Les chercheurs ne sont pas encouragés à trouver des failles zero-day dans le navigateur Tor. Un nouveau programme est lancé par Zerodium, l'exploit privé tristement célèbre revendeur, ce qui est prometteur récompenses jusqu'à 1$ million. Tout chercheur doit faire est de révéler une faille jusqu'alors inconnue pour le navigateur de la distribution Windows et Linux Tails, et en faire rapport avant Novembre 30, 2017.
Les chercheurs désireux de contribuer à le programme Il faut aussi noter que si l'entreprise obtient ce qu'il veut avant la date limite donnée, le programme pourrait être plus tôt.
“Avec l'augmentation du nombre (et l'efficacité) d'exploiter atténuations sur les systèmes modernes, en exploitant les vulnérabilités du navigateur est de plus en plus difficile chaque jour, mais toujours, les chercheurs motivés sont toujours en mesure de développer de nouveaux exploits de navigateur en dépit de la complexité de la tâche, grâce à leurs compétences et un peu de langages de script tels que JavaScript,” Zerodium a déclaré récemment.
Règles pour se qualifier pour le programme Bug Bounty de Zerodium
Pour ceux qui sont prêts à participer, il y a certaines règles à considérer. Tout d'abord, la recherche doit reposer sur exclusive, inconnus et inédits non déclarés exploits zero-day. Il devrait également être en mesure de contourner tous les exploiter atténuations adaptés à chaque catégorie cible, Zerodium explique.
Le vecteur d'attaque initiale doit être une page Web ciblant les dernières versions de Tor Browser, à la fois stable et expérimentale. La spécification est que la configuration doit être non-durci ou par défaut, avec JavaScript bloqué pour tous les sites. La configuration par défaut peut également être utilisé.
L'exploit question devrait être pleinement fonctionnel et fiable, et la liaison à l'exécution de code à distance sur le système d'exploitation, soit avec les privilèges de l'utilisateur actuel ou avec les privilèges root / SYSTEM sans restriction. Ce n'est pas tout. L'ensemble du processus d'exploitation devrait être effectuée de manière silencieuse, où aucun message ou contextuel est déclenché. Aucune interaction utilisateur ne devrait être nécessaire, sauf visiter une page web.
vecteurs d'attaque reposant sur l'ouverture d'un document ne sont pas admissibles. Zerodium, cependant, peut faire une offre distincte pour un tel exploit. Enfin, exploits qui causent des perturbations du réseau Tor ne sont pas acceptables, ainsi que des exploits nécessitant la manipulation de noeuds Tor.
Pourquoi le lancement de cette prime de bug? Pour aider le gouvernement.
“Nous avons lancé cette prime spéciale pour le navigateur Tor pour aider nos clients gouvernementaux zéro jours lutte contre la criminalité et rendre le monde meilleur et plus sûr pour tous,” Zerodium dit.
Intéressant, en Juillet cette année, Tor a lancé son propre programme de primes de bug pour empêcher l'identité de Tor utilisé d'être révélé.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: