neprihlásený
|
Piatok, 1. novembra 2024, dnes má meniny Denis, Denisa |
|
Za chyby v Tor Browseri ponúkané odmeny v stotisícoch
Značky:
Torbezpečnosť
DSL.sk, 13.9.2017
|
|
Bezpečnostná spoločnosť Zerodium, ktorá sa špecializuje na získavanie nových zatiaľ neznámych bezpečnostných chýb v softvéri a ich predaj vládam aj súkromným firmám, dnes spustila nový program odmien zameraný na Tor Browser, prehliadač distribuovaný ako štandardný prehliadač na browsovanie cez anonymizačnú sieť Tor.
Program je na rozdiel od štandardného odkupovania chýb spoločnosťou Zerodium v štandardnejších produktoch zatiaľ časovo a finančne obmedzený, do konca novembra alebo do vyplatenia milióna dolárov.
Bezpečnostným expertom za informácie o jednej prípadne viacerých nových doteraz neznámych chybách spolu s funkčným exploitom, ktoré umožnia spustiť na počítači užívateľa po navštívení podvrhnutej stránky zvolený kód s najvyššími oprávneniami, ponúka odmenu 250 tisíc dolárov.
Takáto odmena platí, ak je exploit účinný pri zablokovanom JavaScripte a na užívateľov používajúcich Windows 10 aj na užívateľov Tails 3.x.
Ak nie sú splnené všetky podmienky, odmena je menšia. Napríklad ak je exploit účinný iba na jednom z týchto operačných systémov dosahuje odmena 200 tisíc. Ak je funkčný na jednom operačnom systéme, vyžaduje zapnutý JavaScript a kód sa dá spustiť len s oprávneniami bežného užívateľa, odmena dosahuje 75 tisíc.
Štandardné dlhodobé odmeny za nájdenie zraniteľností v softvéri pre PC a servery (hore) a mobilné zariadenia, kliknite pre zväčšenie (tabuľky: Zerodium)
Vypísanie odmien spoločnosťou Zerodium zrejme znamená, že po týchto zraniteľnostiach je aktuálne dopyt. Je všeobecne známe, že takéto zraniteľnosti sa snažia používať napríklad orgány činné v trestnom konaní na identikáciu a vypátranie záujmových osôb využívajúcich Tor.
Tor Browser je prehliadač vyvíjaný tvorcami aj klienta samotnej siete Tor, poskytujúcej anonymizáciu ale tiež ochranu súkromia. Tor Browser vychádza z Firefoxu, sú v ňom doinštalované ale rozličné rozšírenia a uskutočnené viaceré zmeny v konfigurácii aj kóde s cieľom maximalizovať ochranu súkromia. V štandardnom nastavení je v súčasnosti JavaScript povolený.
Výzva Zerodium sa nezameriava na samotnú sieť Tor a naopak ak k dosiahnutiu cieľa prípadne príde narušením činnosti siete Tor, na takéto zraniteľnosti sa odmeny vôbec nevzťahujú.
Práve pre možnosť zraniteľností v prehliadačoch respektíve Tor Browseri sú k dispozícii aj technické riešenia, ktoré súkromie užívateľov ochránia aj napriek tomu. Ide o linuxové operačné systémy Tails a Whonix, pričom na prvý z nich sa zameriava aj výzva Zerodium.
Oba dovoľujú externú komunikáciu počítača len cez sieť Tor. Ak je tak aj zneužitá chyba vo webovom prehliadači, IP adresa užívateľa štandardne nie je prezradená. Ak ale útočník v Tails získa aj root oprávnenia, dokáže samozrejme zistiť čokoľvek čo je na danom počítači zistiteľné.
Ďalej v tomto koncepte zachádza Whonix, ktorý sa skladá z klientského OS a brány bežiacich na dvoch počítačoch alebo v dvoch VM. V jeho prípade ani obídenie všetkých ochrán a získanie root oprávnení na klientskom počítači nevyústi do prezradenia IP adresy užívateľa.
Podobnú funkciu ako Whonix plnia aj rozličné routery poskytujúce možnosť všetku internetovú komunikáciu smerovať cez sieť Tor. Tieto majú podobnú odolnosť proti popísaným útokom, pri ich využívaní s bežným webovým prehliadačom ale nie je k dispozícii napríklad izolácia streamov podľa jednotlivých kariet v prehliadači.
Kompletné podmienky pre odmeny za zraniteľnosti nájdené v Tor Browseri je možné nájsť na zerodium.com/tor.html.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Predajné maliarske náradie.
Od: xyz.
|
Pridané:
13.9.2017 21:27
"Užitoční idioti prihláste sa
-Vaše Zerodium"
|
|
schasdaklsld
Od: martincc
|
Pridané:
13.9.2017 21:41
Nice try NSA
|
|
Re: schasdaklsld
Od: reader
|
Pridané:
14.9.2017 5:21
Čo robia amíci na dsl.sk?
|
|
Re: schasdaklsld
Od: syntaxterrorX XX
|
Pridané:
14.9.2017 8:23
Pokial si v moznost bezplatneho vzdelania garantujucom state zvoli "Bezpečnostná spoločnosť" za primarnu oblast podnikania predmetnu cinnost, niet pochyb.
|
|
Re: schasdaklsld
Od: asfaf
|
Pridané:
14.9.2017 9:25
Sleduju Janku, nie ? :)
|
|
Re: schasdaklsld
Od: xyz.
|
Pridané:
14.9.2017 13:36
Inštalujú Arch aby potom mohli cez Tor Browser tajne sledovať Janku Hospodárovú, vo veľkom kancli si z PDA cez Wifi vytláčať jej fotku a posielať jej anonymne kvety.
|
|
sssss
Od: asffasfas
|
Pridané:
14.9.2017 7:31
install arch
|
|
Re: sssss
Od: martincc
|
Pridané:
14.9.2017 8:27
install qubes
|
|
Re: sssss
Od: syntaxterrorX XX
|
Pridané:
14.9.2017 8:50
Pre rovnaky vysledok pouzivatelia moderneho hardveru staci ked cez wifi daju zopar raz tlacit "Unsupported hardware" a potom uz staci dojst po hotovy papier.
|
Pridať komentár
|
|
|
|