Os pesquisadores não são encorajados a encontrar falhas de dia zero no navegador Tor. Um novo programa é lançado por Zerodium, o infame revendedor de exploit privado, que promete recompensas de até 1$ milhão. Tudo o que um pesquisador precisa fazer é divulgar uma falha anteriormente desconhecida para o navegador na distribuição Windows e Tails Linux, e denunciá-lo antes de novembro 30, 2017.
Pesquisadores dispostos a contribuir para o programa deve-se observar também que se a empresa conseguir o que deseja antes do prazo determinado, o programa pode estar mais perto mais cedo.
“Com o aumento do número (e eficácia) de mitigações de exploits em sistemas modernos, explorar vulnerabilidades do navegador está se tornando mais difícil a cada dia, mas ainda, pesquisadores motivados são sempre capazes de desenvolver novas explorações do navegador, apesar da complexidade da tarefa, graças às suas habilidades e um pouco de linguagens de script como JavaScript,” Zerodium afirmou recentemente.
Regras da Zerodium para se qualificar para o programa Bug Bounty
Para quem quiser participar, existem certas regras a serem consideradas. Em primeiro lugar, a pesquisa deve contar com exclusividade, explorações de dia zero desconhecidas não relatadas e não publicadas. Também deve ser capaz de contornar todas as mitigações de exploração adequadas para cada categoria de destino, Zerodium explica.
O vetor de ataque inicial deve ser uma página da web visando as versões mais recentes do navegador Tor, estável e experimental. A especificação aqui é que a configuração deve ser não padrão ou reforçada, com JavaScript bloqueado para todos os sites. A configuração padrão também pode ser usada.
A exploração em questão deve ser totalmente funcional e confiável, e vinculação à execução remota de código no sistema operacional, com privilégios do usuário atual ou com privilégios de root/SYSTEM irrestritos. Isso não é tudo. Todo o processo de exploração deve ser realizado de forma silenciosa, onde nenhuma mensagem ou pop-up é acionado. Nenhuma interação do usuário deve ser necessária, exceto visitar uma página da web.
Os vetores de ataque que dependem da abertura de um documento não são elegíveis. Zerodium, Contudo, pode fazer uma oferta distinta para tal exploração. por fim, explorações que causam interrupção da rede Tor não são aceitáveis, bem como explorações que exigem manipulação de nós Tor.
Por que lançar esta recompensa de bugs? Para ajudar o governo.
“Lançamos esta recompensa especial para os dias zero do Navegador Tor para ajudar nossos clientes governamentais a combater o crime e tornar o mundo um lugar melhor e mais seguro para todos,” Zerodium diz.
Curiosamente, em julho deste ano, Tor iniciou seu próprio programa de recompensas de bugs para evitar que a identidade do Tor fosse usada de ser revelado.