تالار پشتیبانی شرکت نرم‌افزاری امن‌پرداز

سلام خدمت مهندسان محترم.

اول از همه باید من تازه انجمن شما رو پیدا کردم و فرصت رو غنیمت شمردم تا با دوستان پادویشی مکالمه ای داشته باشم.

این گزارش رو که یادتون هست؟ https://forum.soft98.ir/showthread.php? ... post901729
شما با آپارات مکاتبه کردید برای حذف ویدیو؟ البته من انگشتم اتهامم رو سمت کسی نمی برم فقط حدس خودمه بر مبنای قوانین آپارات تا قبل از انتشار ویدیوهای آسیب پذیری.
لطف بفرمایید این پست رو هم مطالعه کنید : https://forum.soft98.ir/showthread.php? ... ost1036992

حالا که مطالعه کردید چند سوال دارم :
1- چرا مشکل کرش کردن Core هنوز رفع نشده؟

2-شما که در مورد آسیب پذیری اعلام کردید با مسئولیت پذیری باید حل بشه، خود شما هم نسبت به مشتریان سازمانی خودتون حس مسئولیت پذیری دارید؟ آیا بهشون اعلام می کنید که یه همچین مشکلی هست فلان کار رو کنید یا نکنید یا اینکه اصلا صداش رو در نمیارید؟

3-با چه اعتمادی من یا هر محقق دیگه ای باید باگ رو برای شما بفرسته؟ والا تو انجمن به هرکسی که حرفی خلاف خواسته و سیاست های شما زده باشه با زبون تند و زننده باهاش صحبت کردید!

4-در مورد گزارش باگ LPE به نظر شما برای من بصرفه تر نیست تا بیان حقایق عامه و خاصه مردم کشورم رو آگاه کنم تا خودشون و اطرافیانشون نصب نکنند و اسیب نبینن؟

5-تریال ریستر هم جزو برنامه شکار باگ هست؟ چون می خواستم طی این 3-4 روزه پابلیش کنم!

با سپاس

سلام دوست گرامی

بنده محتوای فیلم شما را به خاطر ندارم.

اما در خصوص سوالات شما:

۱- تا جایی که بنده جستجو کردم این آسیب‌پذیری به ما «گزارش» نشده است.
البته دقت کنید که مقصود از «گزارش آسیب‌پذیری» به معنای انتشار فیلم یا نوشتن یک جمله نیست، بلکه باید حداقلی از اطلاعات فنی واقعی که امکان بازتولید باگ را بدهد به ما گزارش شود. همانطور که در برنامه جایزه انتشار باگ توضیح داده شده، بهترین روش گزارش این است که با PoC همراه باشد.
توضیح بیشتر اینکه بدون داشتن اطلاعات فنی برای ما ممکن نیست که بدانیم چه اتفاقی در یک فیلم افتاده است. به عنوان یک مثال در یک فیلم ممکن است کاربری که یک برنامه با آن اجرا می‌شود دسترسی کامل به سیستم داشته باشد، یا اینکه تغییراتی غیرمتداول در ویندوز و شرایط سیستم انجام شده باشد که باعث بروز اشکال در امنیت سیستم شده باشد.
مثال دقیقتر: در فیلم جاری شما «ادعا» می‌شود که برنامه‌ای با دسترسی سرویس اجرا شده است. و شاهد این مساله صرفا محتوای یک فایل متنی است! هیچ کس نمی‌تواند از روی چنین فیلمی متوجه شود که چه اتفاقی در سیستم افتاده و آیا واقعا این ادعا صحیح است یا خیر؟!

بنابراین در تمام موارد درخواست ما این است که اطلاعات به صورت واضح و با توضیح کافی ارجاع شود که امکان پیگیری وجود داشته باشد. (موضوعی که اتفاق نیافتاده است)

۲- بله، یقینا هر زمان موردی وجود داشته باشد که به امنیت یا عملکرد سیستم مربوط باشد اطلاع‌رسانی انجام گرفته و می‌گیرد. در اغلب موارد سعی می‌شود این توصیه‌ها به صورت ارتقا به نسخه جدید یا دریافت بروزرسانی انجام می‌گیرد، و در مواردی نیز به صورت اعلام روش‌های صحیح در انجام تنظیمات و استفاده، نیاز به بستن پورت یا فعال کردن امکان خاصی ویا سایر توصیه‌های امنیتی اطلاع‌رسانی انجام می‌گیرد.

۳- در این مورد کاملا با شما مخالفم. اتفاقا در همین مورد می‌توانید پاسخ امن‌پرداز به شما https://forum.soft98.ir/showthread.php? ... post902721 را در همان تاپیکی که گفتید بخوانید. نه تنها هیچ بی‌احترامی نشده، بلکه از شما برای جلسه حضوری و همکاری بیشتر دعوت کردیم.
هر چند متاسفانه پاسخی نگرفتیم، و گویا شما تازه بعد از یکسال دوباره به یاد موضوع افتاده‌اید، اما هنوز فرصت چنین اتفاقی وجود دارد و همانطور که یکسال پیش در پاسخ به شما نوشتیم «خوشحال می‌شویم مطابق دعوتی که در ایمیل برای شما ارسال کرده‌ایم جهت صحبت درباره نقاط ضعف کشف شده و نیز یافتن روشی جهت همکاری در یافتن نقاط ضعف بیشتر با شما جلسه‌ای حضوری داشته باشیم»

اما اگر سوال شما نحوه اعتماد است، باید بگویم که هویت، برند، آدرس شرکت و تمام اطلاعات ما مشخص است و مطابق قوانین کشور مشغول به فعالیت هستیم. بد نیست از این دیدگاه نیز نگاه کنید که چگونه ما و دیگران می‌توانیم به یک نام ناشناس و ادعاهای وی اعتماد کنیم؟

جالب است بدانید که تمام مواردیکه در این فروم و جاهای دیگر فیلمی به عنوان باگ از پادویش گزارش شده، مربوط به یک نفر است که با اسامی مختلف این کار را انجام می‌دهد!

۴- من فکر می‌کنم اگر همانطور که می‌گویید از روی تخصص و علاقمندی به مباحث امنیت می‌پردازید و یک باگ در پادویش کشف کرده‌اید، برنامه جایزه شکار باگ یک برنامه کاملا منصفانه و با شرایط عالی است که می‌توانید با شرکت در آن هم به علایق خود برسید و هم منفعت مالی (و نامی) کسب نمایید. در عین حال نیز به افزایش امنیت کاربران مستقیما کمک خواهید کرد.

ضمنا لازم است چند نکته را گوشزد کنم:
متاسفانه بسیاری از دوستان، به تعاریف فنی مانند RCE یا LPE آشنایی کافی ندارند.
باگ LPE یا Local Privilege Escalationیعنی: در یک ویندوز به‌روز، با اجرای آن از داخل یک کاربر با سطح دسترسی عادی، بتوانید به سطح دسترسی ادمین دست پیدا کنید.
علاوه بر این، برای شرکت در برنامه جایزه شکار باگ پادویش، باید این مساله ارتباطی با یکی از مولفه‌های پادویش داشته باشد.
بنابراین موارد زیر شامل جایزه نیستند:
۱- اگر از اول با کاربر ادمین شروع کردید، شما دسترسی خود را افزایش نداده‌اید و LPE محسوب نمی‌شود. (نکته: ادمین اجازه ساخت سرویس و اجرا کردن آن را دارد)
۲- اگر باگ شما ربطی به پادویش ندارد، جزو برنامه شکار باگ پادویش هم نیست! (عجیب است که لازم است این نکته بدیهی برای برخی دوستان تشریح شود. یک تست ساده این است که باگ شما فقط وقتی پادویش نصب است کار کند و روی سیستم بدون پادویش کار نکند)
۳- اگر تنظیمات ویندوز خود را بهم ریخته‌اید یا نرم‌افزار متفرقه‌ای نصب کرده‌اید که موجب کاهش امنیت سیستم شما شده، باگ شما ربطی به پادویش نداشته و مورد پذیرش نیست. (این نکته هم بدیهی و مطابق عقل سلیم است، چرا که در این حالت مشکل مربوط به تنظیمات یا نرم‌افزار شماست و مشکل را در آنجا حل کنید)
این موضوعات ساده (که شاید برایتان بدیهی به نظر برسد) متاسفانه در بسیاری از مواردی که به عنوان شرکت در جایزه شکار باگ ارسال می‌شوند وجود دارد.

۵- قبول کنید که این سوال حرف عجیبی از سمت کسی است که قصد روشنگری با «بیان حقایق برای عامه و خاصه مردم کشورش» را دارد.

اما پاسخ این سوال شما خیر است. برنامه شکار باگ (https://padvish.com/fa-ir/support/bug-bounty) شرایط کاملا مشخصی دارد که ریست ترایال جزو آن نیست، چرا که ریست ترایال یک نرم‌افزار یک باگ امنیتی در آن محسوب نمی‌شود، بلکه صرفا در بهترین حالت به شما امکان استفاده غیرقانونی از نرم‌افزار را می‌دهد.
همه کاربران می‌دانند که استفاده غیرقانونی از یک محصول علاوه بر اینکه مصداق علنی دزدی بوده و حرمت شرعی، عرفی و قانونی دارد؛ در مورد محصولی مانند ضدویروس، ریسک اینکه محصول درست عمل نکرده، آپدیت نشده و ... را نیز دارد و به همین علت به دنبال تهیه لایسنس اصل یا استفاده از نسخه‌های رایگان به جای کرک‌ها هستند.

۶- در پایان اضافه کنم که «متخصص حوزه امنیت فیلم منتشر نمی‌کند، جزئیات فنی منتشر می‌کند (حتی در اعلام عمومی و غیرمسئولانه باگ)»
همه متخصصان حوزه امنیت واقف هستند که انتشار فیلم اثبات هیچ موضوعی را نمی‌کند. اینترنت پر است از فیلم‌هایی که به علت ناآگاهی یا اشتباه سازنده فیلم، یا حتی برخی مواقع به صورت عمدی برای محصولات و موضوعات مختلف تهیه شده‌اند. عیار حرف زمانی مشخص می‌شود که جزئیات فنی در اختیار قرار گیرد تا جامعه متخصصان بتوانند در مورد موضوع و صحت و شیوه رفع آن صحبت و تبادل نظر کنند.

برای نمونه می‌توانید این باگ ریپورت‌ها را از متخصصان امنیت ببینید:
باگ سیمانتک - https://bugs.chromium.org/p/project-zer ... ail?id=820
باگ کسپراسکی - https://bugs.chromium.org/p/project-zer ... ail?id=978
باگ نود۳۲ - https://bugs.chromium.org/p/project-zer ... ail?id=456
باگ نود۳۲ - https://www.exploit-db.com/exploits/33360/
باگ ضدویروس شید - https://www.exploit-db.com/exploits/40497/

۱- من ایمیلی برای همکاری یا کمک دریافت نکردم.
۲- انتشار جزیات فنی باعث در خطر افتادن کاربران میشه.
۳- شما تا وقتی تخریب میکنید به گمان من درصد زیادی از متخصص و عامه رو علیه خودتون میکنید.
۴- من نه با کس دیگه ای کار می کنم و نه هماهنگی انجام میدم باید قبول کنید منتقد شما اولا با شما دشمن نیست دوما فقط یک منتقد وجود نداره.

یا علی

سلام
۱- من به همین ایمیلی که در فروم پیغام فرستادید مجدد ایمیل دعوت را ارسال می‌کنم. لطفا دریافت را در همینجا اطلاع دهید.
۲- دقیقا!
ببینید، در دنیا دو روش برای اعلام باگ بیشتر وجود ندارد و در هر دو بحث سر اعلام جزئیات فنی است: یا Responsible است که یعنی ابتدا به شرکت سازنده گزارش جزئیات را انجام می‌دهید و بعد از رفع باگ و انتشار وصله آن را (اگر خواستید) عمومی می‌کنید. یا Public است که به صورت عمومی جزئیات منتشر می‌شود تا همگان با دانستن مشکل بتوانند از خود در برابر آن دفاع کنند. حالت دوم همانطور که از اسمش پیدا است مسئولانه نیست و احتمال خطر بیشتری برای کاربران ایجاد می‌کند.
اما قبول کنید که انتشار فیلم مساله‌ای را حل نمی‌کند. بخصوص در مورد این مساله که ما نیز هیچ گزارش فنی از آن نداشته‌ایم که بتوانیم آن را برطرف کنیم.
پیشنهاد من این است که اگر دغدغه امنیت کاربران را دارید، باگ خود را برای ایمیل bug@amnpardaz.com ارسال کنید تا ما بتوانیم آن را بررسی و برطرف نماییم.
۳- هر کسی که انتقاد صحیح و سازنده‌ای از پادویش داشته باشد به ما کمک می‌کند و ما از آن استقبال می‌کنیم. نشانه حسن نیت ما هم دعوت یکسال پیش و الآن ما و نیز برنامه‌هایی مانند جایزه باگ است که با دوستان علاقمند دنبال می‌کنیم.

papa_toop نوشته شده: ↑یک‌شنبه اکتبر 21, 2018 2:24 pm ۱- من ایمیلی برای همکاری یا کمک دریافت نکردم.
۲- انتشار جزیات فنی باعث در خطر افتادن کاربران میشه.
۳- شما تا وقتی تخریب میکنید به گمان من درصد زیادی از متخصص و عامه رو علیه خودتون میکنید.
۴- من نه با کس دیگه ای کار می کنم و نه هماهنگی انجام میدم باید قبول کنید منتقد شما اولا با شما دشمن نیست دوما فقط یک منتقد وجود نداره.

یا علی

۱- من ایمیلی برای همکاری یا کمک دریافت نکردم.

پاسخ مدیر فروم

۱- من به همین ایمیلی که در فروم پیغام فرستادید مجدد ایمیل دعوت را ارسال می‌کنم. لطفا دریافت را در همینجا اطلاع دهید.

اما پاسخی از سمت papa toop داده نشد. ایمیل رو دریافت کردین؟

@saman

پیام خصوصی رو چک کنید

papa_toop نوشته شده: ↑چهارشنبه اکتبر 24, 2018 1:39 pm @saman

پیام خصوصی رو چک کنید

دوست عزیز من کاره ای نیستم. پیام خصوصی رو باید برای مدیر فروم ارسال کنید. من مسئول پادویش نیستم که برای من پیام خصوصی فرستادید.

سلام
برای اینکه دوباره یکسال نگذره ... آیا ایمیل را دریافت کردید؟
ده روز گذشته و ما پاسخی از شما دریافت نکردیم.