При поддержке Open Technology Fund проект Tor запускает открытую для всех программу вознаграждений HackerOne, чтоб искать баги в браузере и сетевом демоне Tor.
Проект Tor в своём официальном блоге объявил: «Мы заплатим вам за #HackTor». Дело в том, что разработчики Tor Project ещё с 2015 года планировали запуск публичной программы вознаграждения за поиск уязвимостей, но сделать это удалось только сейчас при поддержке Open Technology Fund — они запустили открытую для всех программу вознаграждений на платформе HackerOne. Искать баги предлагается в Tor-браузере и сетевом демоне Tor. К рассмотрению принимаются уязвимости, допускающие эскалацию привилегий, удаленное исполнение произвольного кода, неавторизованный доступ к пользовательским данным, а также информация о методиках атак, с помощью которых можно извлекать зашифрованные данные с узлов и клиентов.
«Миллионы людей во всем мире зависят от Tor, — пишут разработчики, — ежедневно просматривая Интернет и не беспокоясь о своей безопасности, поэтому именно вопрос вашей защиты имеет решающее значение. Ошибки в нашем коде представляют собой одну из самых больших угроз безопасности наших пользователей — они позволяют опытным злоумышленникам обходить защиту Tor и компрометировать безопасность его пользователей.
Мы постоянно ищем недостатки в нашем программном обеспечении, и нам посчастливилось иметь с большим сообществом хакеров, которые помогают нам выявлять и исправлять серьезные проблемы на раннем этапе, но мы думаем, что мы можем сделать еще больше для защиты наших пользователей. Вот почему, если вы можете принять участие в программе #HackTor, чтоб заняться розыском ошибок в нашем программном обеспечении, мы будем готовы вас за это вознаградить».
В зависимости от серьезности найденной проблемы Tor Project готов выплачивать исследователям от 100 до 4000 долларов. Так, высокоопасные баги оцениваются в 2000-4000 долларов, на уязвимостях средней степени опасности можно заработать 500-2000 долларов, а за обнаружение совсем мелких проблем можно получить 100 или вообще остаться без денежного приза, но получить в подарок футболку, стикеры и место в Зале Славы Tor.
Также будут оплачены и баги, обнаруженные в сторонних библиотеках, которые использует Tor (если библиотеки не участвуют в других bug bounty инициативах, таких как IBB). За такие уязвимости можно получить от 500 до 2000 долларов. Разработчики отдельно подчеркивают, что на OpenSSL программа не распространяется.
Читайте также:
Facebook делает свою соцсеть в Tor более дружелюбной
?
Tor Project представил альтернативные способы установки своего браузера в странах с интернет-цензурой
?
Wikipedia может открыть своё представительство в Tor
?
Рутрекер разработал средство для обхода блокировок анонсеров и открыл представительство в Tor и I2P
?
Система доставки с использованием Tor и blockchain создана в Канаде
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.