The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

14.09.2017 10:33  Zerodium готов выплатить миллион долларов за 0-day уязвимости в Tor Browser

Компания Zerodium объявила о запуске инициативы по выплате вознаграждений за выявление ранее неизвестных критических уязвимостей в Tor Browser, проявляющихся в окружении Tails Linux или Windows. Общий размер предоставляемых в рамках инициативы премий составляет миллион долларов США.

Например, за демонстрацию эксплоита, который позволяет выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript, и 85 тысяч долларов при включенном JavaScript. Если дополнительно продемонстрирована техника повышения привилегий до пользователя root, размер премии увеличивается до 250 и 125 тысяч долларов, соответственно.

В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом. Т.е. выявленные уязвимости будут использоваться спецслужбами для организации деанонимизации пользователей Tor Browser. Следует отметить, что Zerodium недавно представил похожую инициативу с фондом 500 тысяч долларов для поиска 0-day уязвимостей в Signal, WhatsApp, Telegram, Viber, iMessage, Facebook Messenger и WeChat. В программу выплаты вознаграждений также входят nginx, apache httpd, dovecot, postfix, sendmail, OpenSSL, WordPress, Joomla, Drupal, Thunderbird, Firefox, Chrome и многие другие открытые проекты.

  1. Главная ссылка к новости (https://zerodium.com/tor.html...)
  2. OpenNews: Обновление web-браузера Tor Browser 7.0.4
  3. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
  4. OpenNews: Выпуск web-браузера Tor Browser 7.0
  5. OpenNews: Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Browser
  6. OpenNews: Обновление Tor Browser 6.0.7 и Firefox 50.0.2 с устранением 0-day уязвимости
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:12, 14/09/2017 [ответить] [смотреть все]
  • +2 +/
    Верю ... весь текст скрыт [показать]
     
     
  • 2.32, Аноним, 14:36, 15/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    CSS эксплоиты!
     
  • 1.2, proud_anon, 11:13, 14/09/2017 [ответить] [смотреть все]  
  • –11 +/
    cybersecurity veterans не осилили сорцы бяда-бяда Однако, остается открыты... весь текст скрыт [показать]
     
     
  • 2.4, Аноним, 12:29, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    т.е. ты считаешь, что чтобы найти уязвимость достаточно уметь читать сорцы?
     
     
  • 3.9, Аноним, 13:36, 14/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    ну если вголове идеальная машина Тюринга...
     
     
  • 4.25, angra, 23:10, 14/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Идеальная машина Тьюринга работает с бесконечной лентой Содержимое головы конеч... весь текст скрыт [показать]
     
     
  • 5.26, Физик теоретик, 23:21, 14/09/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    > так как сама вселенная тоже конечна

    Позвольте с вами не согласиться.

     
  • 2.20, Аноним, 18:43, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Очевидно же - саму zerodium ломанут и получат все остальные эксплоиты беплатно ... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, Аноним, 22:18, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Лучше сказать, не сочтут, а ОБЪЯВЯТ Что они там считают на самом деле, трудно у... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 11:13, 14/09/2017 [ответить] [смотреть все]  
  • +4 +/
    security-фирма Zerodium, которая специализируется на покупке эксплойтов у se... весь текст скрыт [показать]
     
  • 1.5, Аноним, 12:42, 14/09/2017 [ответить] [смотреть все]  
  • +/
    кто-то хату нормальную себе купит...
     
  • 1.6, RobotsCantPoop, 13:02, 14/09/2017 [ответить] [смотреть все]  
  • +9 +/
    А тем кто вычислит откуда у Zerodium лям бачей вылатят два ляма?
     
     
  • 2.8, Аноним, 13:21, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    И отправят отдыхать на кубинский остров, в столь всем полюбившееся заведение
     
  • 1.7, бедный буратино, 13:06, 14/09/2017 [ответить] [смотреть все]  
  • +3 +/
    способ 1-й - найти уже имеющуюся уязвимость

    способ 2-й - закоммититить уязвимость так, чтобы никто не заметил

     
     
  • 2.37, нах, 09:13, 18/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    за эти деньги закоммитить ты сможешь только дешевую, к тому же да они охренел... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Мадара, 13:56, 14/09/2017 [ответить] [смотреть все]  
  • +1 +/
    Молодцы, тонко действуют. Объявили охоту на общественно значимый опенсорсный код во благо американской демократии.
     
     
  • 2.29, Аноним, 04:06, 15/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее всего Zerodium - это headhunter ы американской демократии, которые ищют д... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Admino, 14:03, 14/09/2017 [ответить] [смотреть все]  
  • +/
    А смысл. Ведь после публикации уязвимости её, естественно, закроют. А кто помешает White hat опубликовать эту уязвимость после получения денег? Да никто. Странно.
     
     
  • 2.12, Мадара, 14:08, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    грузовик
     
  • 2.13, Zarat, 14:23, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну так там наверняка условия получения денег деанонимизация и подпись NDA Анон... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Admino, 00:00, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    NDA-то она NDA, но если кто-то другой найдёт эту же уязвимость, то что И с юрис... весь текст скрыт [показать]
     
  • 3.36, нах, 09:11, 18/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ага, платить они собираются wire transfer написано что да Северокорейцам и нам... весь текст скрыт [показать]
     
  • 2.14, Аноним, 14:30, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Человек который найдёт вредный код и продаст его должен будет подписать договор ... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, dr Equivalent, 15:17, 14/09/2017 [ответить] [смотреть все]  
  • –1 +/
    > В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом.

    Классика.

     
  • 1.21, Анотоним, 19:05, 14/09/2017 [ответить] [смотреть все]  
  • +/
    Будет как в прошлый раз "это не уязвимость а фича"?
     
     
  • 2.22, Карычъ, 19:41, 14/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пруфлинк про "прошлый раз"?
     
     
  • 3.30, Аноним, 04:37, 15/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    https www macworld com article 3225110 hardware iphone-x-face-id-fail-a-featur... весь текст скрыт [показать]
     
  • 1.24, Аноним, 22:56, 14/09/2017 [ответить] [смотреть все]  
  • –1 +/
    За 85k в хорошем случае за 250k на всю оставшуюся жизнь остаться под колпако... весь текст скрыт [показать]
     
     
  • 2.28, Anonimous, 02:01, 15/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Думаешь стоит рискнуть?
     
  • 2.31, Zarat, 06:47, 15/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вполне возможно, что устроят хорошо Как Мыщха Только, чтобы не закончить как о... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, пох, 16:33, 18/09/2017 [^] [ответить] [смотреть все]  
  • +/
    не понял, а если спиды нельзя, с этими не кури, сюда не ходи, то чо хорошего в э... весь текст скрыт [показать]
     
     
  • 4.44, Zarat, 22:07, 21/09/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > не понял, а если спиды нельзя, с этими не кури, сюда не
    > ходи, то чо хорошего в этом трудоустройстве?

    Так, в том то и дело, что спиды можно (если тихо, ведь никто сильно искать не будет), но под спидами, или под маниакальной фазой БАР, спидами вызванной, ну уж очень хочется рискованно полетать. И кто тогда вам лекарь?
    > спиды нельзя, с этими не кури, сюда не ходи,

    это больше про здесь, а не там. И к этому уже привычно. А получив свободу, можно не знать, где кроется опасность

     
  • 1.33, Lolwat, 22:13, 16/09/2017 [ответить] [смотреть все]  
  • +/
    Во первых они не выплатят всю сумму сразу, там хитрости свои, выплата растянута на 5-10 лет, в случае если уязвимость опубликована в течение этого времени то они имею право остановить выплаты. Второе, ты должен полностью документировать  все и переслать им, а они решат будут ли вообще платить или нет, то есть, если захотят то могут и кинуть всех.
     
     
  • 2.34, Lolwat, 22:16, 16/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А ну и в 3х, они по сути барыги, найденые уязвимости могут перепродать кому угодно: NSA, CIA, России, Китайцам, да хоть google если заплатят.
     
  • 2.35, нах, 09:04, 18/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Во первых они не выплатят всю сумму сразу, там хитрости свои,
    > выплата растянута на 5-10 лет,

    упс... расходимся, пацаны - не выиграл, а проиграл, не лям, а всего 85 тыщ за наиболее вероятную уязвимость (что может и несколько выше yrly salary приличного специалиста, но не в разы), а теперь еще и выясняется - что в течении десяти лет и если очсень повезет и никто другой не найдет? Да я сдавая хакнутых лохов поштучно тов.майору подниму больше, и беспалева, в отличие от этих.

    какие-то они феерично тупые и жадные, и да - "we only acquire vulnerabilities proven to be exploitable i.e. accompanied by a fully functional exploit". То есть сами написать и быстренько проверить они не умеют, все разжевать и в ротик положить - такие вот cybersecurity veterans.

    veteran scriptkiddies.

     
     
  • 3.39, Lolwat, 18:15, 18/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Про 10 лет я соврал, на самом деле от 12 месяцев до 3х лет
     
     
  • 4.40, Аноним, 18:34, 18/09/2017 [^] [ответить] [смотреть все]  
  • +/
    На самом деле важно другое - существует вариант кидка, а это пообиднее долгосро... весь текст скрыт [показать]
     
     
  • 5.42, нах, 21:00, 18/09/2017 [^] [ответить] [смотреть все]  
  • +/
    > На самом деле важно другое - существует вариант кидка

    э... в смысле, купить билет и не поехать?
    Автор эксплойта всегда может их кинуть, просто разгласив уязвимость (и претензии хрен предъявишь), соответственно, сделав ее для них бесполезной. Поэтому не заплатить они не могут - если, конечно, оный эксплойт им нужен.

    но это, оказывается, лотерея, а не big bounty - мало найти, надо чтоб еще никто другой не нашел через месяц то же самое. (даже 12 месяцев - за которые, опять же, можно с доверчивых лохов чего натрясти и самому)

    > И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?

    за $85000 сравнительно легальных денег, разумеется.

     
  • 1.41, Аноним, 18:37, 18/09/2017 [ответить] [смотреть все]  
  • +/
    Попахивает вбросом, как со Skype началась компания слухов о взломе Не можешь по... весь текст скрыт [показать]
     
     
  • 2.43, нах, 21:04, 18/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Госструктурам дешевле будет физически
    > пообщаться с персонажем, который попал в поле зрения,

    не все ж такие лохи, как Шалтай, надеющиеся на ФСБшную крышу - с некоторыми пообщаться может не получиться.

    А вот деанонимизировать при помощи эксплойтов - вполне могут. И дальше уже перейдут к физическому общению.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor