سلام خدمت مهندسان محترم.
اول از همه باید من تازه انجمن شما رو پیدا کردم و فرصت رو غنیمت شمردم تا با دوستان پادویشی مکالمه ای داشته باشم.
این گزارش رو که یادتون هست؟ https://forum.soft98.ir/showthread.php? ... post901729
شما با آپارات مکاتبه کردید برای حذف ویدیو؟ البته من انگشتم اتهامم رو سمت کسی نمی برم فقط حدس خودمه بر مبنای قوانین آپارات تا قبل از انتشار ویدیوهای آسیب پذیری.
لطف بفرمایید این پست رو هم مطالعه کنید : https://forum.soft98.ir/showthread.php? ... ost1036992
حالا که مطالعه کردید چند سوال دارم :
1- چرا مشکل کرش کردن Core هنوز رفع نشده؟
2-شما که در مورد آسیب پذیری اعلام کردید با مسئولیت پذیری باید حل بشه، خود شما هم نسبت به مشتریان سازمانی خودتون حس مسئولیت پذیری دارید؟ آیا بهشون اعلام می کنید که یه همچین مشکلی هست فلان کار رو کنید یا نکنید یا اینکه اصلا صداش رو در نمیارید؟
3-با چه اعتمادی من یا هر محقق دیگه ای باید باگ رو برای شما بفرسته؟ والا تو انجمن به هرکسی که حرفی خلاف خواسته و سیاست های شما زده باشه با زبون تند و زننده باهاش صحبت کردید!
4-در مورد گزارش باگ LPE به نظر شما برای من بصرفه تر نیست تا بیان حقایق عامه و خاصه مردم کشورم رو آگاه کنم تا خودشون و اطرافیانشون نصب نکنند و اسیب نبینن؟
5-تریال ریستر هم جزو برنامه شکار باگ هست؟ چون می خواستم طی این 3-4 روزه پابلیش کنم!
با سپاس
چند سوال از مسئولان پادویش!
Re: چند سوال از مسئولان پادویش!
سلام دوست گرامی
بنده محتوای فیلم شما را به خاطر ندارم.
اما در خصوص سوالات شما:
۱- تا جایی که بنده جستجو کردم این آسیبپذیری به ما «گزارش» نشده است.
البته دقت کنید که مقصود از «گزارش آسیبپذیری» به معنای انتشار فیلم یا نوشتن یک جمله نیست، بلکه باید حداقلی از اطلاعات فنی واقعی که امکان بازتولید باگ را بدهد به ما گزارش شود. همانطور که در برنامه جایزه انتشار باگ توضیح داده شده، بهترین روش گزارش این است که با PoC همراه باشد.
توضیح بیشتر اینکه بدون داشتن اطلاعات فنی برای ما ممکن نیست که بدانیم چه اتفاقی در یک فیلم افتاده است. به عنوان یک مثال در یک فیلم ممکن است کاربری که یک برنامه با آن اجرا میشود دسترسی کامل به سیستم داشته باشد، یا اینکه تغییراتی غیرمتداول در ویندوز و شرایط سیستم انجام شده باشد که باعث بروز اشکال در امنیت سیستم شده باشد.
مثال دقیقتر: در فیلم جاری شما «ادعا» میشود که برنامهای با دسترسی سرویس اجرا شده است. و شاهد این مساله صرفا محتوای یک فایل متنی است! هیچ کس نمیتواند از روی چنین فیلمی متوجه شود که چه اتفاقی در سیستم افتاده و آیا واقعا این ادعا صحیح است یا خیر؟!
بنابراین در تمام موارد درخواست ما این است که اطلاعات به صورت واضح و با توضیح کافی ارجاع شود که امکان پیگیری وجود داشته باشد. (موضوعی که اتفاق نیافتاده است)
۲- بله، یقینا هر زمان موردی وجود داشته باشد که به امنیت یا عملکرد سیستم مربوط باشد اطلاعرسانی انجام گرفته و میگیرد. در اغلب موارد سعی میشود این توصیهها به صورت ارتقا به نسخه جدید یا دریافت بروزرسانی انجام میگیرد، و در مواردی نیز به صورت اعلام روشهای صحیح در انجام تنظیمات و استفاده، نیاز به بستن پورت یا فعال کردن امکان خاصی ویا سایر توصیههای امنیتی اطلاعرسانی انجام میگیرد.
۳- در این مورد کاملا با شما مخالفم. اتفاقا در همین مورد میتوانید پاسخ امنپرداز به شما https://forum.soft98.ir/showthread.php? ... post902721 را در همان تاپیکی که گفتید بخوانید. نه تنها هیچ بیاحترامی نشده، بلکه از شما برای جلسه حضوری و همکاری بیشتر دعوت کردیم.
هر چند متاسفانه پاسخی نگرفتیم، و گویا شما تازه بعد از یکسال دوباره به یاد موضوع افتادهاید، اما هنوز فرصت چنین اتفاقی وجود دارد و همانطور که یکسال پیش در پاسخ به شما نوشتیم «خوشحال میشویم مطابق دعوتی که در ایمیل برای شما ارسال کردهایم جهت صحبت درباره نقاط ضعف کشف شده و نیز یافتن روشی جهت همکاری در یافتن نقاط ضعف بیشتر با شما جلسهای حضوری داشته باشیم»
اما اگر سوال شما نحوه اعتماد است، باید بگویم که هویت، برند، آدرس شرکت و تمام اطلاعات ما مشخص است و مطابق قوانین کشور مشغول به فعالیت هستیم. بد نیست از این دیدگاه نیز نگاه کنید که چگونه ما و دیگران میتوانیم به یک نام ناشناس و ادعاهای وی اعتماد کنیم؟
جالب است بدانید که تمام مواردیکه در این فروم و جاهای دیگر فیلمی به عنوان باگ از پادویش گزارش شده، مربوط به یک نفر است که با اسامی مختلف این کار را انجام میدهد!
۴- من فکر میکنم اگر همانطور که میگویید از روی تخصص و علاقمندی به مباحث امنیت میپردازید و یک باگ در پادویش کشف کردهاید، برنامه جایزه شکار باگ یک برنامه کاملا منصفانه و با شرایط عالی است که میتوانید با شرکت در آن هم به علایق خود برسید و هم منفعت مالی (و نامی) کسب نمایید. در عین حال نیز به افزایش امنیت کاربران مستقیما کمک خواهید کرد.
ضمنا لازم است چند نکته را گوشزد کنم:
متاسفانه بسیاری از دوستان، به تعاریف فنی مانند RCE یا LPE آشنایی کافی ندارند.
باگ LPE یا Local Privilege Escalationیعنی: در یک ویندوز بهروز، با اجرای آن از داخل یک کاربر با سطح دسترسی عادی، بتوانید به سطح دسترسی ادمین دست پیدا کنید.
علاوه بر این، برای شرکت در برنامه جایزه شکار باگ پادویش، باید این مساله ارتباطی با یکی از مولفههای پادویش داشته باشد.
بنابراین موارد زیر شامل جایزه نیستند:
۱- اگر از اول با کاربر ادمین شروع کردید، شما دسترسی خود را افزایش ندادهاید و LPE محسوب نمیشود. (نکته: ادمین اجازه ساخت سرویس و اجرا کردن آن را دارد)
۲- اگر باگ شما ربطی به پادویش ندارد، جزو برنامه شکار باگ پادویش هم نیست! (عجیب است که لازم است این نکته بدیهی برای برخی دوستان تشریح شود. یک تست ساده این است که باگ شما فقط وقتی پادویش نصب است کار کند و روی سیستم بدون پادویش کار نکند)
۳- اگر تنظیمات ویندوز خود را بهم ریختهاید یا نرمافزار متفرقهای نصب کردهاید که موجب کاهش امنیت سیستم شما شده، باگ شما ربطی به پادویش نداشته و مورد پذیرش نیست. (این نکته هم بدیهی و مطابق عقل سلیم است، چرا که در این حالت مشکل مربوط به تنظیمات یا نرمافزار شماست و مشکل را در آنجا حل کنید)
این موضوعات ساده (که شاید برایتان بدیهی به نظر برسد) متاسفانه در بسیاری از مواردی که به عنوان شرکت در جایزه شکار باگ ارسال میشوند وجود دارد.
۵- قبول کنید که این سوال حرف عجیبی از سمت کسی است که قصد روشنگری با «بیان حقایق برای عامه و خاصه مردم کشورش» را دارد.
اما پاسخ این سوال شما خیر است. برنامه شکار باگ (https://padvish.com/fa-ir/support/bug-bounty) شرایط کاملا مشخصی دارد که ریست ترایال جزو آن نیست، چرا که ریست ترایال یک نرمافزار یک باگ امنیتی در آن محسوب نمیشود، بلکه صرفا در بهترین حالت به شما امکان استفاده غیرقانونی از نرمافزار را میدهد.
همه کاربران میدانند که استفاده غیرقانونی از یک محصول علاوه بر اینکه مصداق علنی دزدی بوده و حرمت شرعی، عرفی و قانونی دارد؛ در مورد محصولی مانند ضدویروس، ریسک اینکه محصول درست عمل نکرده، آپدیت نشده و ... را نیز دارد و به همین علت به دنبال تهیه لایسنس اصل یا استفاده از نسخههای رایگان به جای کرکها هستند.
۶- در پایان اضافه کنم که «متخصص حوزه امنیت فیلم منتشر نمیکند، جزئیات فنی منتشر میکند (حتی در اعلام عمومی و غیرمسئولانه باگ)»
همه متخصصان حوزه امنیت واقف هستند که انتشار فیلم اثبات هیچ موضوعی را نمیکند. اینترنت پر است از فیلمهایی که به علت ناآگاهی یا اشتباه سازنده فیلم، یا حتی برخی مواقع به صورت عمدی برای محصولات و موضوعات مختلف تهیه شدهاند. عیار حرف زمانی مشخص میشود که جزئیات فنی در اختیار قرار گیرد تا جامعه متخصصان بتوانند در مورد موضوع و صحت و شیوه رفع آن صحبت و تبادل نظر کنند.
برای نمونه میتوانید این باگ ریپورتها را از متخصصان امنیت ببینید:
باگ سیمانتک - https://bugs.chromium.org/p/project-zer ... ail?id=820
باگ کسپراسکی - https://bugs.chromium.org/p/project-zer ... ail?id=978
باگ نود۳۲ - https://bugs.chromium.org/p/project-zer ... ail?id=456
باگ نود۳۲ - https://www.exploit-db.com/exploits/33360/
باگ ضدویروس شید - https://www.exploit-db.com/exploits/40497/
بنده محتوای فیلم شما را به خاطر ندارم.
اما در خصوص سوالات شما:
۱- تا جایی که بنده جستجو کردم این آسیبپذیری به ما «گزارش» نشده است.
البته دقت کنید که مقصود از «گزارش آسیبپذیری» به معنای انتشار فیلم یا نوشتن یک جمله نیست، بلکه باید حداقلی از اطلاعات فنی واقعی که امکان بازتولید باگ را بدهد به ما گزارش شود. همانطور که در برنامه جایزه انتشار باگ توضیح داده شده، بهترین روش گزارش این است که با PoC همراه باشد.
توضیح بیشتر اینکه بدون داشتن اطلاعات فنی برای ما ممکن نیست که بدانیم چه اتفاقی در یک فیلم افتاده است. به عنوان یک مثال در یک فیلم ممکن است کاربری که یک برنامه با آن اجرا میشود دسترسی کامل به سیستم داشته باشد، یا اینکه تغییراتی غیرمتداول در ویندوز و شرایط سیستم انجام شده باشد که باعث بروز اشکال در امنیت سیستم شده باشد.
مثال دقیقتر: در فیلم جاری شما «ادعا» میشود که برنامهای با دسترسی سرویس اجرا شده است. و شاهد این مساله صرفا محتوای یک فایل متنی است! هیچ کس نمیتواند از روی چنین فیلمی متوجه شود که چه اتفاقی در سیستم افتاده و آیا واقعا این ادعا صحیح است یا خیر؟!
بنابراین در تمام موارد درخواست ما این است که اطلاعات به صورت واضح و با توضیح کافی ارجاع شود که امکان پیگیری وجود داشته باشد. (موضوعی که اتفاق نیافتاده است)
۲- بله، یقینا هر زمان موردی وجود داشته باشد که به امنیت یا عملکرد سیستم مربوط باشد اطلاعرسانی انجام گرفته و میگیرد. در اغلب موارد سعی میشود این توصیهها به صورت ارتقا به نسخه جدید یا دریافت بروزرسانی انجام میگیرد، و در مواردی نیز به صورت اعلام روشهای صحیح در انجام تنظیمات و استفاده، نیاز به بستن پورت یا فعال کردن امکان خاصی ویا سایر توصیههای امنیتی اطلاعرسانی انجام میگیرد.
۳- در این مورد کاملا با شما مخالفم. اتفاقا در همین مورد میتوانید پاسخ امنپرداز به شما https://forum.soft98.ir/showthread.php? ... post902721 را در همان تاپیکی که گفتید بخوانید. نه تنها هیچ بیاحترامی نشده، بلکه از شما برای جلسه حضوری و همکاری بیشتر دعوت کردیم.
هر چند متاسفانه پاسخی نگرفتیم، و گویا شما تازه بعد از یکسال دوباره به یاد موضوع افتادهاید، اما هنوز فرصت چنین اتفاقی وجود دارد و همانطور که یکسال پیش در پاسخ به شما نوشتیم «خوشحال میشویم مطابق دعوتی که در ایمیل برای شما ارسال کردهایم جهت صحبت درباره نقاط ضعف کشف شده و نیز یافتن روشی جهت همکاری در یافتن نقاط ضعف بیشتر با شما جلسهای حضوری داشته باشیم»
اما اگر سوال شما نحوه اعتماد است، باید بگویم که هویت، برند، آدرس شرکت و تمام اطلاعات ما مشخص است و مطابق قوانین کشور مشغول به فعالیت هستیم. بد نیست از این دیدگاه نیز نگاه کنید که چگونه ما و دیگران میتوانیم به یک نام ناشناس و ادعاهای وی اعتماد کنیم؟
جالب است بدانید که تمام مواردیکه در این فروم و جاهای دیگر فیلمی به عنوان باگ از پادویش گزارش شده، مربوط به یک نفر است که با اسامی مختلف این کار را انجام میدهد!
۴- من فکر میکنم اگر همانطور که میگویید از روی تخصص و علاقمندی به مباحث امنیت میپردازید و یک باگ در پادویش کشف کردهاید، برنامه جایزه شکار باگ یک برنامه کاملا منصفانه و با شرایط عالی است که میتوانید با شرکت در آن هم به علایق خود برسید و هم منفعت مالی (و نامی) کسب نمایید. در عین حال نیز به افزایش امنیت کاربران مستقیما کمک خواهید کرد.
ضمنا لازم است چند نکته را گوشزد کنم:
متاسفانه بسیاری از دوستان، به تعاریف فنی مانند RCE یا LPE آشنایی کافی ندارند.
باگ LPE یا Local Privilege Escalationیعنی: در یک ویندوز بهروز، با اجرای آن از داخل یک کاربر با سطح دسترسی عادی، بتوانید به سطح دسترسی ادمین دست پیدا کنید.
علاوه بر این، برای شرکت در برنامه جایزه شکار باگ پادویش، باید این مساله ارتباطی با یکی از مولفههای پادویش داشته باشد.
بنابراین موارد زیر شامل جایزه نیستند:
۱- اگر از اول با کاربر ادمین شروع کردید، شما دسترسی خود را افزایش ندادهاید و LPE محسوب نمیشود. (نکته: ادمین اجازه ساخت سرویس و اجرا کردن آن را دارد)
۲- اگر باگ شما ربطی به پادویش ندارد، جزو برنامه شکار باگ پادویش هم نیست! (عجیب است که لازم است این نکته بدیهی برای برخی دوستان تشریح شود. یک تست ساده این است که باگ شما فقط وقتی پادویش نصب است کار کند و روی سیستم بدون پادویش کار نکند)
۳- اگر تنظیمات ویندوز خود را بهم ریختهاید یا نرمافزار متفرقهای نصب کردهاید که موجب کاهش امنیت سیستم شما شده، باگ شما ربطی به پادویش نداشته و مورد پذیرش نیست. (این نکته هم بدیهی و مطابق عقل سلیم است، چرا که در این حالت مشکل مربوط به تنظیمات یا نرمافزار شماست و مشکل را در آنجا حل کنید)
این موضوعات ساده (که شاید برایتان بدیهی به نظر برسد) متاسفانه در بسیاری از مواردی که به عنوان شرکت در جایزه شکار باگ ارسال میشوند وجود دارد.
۵- قبول کنید که این سوال حرف عجیبی از سمت کسی است که قصد روشنگری با «بیان حقایق برای عامه و خاصه مردم کشورش» را دارد.
اما پاسخ این سوال شما خیر است. برنامه شکار باگ (https://padvish.com/fa-ir/support/bug-bounty) شرایط کاملا مشخصی دارد که ریست ترایال جزو آن نیست، چرا که ریست ترایال یک نرمافزار یک باگ امنیتی در آن محسوب نمیشود، بلکه صرفا در بهترین حالت به شما امکان استفاده غیرقانونی از نرمافزار را میدهد.
همه کاربران میدانند که استفاده غیرقانونی از یک محصول علاوه بر اینکه مصداق علنی دزدی بوده و حرمت شرعی، عرفی و قانونی دارد؛ در مورد محصولی مانند ضدویروس، ریسک اینکه محصول درست عمل نکرده، آپدیت نشده و ... را نیز دارد و به همین علت به دنبال تهیه لایسنس اصل یا استفاده از نسخههای رایگان به جای کرکها هستند.
۶- در پایان اضافه کنم که «متخصص حوزه امنیت فیلم منتشر نمیکند، جزئیات فنی منتشر میکند (حتی در اعلام عمومی و غیرمسئولانه باگ)»
همه متخصصان حوزه امنیت واقف هستند که انتشار فیلم اثبات هیچ موضوعی را نمیکند. اینترنت پر است از فیلمهایی که به علت ناآگاهی یا اشتباه سازنده فیلم، یا حتی برخی مواقع به صورت عمدی برای محصولات و موضوعات مختلف تهیه شدهاند. عیار حرف زمانی مشخص میشود که جزئیات فنی در اختیار قرار گیرد تا جامعه متخصصان بتوانند در مورد موضوع و صحت و شیوه رفع آن صحبت و تبادل نظر کنند.
برای نمونه میتوانید این باگ ریپورتها را از متخصصان امنیت ببینید:
باگ سیمانتک - https://bugs.chromium.org/p/project-zer ... ail?id=820
باگ کسپراسکی - https://bugs.chromium.org/p/project-zer ... ail?id=978
باگ نود۳۲ - https://bugs.chromium.org/p/project-zer ... ail?id=456
باگ نود۳۲ - https://www.exploit-db.com/exploits/33360/
باگ ضدویروس شید - https://www.exploit-db.com/exploits/40497/
Re: چند سوال از مسئولان پادویش!
۱- من ایمیلی برای همکاری یا کمک دریافت نکردم.
۲- انتشار جزیات فنی باعث در خطر افتادن کاربران میشه.
۳- شما تا وقتی تخریب میکنید به گمان من درصد زیادی از متخصص و عامه رو علیه خودتون میکنید.
۴- من نه با کس دیگه ای کار می کنم و نه هماهنگی انجام میدم باید قبول کنید منتقد شما اولا با شما دشمن نیست دوما فقط یک منتقد وجود نداره.
یا علی
۲- انتشار جزیات فنی باعث در خطر افتادن کاربران میشه.
۳- شما تا وقتی تخریب میکنید به گمان من درصد زیادی از متخصص و عامه رو علیه خودتون میکنید.
۴- من نه با کس دیگه ای کار می کنم و نه هماهنگی انجام میدم باید قبول کنید منتقد شما اولا با شما دشمن نیست دوما فقط یک منتقد وجود نداره.
یا علی
Re: چند سوال از مسئولان پادویش!
سلام
۱- من به همین ایمیلی که در فروم پیغام فرستادید مجدد ایمیل دعوت را ارسال میکنم. لطفا دریافت را در همینجا اطلاع دهید.
۲- دقیقا!
ببینید، در دنیا دو روش برای اعلام باگ بیشتر وجود ندارد و در هر دو بحث سر اعلام جزئیات فنی است: یا Responsible است که یعنی ابتدا به شرکت سازنده گزارش جزئیات را انجام میدهید و بعد از رفع باگ و انتشار وصله آن را (اگر خواستید) عمومی میکنید. یا Public است که به صورت عمومی جزئیات منتشر میشود تا همگان با دانستن مشکل بتوانند از خود در برابر آن دفاع کنند. حالت دوم همانطور که از اسمش پیدا است مسئولانه نیست و احتمال خطر بیشتری برای کاربران ایجاد میکند.
اما قبول کنید که انتشار فیلم مسالهای را حل نمیکند. بخصوص در مورد این مساله که ما نیز هیچ گزارش فنی از آن نداشتهایم که بتوانیم آن را برطرف کنیم.
پیشنهاد من این است که اگر دغدغه امنیت کاربران را دارید، باگ خود را برای ایمیل bug@amnpardaz.com ارسال کنید تا ما بتوانیم آن را بررسی و برطرف نماییم.
۳- هر کسی که انتقاد صحیح و سازندهای از پادویش داشته باشد به ما کمک میکند و ما از آن استقبال میکنیم. نشانه حسن نیت ما هم دعوت یکسال پیش و الآن ما و نیز برنامههایی مانند جایزه باگ است که با دوستان علاقمند دنبال میکنیم.
۱- من به همین ایمیلی که در فروم پیغام فرستادید مجدد ایمیل دعوت را ارسال میکنم. لطفا دریافت را در همینجا اطلاع دهید.
۲- دقیقا!
ببینید، در دنیا دو روش برای اعلام باگ بیشتر وجود ندارد و در هر دو بحث سر اعلام جزئیات فنی است: یا Responsible است که یعنی ابتدا به شرکت سازنده گزارش جزئیات را انجام میدهید و بعد از رفع باگ و انتشار وصله آن را (اگر خواستید) عمومی میکنید. یا Public است که به صورت عمومی جزئیات منتشر میشود تا همگان با دانستن مشکل بتوانند از خود در برابر آن دفاع کنند. حالت دوم همانطور که از اسمش پیدا است مسئولانه نیست و احتمال خطر بیشتری برای کاربران ایجاد میکند.
اما قبول کنید که انتشار فیلم مسالهای را حل نمیکند. بخصوص در مورد این مساله که ما نیز هیچ گزارش فنی از آن نداشتهایم که بتوانیم آن را برطرف کنیم.
پیشنهاد من این است که اگر دغدغه امنیت کاربران را دارید، باگ خود را برای ایمیل bug@amnpardaz.com ارسال کنید تا ما بتوانیم آن را بررسی و برطرف نماییم.
۳- هر کسی که انتقاد صحیح و سازندهای از پادویش داشته باشد به ما کمک میکند و ما از آن استقبال میکنیم. نشانه حسن نیت ما هم دعوت یکسال پیش و الآن ما و نیز برنامههایی مانند جایزه باگ است که با دوستان علاقمند دنبال میکنیم.
Re: چند سوال از مسئولان پادویش!
papa_toop نوشته شده: ↑یکشنبه اکتبر 21, 2018 2:24 pm ۱- من ایمیلی برای همکاری یا کمک دریافت نکردم.
۲- انتشار جزیات فنی باعث در خطر افتادن کاربران میشه.
۳- شما تا وقتی تخریب میکنید به گمان من درصد زیادی از متخصص و عامه رو علیه خودتون میکنید.
۴- من نه با کس دیگه ای کار می کنم و نه هماهنگی انجام میدم باید قبول کنید منتقد شما اولا با شما دشمن نیست دوما فقط یک منتقد وجود نداره.
یا علی
پاسخ مدیر فروم۱- من ایمیلی برای همکاری یا کمک دریافت نکردم.
اما پاسخی از سمت papa toop داده نشد. ایمیل رو دریافت کردین؟۱- من به همین ایمیلی که در فروم پیغام فرستادید مجدد ایمیل دعوت را ارسال میکنم. لطفا دریافت را در همینجا اطلاع دهید.
Re: چند سوال از مسئولان پادویش!
@saman
پیام خصوصی رو چک کنید
پیام خصوصی رو چک کنید
Re: چند سوال از مسئولان پادویش!
سلام
برای اینکه دوباره یکسال نگذره ... آیا ایمیل را دریافت کردید؟
ده روز گذشته و ما پاسخی از شما دریافت نکردیم.
برای اینکه دوباره یکسال نگذره ... آیا ایمیل را دریافت کردید؟
ده روز گذشته و ما پاسخی از شما دریافت نکردیم.