Los investigadores no se les anima a encontrar defectos de día cero en el Tor Browser. Un nuevo programa se puso en marcha por Zerodium, la infame explotación privada distribuidor, que está prometiendo recompensas de hasta 1$ millones. Todo lo que un investigador tiene que hacer es dar a conocer una falla previamente desconocida para el navegador en la distribución de Windows y Linux colas, e informar de ello antes de noviembre 30, 2017.
Los investigadores que deseen contribuir a el programa También deben tener en cuenta que si la empresa consigue lo que quiere antes del plazo indicado, el programa podría estar más cerca antes.
“Con el aumento del número (y la eficacia) de explotar mitigaciones en los sistemas modernos, explotando las vulnerabilidades del navegador es cada vez más difícil cada día, pero todavía, investigadores motivados siempre son capaces de desarrollar nuevas vulnerabilidades del navegador a pesar de la complejidad de la tarea, gracias a sus habilidades y un poco de lenguajes de scripting como JavaScript,” Zerodium declaró recientemente.
Reglas de Zerodium para calificar para el programa de recompensas de errores
Para aquellos que estén dispuestos a participar, hay ciertas reglas que deben ser considerados. Primero y ante todo, La investigación debe basarse en exclusiva, desconocidos hazañas no declarada y no publicados de día cero. También debe ser capaz de eludir todas las medidas de mitigación adecuadas para explotar cada categoría objetivo, Zerodium explica.
El vector de ataque inicial debe ser una página web dirigida a las últimas versiones de Tor Browser, tanto estable y experimental. La especificación aquí es que la configuración debe ser no predeterminada o endurecido, con JavaScript bloqueado para todos los sitios web. La configuración por defecto también se puede usar.
La vulnerabilidad en cuestión debe ser completamente funcional y fiable, y la vinculación a la ejecución remota de código en el sistema operativo, ya sea con los privilegios del usuario actual o con la raíz de privilegios sin restricciones / SISTEMA. Eso no es todo. Todo el proceso de explotación debe llevarse a cabo de una manera silenciosa, donde se desencadena ningún mensaje o emergente. Sin interacción del usuario debe ser necesario, excepto visitar una página web.
vectores de ataque que dependen de la apertura de un documento no son elegibles. Zerodium, sin embargo, puede hacer una oferta distinta para tal un exploit. Por último, exploits que causan la interrupción de la red Tor no son aceptables, así como exploits que requieren manipulación de nodos Tor.
¿Por qué el lanzamiento de este recompensas de errores? Para ayudar al gobierno.
“Hemos puesto en marcha esta recompensa especial para Tor Browser cero días para ayudar a nuestros clientes gubernamentales luchar contra la delincuencia y hacer del mundo un lugar mejor y más seguro para todos,” Zerodium dice.
Curiosamente, en julio de este año, Tor inició su propio programa de recompensas de errores para evitar que la identidad de Tor utilizado de ser revelado.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: