برنامه جایزه شکار باگ پادویش

تیم امنیت ضدویروس پادویش، تصمیم گرفته است که برنامه جایزه شکار باگ پادویش را به صورت عمومی اعلام کند. حداکثر جایزه باگ در نظر گرفته شده رقم معادل ریالی 110هزار دلار می‌باشد.
این برنامه که تا پیش از این به صورت خاص با برخی محققان امنیت اجرا شده بود، اکنون در راستای هدف همیشگی پادویش در ارتقای امنیت رایانه‌های کاربران، و به منظور استفاده از حداکثر توان کارشناسان امنیت موجود کشور، جزئیات آن به صورت عمومی اعلام می‌شود.

این برنامه در دو بخش محصولات پادویش و سامانه‌ها اعلام می‌شود که می‌توانید جزئیات هر کدام را در بخش‌های زیر مطالعه نمایید.

محصولات مشمول طرح

  • آخرین نسخه ضدباج‌گیر پادویش
  • آخرین نسخه ضدویروس پادویش (نسخه امنیت کامل، Base یا Corporate)
  • در این زمینه، ملاک آخرین نسخه قابل دریافت از سایت در زمان ارسال گزارش است.
  • در صورت گزارش باگ روی نسخه‌های بتا (آزمایشی) باید آخرین نسخه بتا مورد تست قرار بگیرد.
  • سیستم عامل ویندوز ۱۰ یا بالاتر (با آخرین آپدیت‌ها) که دستکاری نشده باشد.

جزئیات برنامه (محصولات)

نوع آسیب‌پذیری

Remote

(بدون دسترسی به شبکه‌ی پشت nat)

LAN

(دسترسی به هاست از طریق شبکه)

Local vector

(دسترسی مستقیم به هاست با کاربر عادی)
اجرای کد از راه دور (RCE) در پردازه اصلی (دسترسی SYSTEM) حداکثر معادل ریالی $20.000 حداکثر معادل ریالی $5.000 -
اجرای کد از راه دور (RCE) در پردازه رابط کاربری (دسترسی پایین) حداکثر معادل ریالی $10.000 حداکثر معادل ریالی $2.000 -
افزایش سطح دسترسی محلی (LPE) - - حداکثر معادل ریالی $1.000
از کار انداختن محصول با کاربر غیر ادمین - - حداکثر معادل ریالی $200
  • جایزه ویژه شکار باگ به مبلغ حداکثر معادل ریالی 110.000$ برای باگ‌های بحرانی که شامل شرایط زیر باشند:
    • باگ‌هایی که از راه دور و خارج از شبکه هدف، بتواند از طریق حمله مرد میانی به سرویس‌های پشتیبان (مانند شبکه ابری یا آپدیت پایگاه امضا و...) و بدون متوجه شدن کاربر، کد بدافزاری خود را با دسترسی نامحدود اجرا کرده و در برابر ریست سیستم مقاوم باشند.
  • تعیین مبلغ به صورت خطی با توجه به امتیازی که آسیب‌پذیری در استاندارد CVSSv3 کسب می‌کند تعیین می‌شود.
  • به گزارش‌های با جزئیات کامل و دقیق فنی و شامل سورس کد PoC شفاف مبلغ بالاتری تعلق می‌گیرد.
  • گزارش‌های مربوط به تشخیص بدافزار جدید یا مواردی که از طریق امضا یا آنپکر جدید و مانند آن قابل رفع هستند شامل این برنامه نمی‌شوند.
  • برای آشنایی با مفاهیم RCE, LPE و سایر اصطلاحات علمی مورد استفاده و تعاریف آنها از دیدگاه برنامه شکار باگ پادویش توصیه می‌کنیم مطلب زیر را مطالعه نمایید: https://kb.amnpardaz.com/2018/507

سامانه‌های مشمول طرح

  • تمامی سامانه‌های عمومی پادویش و شرکت نرم‌افزاری امن‌پرداز شامل این برنامه خواهند بود:
    • ‪*.padvish.com
    • ‪*.amnpardaz.com
    • ‪*.padvish.ir
    • ‪*.amnpardaz.ir
  • این سامانه‌ها به طور خلاصه شامل سامانه‌های پشتیبان محصولات (سرور به‌روزرسانی، لایسنس، شبکه ابری و ...)، سامانه‌های اطلاع‌رسانی (سایت امن‌پرداز، پادویش، پایگاه دانش، ...) و سایر سامانه‌های مرتبط با شرکت نرم‌افزاری امن‌پرداز می‌باشند.

جزئیات برنامه (سامانه‌ها)

نوع آسیب‌پذیری مبلغ جایزه

اجرای کد از راه دور (RCE) روی سرور با دسترسی کامل

حداکثر معادل ریالی $5.000

اجرای کد از راه دور (RCE) روی سرور با دسترسی محدود

حداکثر معادل ریالی $2.000

نشت اطلاعات حیاتی امن‌پرداز یا مشتریان با تاثیر تجاری جدی

حداکثر معادل ریالی $1.000

باگ‌های موثر بر مکانیزم مالی و فروش

حداکثر معادل ریالی $200

اعلام باگ‌های آماده عمومی شده روی CMS/OS سامانه (با نمایش و اثبات عملکرد روی سامانه)

برحسب اهمیت و شدت باگ
 
  • تعیین مبلغ به صورت خطی با توجه به امتیازی که آسیب‌پذیری در استاندارد CVSSv3 کسب می‌کند تعیین می‌شود.
  • به گزارش‌های با جزئیات کامل و دقیق فنی و شامل سورس کد PoC شفاف مبلغ بالاتری تعلق می‌گیرد.
  • گزارش‌های مربوط به حملات منع سرویس (DOS و DDOS) یا مواردی که از طریق افزایش پهنای باند یا سرویس‌دهنده جدید و مانند آن قابل رفع هستند شامل این برنامه نمی‌شوند.

مراحل اجرایی

۱- گزارش باگ به bug@amnpardaz.com توسط شرکت‌کننده مطابق فرمت گزارش قید شده در این برنامه

۲- باگ توسط تیم امنیت پادویش بررسی و در صورت نیاز به اطلاعات بیشتر درخواست می‌شود.

۳- تایید باگ توسط تیم امنیت پادویش و اطلاع به شرکت‌کننده ظرف سه روز کاری

۴- رفع باگ و انتشار وصله - تا زمانیکه وصله مربوطه در تمامی محصولات مرتبط منتشر و در دسترس کاربران قرار گیرد نباید آسیب‌پذیری به هیچ طریقی افشا شود. با توجه به اینکه همه کاربران بلافاصله ضدویروس خود را آپدیت نمی‌کنند باید زمانی برای انتشار کامل وصله در نظر گرفته شود تا کاربران آسیبی نبینند. ضمن اینکه خود رفع برخی موارد ممکن است زمانبر بوده یا ملاحظاتی داشته باشد که توسط تیم امنیت پادویش تصمیم‌گیری شده و به اطلاع شرکت‌کننده می‌رسد.

۵- پس از انتشار وصله و گذشت مدت معقولی از آن، با دریافت مجوز کتبی از تیم امنیت پادویش امکان انتشار جزئیات فنی وجود دارد. کد اکسپلویت اجازه انتشار نخواهد داشت.

۶- در صورت تمایل شرکت‌کننده، نام وی به عنوان گزارش‌دهنده آسیب‌پذیری از طرف تیم پادویش اعلام می‌شود.

فرمت ارسال گزارش

جهت ارتباط صحیح لازم است گزارش‌های ارسالی در قالب های زیر تنظیم شوند:

الزامات شرکت در برنامه

  • جهت شرکت در برنامه گزارش‌ها (مطابق فرمت یاد شده) باید منحصرا به bug@amnpardaz.com ارسال شوند.
  • گزارش ارسالی باید شامل یک کد PoC یا حداقل مراحل دقیق اجرای آسیب‌پذیری باشد، به نحوی که این مراحل به سادگی روی محصولی که نصب شده است قابل اجرا و تست باشد.
  • باگ به صورت مسئولانه (Responsible Disclosure) گزارش شده باشد. در صورتیکه اطلاعاتی درباره باگ، با یا بدون جزئیات به شخص یا اشخاص ثالثی ارائه شده باشد شامل این برنامه نخواهد بود. همچنین در هنگام پرداخت طرفین باید تعهدنامه‌ای برای منع افشای اطلاعات مربوط به باگ امضا نمایند.
  • اعضای تیم پادویش و کارمندان شرکت امن‌پرداز، و فامیل درجه یک آنها از این برنامه مستثنی هستند.
  • قبل از ارسال لطفا راهنمای برنامه جایزه شکار باگ را مطالعه نمایید: https://kb.amnpardaz.com/2018/507

موارد خارج از برنامه جایزه شکار باگ

تیم امنیت پادویش آماده دریافت هرگونه گزارش درباره امنیت سایر سامانه‌ها و محصولات شرکت نرم‌افزاری امن‌پرداز نیز می‌باشد. متخصصین و علاقمندان می‌توانند گزارش‌های مرتبط خود را (خارج از برنامه شکار باگ) از طرق زیر اعلام نمایند:
  • ایمیل bug@amnpardaz.com جهت اعلام موارد و باگ‌های امنیتی
  • ایمیل virus@amnpardaz.com - ارتباط مستقیم با آزمایشگاه بدافزار، جهت ارسال نمونه‌های جدید بدافزار یا درخواست بررسی تشخیص
  • ایمیل support@amnpardaz.com - ارتباط با پشتیبانی پادویش، جهت اعلام هرگونه ایرادات غیر امنیتی در تمامی محصولات پادویش یا سامانه‌های پشت‌صحنه (وب‌سایت، سرورها و ...)
  لازم به ذکر است که این موارد شامل این برنامه نخواهند بود.