Tor Project заплатит хакерам $4000 за найденные в его сервисах ошибки
21 июля 2017 года
Проект Tor в своём официальном блоге объявил: «Мы заплатим вам за #HackTor». Дело в том, что разработчики Tor Project ещё с 2015 года планировали запуск публичной программы вознаграждения за поиск уязвимостей, но сделать это удалось только сейчас при поддержке Open Technology Fund — они запустили открытую для всех программу вознаграждений на платформе HackerOne. Искать баги предлагается в Tor-браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.
«Миллионы людей во всем мире зависят от Tor, — пишут разработчики, — ежедневно просматривая Интернет и не беспокоясь о своей безопасности, поэтому именно вопрос вашей защиты имеет решающее значение. Ошибки в нашем коде представляют собой одну из самых больших угроз безопасности наших пользователей — они позволяют опытным злоумышленникам обходить защиту Tor и компрометировать безопасность его пользователей.
Мы постоянно ищем недостатки в нашем программном обеспечении, и нам посчастливилось иметь с большим сообществом хакеров, которые помогают нам выявлять и исправлять серьезные проблемы на раннем этапе, но мы думаем, что мы можем сделать еще больше для защиты наших пользователей. Вот почему, если вы можете принять участие в программе #HackTor, чтоб заняться розыском ошибок в нашем программном обеспечении, мы будем готовы вас за это вознаградить».
В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высокоопасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.
Также будут оплачены и баги, обнаруженные в сторонних библиотеках, которые использует Tor (если библиотеки не участвуют в других bug bounty инициативах, таких как IBB). За такие уязвимости можно получить от 500 до 2000 долларов. Разработчики отдельно подчеркивают, что на OpenSSL программа не распространяется...
Читайте также:
Facebook делает свою соцсеть в Tor более дружелюбной
? Tor Project представил альтернативные способы установки своего браузера в странах с интернет-цензурой
? Wikipedia может открыть своё представительство в Tor
? Рутрекер разработал средство для обхода блокировок анонсеров и открыл представительство в Tor и I2P
? Система доставки с использованием Tor и blockchain создана в Канаде.
Источники
[править]Эта статья содержит материалы из статьи «Tor Project заплатит хакерам $4000 за найденные в его сервисах ошибки», опубликованной на сайте Роскомсвободы и распространяющейся на условиях лицензии Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.