Forskere er ikke opmuntret til at finde zero-day fejl i Tor Browser. Et nyt program er lanceret af Zerodium, den berygtede privat udnytte forhandler, der er lovende belønninger på op til 1$ millioner. Alt en forsker har at gøre, er at afsløre en hidtil ukendt fejl til browseren på Windows og Tails Linux-distribution, og rapportere det før til november 30, 2017.
Forskere er villige til at bidrage til programmet bør også bemærke, at hvis virksomheden får, hvad den vil, før den givne frist, programmet kan være tættere tidligere.
“Med det øgede antal (og effektivitet) af udnytte afhjælpninger på moderne systemer, udnytter browser sårbarheder bliver sværere hver dag, men stadig, motiverede forskere er altid i stand til at udvikle nye browser exploits på trods af kompleksiteten af opgaven, takket være deres færdigheder og lidt af scripting sprog som JavaScript,” Zerodium udtalte for nylig.
Zerodium forretningsorden at kvalificere sig til Bug Bounty Program
For dem er villige til at deltage, der er visse regler, der skal overvejes. Først og fremmest, forskningen skal stole på eksklusiv, ukendte urapporteret og upublicerede zero-day exploits. Det bør også være i stand til at omgå alle udnytte afhjælpninger egnede til hvert mål kategori, Zerodium forklarer.
Den indledende angreb vektor skal være en webside rettet mod de nyeste versioner af Tor Browser, både stabil og eksperimentel. Specifikationen her er, at konfigurationen bør være ikke-standard eller hærdede, med JavaScript blokeret for alle websteder. Standardkonfiguration kan også anvendes.
Det udnytter pågældende skulle være fuldt funktionsdygtig og pålidelig, og linker til fjernkode af operativsystemet, enten med privilegier som den aktuelle bruger eller med ubegrænset root / SYSTEM privilegier. Det er ikke alt. Hele processen med udvinding bør udføres i en tavs måde, hvor ingen besked eller popup udløses. skulle ikke være nødvendigt brugerinteraktion undtagen besøger en webside.
Angrebsvektorer afhængige af at åbne et dokument, er ikke berettiget. Zerodium, dog, kan gøre en særskilt tilbud for sådan en udnytte. Endelig, udnyttelser, der forårsager afbrydelse af Tor-netværket er ikke acceptable, samt exploits kræver manipulation af Tor knudepunkter.
Hvorfor lancere denne bug dusør? For at hjælpe regeringen.
“Vi har lanceret denne specielle dusør for Tor Browser nul-dage for at hjælpe vores offentlige kunder bekæmpe kriminalitet og gøre verden til et bedre og mere sikkert sted for alle,” Zerodium siger.
Interessant, tilbage i juli i år, Tor indledt sin egen bug bounty program til at forhindre, at identiteten af Tor anvendt fra at blive afsløret.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: