟!
سوم:
اصن یه سوال؟ چ تضمینی وجود داره پادویشی ک تحت قانون جمهوری اسلامی ایران شرکتش تاسیس شده و توی این کشوره! چ تضمینی داره ک این اطلاعات من رو نده مثلا به ی مرجع قانونی؟یا اگه دادگاه ازشون خواست بهشون نده؟ مسلما وقتی من از انتی ویروس روسی استفاده کنم یا اسلواکی یا چینی دست کسی به همین راحتی بهش نمیرسه ولی این موضوع واسه پادویش صادق نیست چون اگه هم بخواد در عمل نمیتونه عملیبش کنه!منظورم اینه حریم شخصی ای وجود خارجی نداره با نرم افزار ایرانی اصن بکار به پادویش ندارم من شخصا هیچ نرم افزار ایرانی رو قبول ندارم میخوااد موبوگرام باشه یا هر چیز دیگه! اون روز گفتم خیلی انتی ویروس های رایگان هستن ک در سطح جهانی اعتبار دارن چرا ما بخوایم پول بدیم واسه شرکتی ک سر تهش معلوم نیس؟! چ کاریه مگه پول مفت داریم یا عقلمون کمه ؟
چهار:
هنو سر همون حرف قبلمم هستم پادویش هیچ جایی تست نشده اصن از اعتبار اینکه من یا هر ادم دیگه ای بخواد در موردش بحث بکنه و صحبت کنه خارجه! اول برن صلاحیتشون رو تایید کنن بعد تازه میشه روش بحث کرد ک چ قدر خوبه یا بده؟ هنوز تو کنکور قبول نشده پادویش چ طوری اسم خودشو گذاشته انتی ویروس! تو هیچ تستی نیست گفتی ای وی تست و ... اینا امریکایین نمیزارن تحریمیم! خب چرا نمیرن پول بدن موسسه ای وی لب لهستان واسشون تست کنه؟VB100 certification رو هم حتی نداره همه دارن! دیگه ی چیز لازمیه تا نره ثابت کنه اگه واقعا ی چیزی تو چنته دارن برن با افتخار بگن ما هم میخوام شرکت کنیم! مشخصا نمیخوان خرج کنن!و همینطور خودشون هم میدونن ضعیفن.
پنج:پادویش تو تکنولوژی هایی های پیشرفته اصن خبری ازش نیست تموم شرکتای امنیتی داره کم کم محصولاتشون میره به صورت هوش مصنوعی(Artificial Intelligence) و ماشین لرنینگ شدن. پادویش اصن نداره عقبه از دنیا. مثلا همین 360 رایگان تکنولوژی ماشین لرنینگ استفاده میکنه تو انتی ویروسش!همینطوری فک کنی این یه چیز ابتدایی و الکیه نیست این. زحمت کشیدن وقت گذاشتن هزینه کردن حالا شده این. همین چینی ک من همیشه میبینم میگن نرم افزار چینی به درد نمیخوره(البته رو هوا میگن به درد نمیخوره )یا انتی ویروس چینیه به درد نمیخوره .همین چین همه جا پیشرو هست مخصوصا تو این زمینه!شرکتTencent چینی تمرکز کرده روی این موضوع بهترین دانش و محقق هارم داره تو این زمنیه! این موضوع مهمه! ایران اصن نیس تو این بحث نیست!! عقب افتاده ایم کلا.کارکردن خرج کردن زحمت کشیدن الان هم رسیدن به اینجا! بقیشونم همینطور کسپر اسکای داره ترند میکرو سوپوس اواست داره و...عموما دارن!
دوستان از نرم افزاری استفاده کنید همیشه ک ی شرکت درس درمون پشتش باشه ساپورتش خوب باشه پول پشتش باشه!پول نباشه فایده نداره انتی ویروسی ک باگ بانتی نداره فایده نداره.حفره ها و مسائلی وجود داره ک فقط با این باگ بانتی حل میشه و پول دادن! انتی ویروسی استفاده کنید ک تو محیط تجاری هم معروفه محصولاتش.اونی ک صلاحیت داره تو محیط تجاریم استفاده میش.خودتون بگردید بخونید جستجو کنید! وقتتونم تو اخبار ایران وسایتای ایرانی تلف نکنید چون ک ما خیلی عقب افتاده ایم.
1- من دیدم پادویش بدافزار اکسپلویت رو شناسایی و حذف میکنهاین انتی ویرس پولی حتی ماژول انتی اکسپولیت نداره! تموم انتی ویروس های پولی این قابلیت رو دارن حتی رایگان هاشون!
مدیر کل فروم امن پرداز هم میگه این ویدیو فاقد جزییات و فقط یک نمایش تنهاست که با فریاد سرریز بافر و غیره.... تنها یک ادعا صورت گرفتهتو اون ویدئو نشون داره میده ک انتی ویروس پادویش در مقابل حمله Buffer overflow اسیب پذیره!
شما به بزرگی خودتون ببخشید!! که شرکت های نرم افزاری ایرانی مولتی میلیاردر نیستن و هم اندازه یاهو و گوگل پول ندارن!!دومین مورد:
تموم شرکتای بزرگ امنیتی تو دنیا باگ بانتی دارن واسه محصولاتشون انتی ویروس توتال سکوریتی 360 ک رایگانه باگ بانتی داره پادویش حتی باگ بانتی نداره( همین حالت در مورد امسی سافت هم درسته و چند تای دیگه البته اگه در مورد امسی سافت کسی چییز میدونه بگه بهم) عموما اکثرا دارن همشون اونایی ک سرتهشون به هم می ارزه شرکت بزرگ و درست حسابین و پول دارن امکانات دارن تمومشون باگ بانتی دارن. هر جای دنیا باشه به این شخصی ک تونسه این کارو رو انجام بده جایزه میدن! در مورد 360 همینقدر میدونم ک اگه همچین بایپسی بتونی انجام بدی رو محصولاتشون چ سخت افزاری ا چ نرم افزاری ها تا 50 هزار دلار بهت پول میدن(بستگی به مقدار حساسیت اون بایپس و مهم بودنش داره)
پاسخی که مدیر فروم امن پرداز(سازنده پادویش) به این ویدیو داده>>>>>>>>>>>>>>>
از این قبیل ویدیو ها برای هر ضدویروس یا سیستم عامل و غیره به راحتی قابل ساختن است. اگر در اینترنت بگردید پر از اینگونه ویدیوها است.
ما چند ویدیو از این دست را دنبال کرده ایم اصلا آسیب پذیری پادویش نبودند.
یکی از این ویدیوهایی که فرستادید فرد (با دسترسی و اکانت ادمین سیستم) یک سرویس ویندوز را از کار انداخته است در حدی که دیگه my computer ویندوز کار نمیکرد و بعد به عنوان ویدیویی از آسیب پذیری پادویش منتشر کرده است!! جالبتر اینکه پادویش در پشت صحنه مشغول گرفتن بدافزارها باقی مانده، چیزی که نه فرد متوجه آن شده و نه در ویدیو قابل دیدن است. طبیعی است که ادمین یک سیستم اجازه از کار انداختن یک سرویس ویندوز را داشته باشد، آنهم جایی که این مساله منجر به ویروسی شدن سیستم نشود.
در ویدیوی دیگر، به جای رمزنگاری فایلها مشابه یک باجافزار واقعی، عملیاتی مشابه حذف عادی فایل توسط کاربر پیاده شده است. بدیهی است که ضدباجگیر جلوی رفتار عادی سیستم را نمیگیرد. اما باز هم جالب اینجاست که حتی در این مورد و با اینکه باجافزار واقعی نیست، پادویش از اطلاعات بکاپی تهیه کرده که قابل بازگرداندن است و بازهم فرد متوجه آن نشده و با اصطلاحات فنی سرریز بافر و ... مدعی کار فنی بود.
این دو تجربه همراه چند مورد دیگر حاصل مواردی است که ما به صورت مستقیم با فرد سازنده ویدیو تماس داشتیم.
بعد هم که به فرد ویدیو ساز اشکالات کارش را نشان دادیم و اعتراف به غلط بودن آسیبپذیریها داشت همچنان ویدیوها را در وب تصحیح نکرده است.
در همه ویدیوها از این دست، اگر دقت کنید همگی با دسترسی کامل ادمین سیستم اجرا شده و معلوم نیست آسیب پذیری اصلا واقعی هست یا خیر.
این در حالی است که در دنیا اصولا دو نوع افشای آسیب پذیری وجود دارد: مسئولانه و عمومی. (Full disclosure و responsible disclosure) روش مسئولانه یعنی اول به تولید کننده گفته شده و بعد از گذشت مدتی یا انتشار پچ اعلام عمومی می شود. طبعا این روش از سوی هکرهای کلاهسفید و خوشنیت انجام میشود. اما در روش اعلام عمومی (Full disclosure)، بدون اعلام به تولید کننده و سر خود آسیبپذیری اعلام میشود. اما هیچ جای دنیا، و در هیچ یک از این روشها کسی انتشار فیلم را آسیب پذیری نمی داند و باید جزییات فنی را منتشر کنند.
اینگونه انتشار ویدیو، از نظر ما انتشار اکاذیب و با هدف باجگیری و کلاهبرداری است و قطعا از نظر قضایی پیگیری خواهیم کرد.
البته ما مدعی محصولی بدون باگ نیستیم، و در نتیجه مانند گذشته، تک تک موضوعات از نظر فنی نیز پیگیری و در صورت وجود آسیبپذیری برطرف خواهیم نمود.
موفق باشید
پاسخ این دوستمون اینجاستسوم:
اصن یه سوال؟ چ تضمینی وجود داره پادویشی ک تحت قانون جمهوری اسلامی ایران شرکتش تاسیس شده
هر کس چندبار در زندگی با گوگل یا هر جستجوگری کار کرده باشه میدونه که لازم نیست نام سایت رو بصورت دقیق بدونید. شما با زدن یک padvish.comو توی این کشوره!
اول اینکه شما از یک طرف میگید تحت قوانین جمهوری اسلامی هست یا نه؟ و از یه طرف میگید طبق قانون اطلاعات منو به مراجع قضایی ندنمسلما وقتی من از انتی ویروس روسی استفاده کنم یا اسلواکی یا چینی دست کسی به همین راحتی بهش نمیرسه ولی این موضوع واسه پادویش صادق نیست
پس بیکار هستید که هم زمان خودتان را میگیرید هم بقیه را؟من شخصا هیچ نرم افزار ایرانی رو قبول ندارم
در پست های قبلی به شما آموزش داده شد که چطور وارد بخش تماس با مای سایت ها بشوید و بنابراین اگر همان آموزش را برای سایت پادویش اجرا کنید، مشخص میشود که این شرکت هم سر دارد هم ته !!چرا ما بخوایم پول بدیم واسه شرکتی ک سر تهش معلوم نیس؟!
پادویش هم هوش مصنوعی دارد هم رفتارشناسی.پنج:پادویش تو تکنولوژی هایی های پیشرفته اصن خبری ازش نیست تموم شرکتای امنیتی داره کم کم محصولاتشون میره به صورت هوش مصنوعی(Artificial Intelligence) و ماشین لرنینگ شدن.
آنتی کریپتوی پادویش با رفتارشناسی در همان روزی که واناکرای پخش شد جلوی آن را میگرفت. یعنی بدون نیاز به هیچ آپدیتی یکی از پیچیده ترین تهدیداتی که بسیاری سیستم ها در جهان با آنتی ویروس های مختلف را آلوده کرده بود گرفتپادویش اصن نداره عقبه از دنیا.
دستشون درد نکنه که عاشق چشم ابروی مردم جهان هستند و کاملا رایگان همه امکانات و سرورهایشان را ایثارگرانه و بدون هیچ هدفی معطل مردم دنیا کرده اند!!!!!!مثلا همین 360 رایگان تکنولوژی ماشین لرنینگ استفاده میکنه تو انتی ویروسش!همینطوری فک کنی این یه چیز ابتدایی و الکیه نیست این. زحمت کشیدن وقت گذاشتن هزینه کردن حالا شده این. همین چینی ک من همیشه میبینم میگن نرم افزار چینی به درد نمیخوره(البته رو هوا میگن به درد نمیخوره )یا انتی ویروس چینیه به درد نمیخوره .همین چین همه جا پیشرو هست مخصوصا تو این زمینه!شرکتTencent چینی تمرکز کرده روی این موضوع بهترین دانش و محقق هارم داره تو این زمنیه! این موضوع مهمه! ایران اصن نیس تو این بحث نیست!! عقب افتاده ایم کلا.کارکردن خرج کردن زحمت کشیدن الان هم رسیدن به اینجا! بقیشونم همینطور کسپر اسکای داره ترند میکرو سوپوس اواست داره و...عموما دارن!
پول مگر از آسمان فرود می آید؟ پول با فروش محصولی بدست می آید که شما بعنوان یک هم وطنش با افتخار میگویید>>>پول پشتش باشه!پول نباشه فایده نداره
من شخصا هیچ نرم افزار ایرانی رو قبول ندارم