neprihlásený Piatok, 17. augusta 2018, dnes má meniny Milica   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Za chyby v Tor Browseri ponúkané odmeny v stotisícoch

Značky: Torbezpečnosť

DSL.sk, 13.9.2017


Bezpečnostná spoločnosť Zerodium, ktorá sa špecializuje na získavanie nových zatiaľ neznámych bezpečnostných chýb v softvéri a ich predaj vládam aj súkromným firmám, dnes spustila nový program odmien zameraný na Tor Browser, prehliadač distribuovaný ako štandardný prehliadač na browsovanie cez anonymizačnú sieť Tor.

Program je na rozdiel od štandardného odkupovania chýb spoločnosťou Zerodium v štandardnejších produktoch zatiaľ časovo a finančne obmedzený, do konca novembra alebo do vyplatenia milióna dolárov.

Bezpečnostným expertom za informácie o jednej prípadne viacerých nových doteraz neznámych chybách spolu s funkčným exploitom, ktoré umožnia spustiť na počítači užívateľa po navštívení podvrhnutej stránky zvolený kód s najvyššími oprávneniami, ponúka odmenu 250 tisíc dolárov.

Takáto odmena platí, ak je exploit účinný pri zablokovanom JavaScripte a na užívateľov používajúcich Windows 10 aj na užívateľov Tails 3.x.

Ak nie sú splnené všetky podmienky, odmena je menšia. Napríklad ak je exploit účinný iba na jednom z týchto operačných systémov dosahuje odmena 200 tisíc. Ak je funkčný na jednom operačnom systéme, vyžaduje zapnutý JavaScript a kód sa dá spustiť len s oprávneniami bežného užívateľa, odmena dosahuje 75 tisíc.




Štandardné dlhodobé odmeny za nájdenie zraniteľností v softvéri pre PC a servery (hore) a mobilné zariadenia, kliknite pre zväčšenie (tabuľky: Zerodium)



Vypísanie odmien spoločnosťou Zerodium zrejme znamená, že po týchto zraniteľnostiach je aktuálne dopyt. Je všeobecne známe, že takéto zraniteľnosti sa snažia používať napríklad orgány činné v trestnom konaní na identikáciu a vypátranie záujmových osôb využívajúcich Tor.

Tor Browser je prehliadač vyvíjaný tvorcami aj klienta samotnej siete Tor, poskytujúcej anonymizáciu ale tiež ochranu súkromia. Tor Browser vychádza z Firefoxu, sú v ňom doinštalované ale rozličné rozšírenia a uskutočnené viaceré zmeny v konfigurácii aj kóde s cieľom maximalizovať ochranu súkromia. V štandardnom nastavení je v súčasnosti JavaScript povolený.

Výzva Zerodium sa nezameriava na samotnú sieť Tor a naopak ak k dosiahnutiu cieľa prípadne príde narušením činnosti siete Tor, na takéto zraniteľnosti sa odmeny vôbec nevzťahujú.

Práve pre možnosť zraniteľností v prehliadačoch respektíve Tor Browseri sú k dispozícii aj technické riešenia, ktoré súkromie užívateľov ochránia aj napriek tomu. Ide o linuxové operačné systémy Tails a Whonix, pričom na prvý z nich sa zameriava aj výzva Zerodium.

Oba dovoľujú externú komunikáciu počítača len cez sieť Tor. Ak je tak aj zneužitá chyba vo webovom prehliadači, IP adresa užívateľa štandardne nie je prezradená. Ak ale útočník v Tails získa aj root oprávnenia, dokáže samozrejme zistiť čokoľvek čo je na danom počítači zistiteľné.

Ďalej v tomto koncepte zachádza Whonix, ktorý sa skladá z klientského OS a brány bežiacich na dvoch počítačoch alebo v dvoch VM. V jeho prípade ani obídenie všetkých ochrán a získanie root oprávnení na klientskom počítači nevyústi do prezradenia IP adresy užívateľa.

Podobnú funkciu ako Whonix plnia aj rozličné routery poskytujúce možnosť všetku internetovú komunikáciu smerovať cez sieť Tor. Tieto majú podobnú odolnosť proti popísaným útokom, pri ich využívaní s bežným webovým prehliadačom ale nie je k dispozícii napríklad izolácia streamov podľa jednotlivých kariet v prehliadači.

Kompletné podmienky pre odmeny za zraniteľnosti nájdené v Tor Browseri je možné nájsť na zerodium.com/tor.html.


      Zdieľaj na Twitteri



Najnovšie články:

Chaos satelitnej Orange TV s videokódekmi, H.264 prijímač nestačí
Na prelome rokov prvé pristátie na odvrátenej strane Mesiaca
Významná distribúcia Debian oslavuje 25 rokov
V susednom Česku veľmi vysoká používanosť HbbTV, u nás nízka
ARM naznačuje, že v notebookoch čoskoro dobehne a predbehne Intel
Cena iPhonu by sa mohla podľa predpovede vyšplhať až k 2 tisíckam
Predstavený ďalší 5G mobilný modem
Chrome začína načítavať stránky iba čiastočne, mal by byť rýchlejší
Intel potvrdzuje samostatnú GPU v 2020, ukázal ju na videu
Android 9 v Go verzii pre najslabšie telefóny bude menší a rýchlejší


Diskusia:
                               
 

"Užitoční idioti prihláste sa

-Vaše Zerodium"
Odpovedať Známka: 6.3 Hodnotiť:
 

Nice try NSA
Odpovedať Známka: 9.1 Hodnotiť:
 

Čo robia amíci na dsl.sk?
Odpovedať Známka: 6.9 Hodnotiť:
 

Pokial si v moznost bezplatneho vzdelania garantujucom state zvoli "Bezpečnostná spoločnosť" za primarnu oblast podnikania predmetnu cinnost, niet pochyb.
Odpovedať Známka: -5.0 Hodnotiť:
 

Sleduju Janku, nie ? :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Inštalujú Arch aby potom mohli cez Tor Browser tajne sledovať Janku Hospodárovú, vo veľkom kancli si z PDA cez Wifi vytláčať jej fotku a posielať jej anonymne kvety.
Odpovedať Známka: 10.0 Hodnotiť:
 

install arch
Odpovedať Známka: 0.0 Hodnotiť:
 

install qubes
Odpovedať Známka: 5.0 Hodnotiť:
 

Pre rovnaky vysledok pouzivatelia moderneho hardveru staci ked cez wifi daju zopar raz tlacit "Unsupported hardware" a potom uz staci dojst po hotovy papier.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár