برنامه جایزه شکار باگ پادویش

تیم امنیت ضدویروس پادویش، تصمیم گرفته است که برنامه جایزه شکار باگ پادویش را به صورت عمومی اعلام کند. حداکثر جایزه باگ در نظر گرفته شده ۱۰ میلیون تومان می‌باشد.
این برنامه که تا پیش از این به صورت خاص با برخی محققان امنیت اجرا شده بود، اکنون در راستای هدف همیشگی پادویش در ارتقای امنیت رایانه‌های کاربران، و به منظور استفاده از حداکثر توان کارشناسان امنیت موجود کشور، جزئیات آن به صورت عمومی اعلام می‌شود.

محصولات

  • آخرین نسخه ضدباج‌گیر پادویش
  • آخرین نسخه ضدویروس پادویش (نسخه امنیت پیشرفته یا امنیت کامل)
  • در این زمینه، ملاک آخرین نسخه قابل دریافت از سایت در زمان ارسال گزارش است.
  • در صورت گزارش باگ روی نسخه‌های بتا (آزمایشی) باید آخرین نسخه بتا مورد تست قرار بگیرد.
  • سیستم عامل ویندوز ۷ یا بالاتر (با آخرین آپدیت‌ها) که دستکاری نشده باشد.

جزئیات برنامه

نوع آسیب‌پذیری مبلغ جایزه
اجرای کد از راه دور (RCE) در پردازه اصلی (دسترسی SYSTEM) ۲ تا ۱۰ میلیون تومان
اجرای کد از راه دور (RCE) در پردازه رابط کاربری (دسترسی پایین) ۱ تا ۵ میلیون تومان
افزایش سطح دسترسی محلی (LPE) ۱ تا ۵ میلیون تومان
از کار انداختن محصول با کاربر غیر ادمین ۰.۵ تا ۱ میلیون تومان
 
  • تعیین مبلغ با توجه به امتیازی که آسیب‌پذیری در استاندارد CVSSv3 کسب می‌کند تعیین می‌شود.
  • به گزارش‌های با جزئیات کامل و دقیق فنی و شامل سورس کد PoC شفاف مبلغ بالاتری تعلق می‌گیرد.
  • گزارش‌های مربوط به تشخیص بدافزار جدید یا مواردی که از طریق امضا یا آنپکر جدید و مانند آن قابل رفع هستند شامل این برنامه نمی‌شوند.

مراحل اجرایی

۱- گزارش باگ به bug@amnpardaz.com توسط شرکت‌کننده مطابق فرمت گزارش قید شده در این برنامه

۲- باگ توسط تیم امنیت پادویش بررسی و در صورت نیاز به اطلاعات بیشتر درخواست می‌شود.

۳- تایید باگ توسط تیم امنیت پادویش و اطلاع به شرکت‌کننده ظرف سه روز کاری

۴- رفع باگ و انتشار وصله - تا زمانیکه وصله مربوطه در تمامی محصولات مرتبط منتشر و در دسترس کاربران قرار گیرد نباید آسیب‌پذیری به هیچ طریقی افشا شود. با توجه به اینکه همه کاربران بلافاصله ضدویروس خود را آپدیت نمی‌کنند باید زمانی برای انتشار کامل وصله در نظر گرفته شود تا کاربران آسیبی نبینند. ضمن اینکه خود رفع برخی موارد ممکن است زمانبر بوده یا ملاحظاتی داشته باشد که توسط تیم امنیت پادویش تصمیم‌گیری شده و به اطلاع شرکت‌کننده می‌رسد.

۵- پس از انتشار وصله و گذشت مدت معقولی از آن، با دریافت مجوز کتبی از تیم امنیت پادویش امکان انتشار جزئیات فنی وجود دارد. کد اکسپلویت اجازه انتشار نخواهد داشت.

۶- در صورت تمایل شرکت‌کننده، نام وی به عنوان گزارش‌دهنده آسیب‌پذیری از طرف تیم پادویش اعلام می‌شود.

فرمت ارسال گزارش

جهت ارتباط صحیح لازم است در گزارش‌های ارسالی موارد زیر قید شده باشد:

  • نام گزارش‌دهنده
  • نوع باگ با توجه به جدول جزئیات برنامه شکار باگ
  • نام محصول و شماره نسخه تست شده، به همراه سیستم عامل
  • برنامه PoC ویا گام‌های دقیق بازتولید و مشاهده باگ
  • آیا تمایل به اعلام نام‌تان به عنوان گزارش‌دهنده باگ دارید یا خیر (در صورت تمایل می‌توانید نام مستعار استفاده نمایید)

الزامات شرکت در برنامه

  • جهت شرکت در برنامه گزارش‌ها (مطابق فرمت یاد شده) باید منحصرا به bug@amnpardaz.com ارسال شوند.
  • گزارش ارسالی باید شامل یک کد PoC یا حداقل مراحل دقیق اجرای آسیب‌پذیری باشد، به نحوی که این مراحل به سادگی روی محصولی که نصب شده است قابل اجرا و تست باشد.
  • باگ به صورت مسئولانه (Responsible Disclosure) گزارش شده باشد. در صورتیکه اطلاعاتی درباره باگ، با یا بدون جزئیات به شخص یا اشخاص ثالثی ارائه شده باشد شامل این برنامه نخواهد بود. همچنین در هنگام پرداخت طرفین باید تعهدنامه‌ای برای منع افشای اطلاعات مربوط به باگ امضا نمایند.
  • کارمندان و اعضای تیم پادویش و فامیل درجه یک آنها از این برنامه مستثنی هستند.

موارد خارج از برنامه جایزه شکار باگ

تیم امنیت پادویش آماده دریافت هرگونه گزارش درباره امنیت سایر سامانه‌ها و محصولات شرکت نرم‌افزاری امن‌پرداز از جمله سامانه‌های پشت صحنه مانند وب‌سایت، سرورها و ... نیز می‌باشد. متخصصین و علاقمندان می‌توانند گزارش‌های مرتبط خود را (خارج از برنامه شکار باگ) از طرق زیر اعلام نمایند:
  • ایمیل virus@amnpardaz.com - ارتباط مستقیم با آزمایشگاه بدافزار، جهت ارسال نمونه‌های جدید بدافزار یا درخواست بررسی تشخیص
  • ایمیل support@amnpardaz.com - ارتباط با پشتیبانی پادویش، جهت اعلام هرگونه ایرادات خارج از برنامه شکار باگ در تمامی محصولات پادویش یا سامانه‌های پشت‌صحنه (وب‌سایت، سرورها و ...)
  لازم به ذکر است که این موارد شامل این برنامه نخواهند بود.