neprihlásený Streda, 22. novembra 2017, dnes má meniny Cecília   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Za chyby v Tor Browseri ponúkané odmeny v stotisícoch

Značky: Torbezpečnosť

DSL.sk, 13.9.2017


Bezpečnostná spoločnosť Zerodium, ktorá sa špecializuje na získavanie nových zatiaľ neznámych bezpečnostných chýb v softvéri a ich predaj vládam aj súkromným firmám, dnes spustila nový program odmien zameraný na Tor Browser, prehliadač distribuovaný ako štandardný prehliadač na browsovanie cez anonymizačnú sieť Tor.

Program je na rozdiel od štandardného odkupovania chýb spoločnosťou Zerodium v štandardnejších produktoch zatiaľ časovo a finančne obmedzený, do konca novembra alebo do vyplatenia milióna dolárov.

Bezpečnostným expertom za informácie o jednej prípadne viacerých nových doteraz neznámych chybách spolu s funkčným exploitom, ktoré umožnia spustiť na počítači užívateľa po navštívení podvrhnutej stránky zvolený kód s najvyššími oprávneniami, ponúka odmenu 250 tisíc dolárov.

Takáto odmena platí, ak je exploit účinný pri zablokovanom JavaScripte a na užívateľov používajúcich Windows 10 aj na užívateľov Tails 3.x.

Ak nie sú splnené všetky podmienky, odmena je menšia. Napríklad ak je exploit účinný iba na jednom z týchto operačných systémov dosahuje odmena 200 tisíc. Ak je funkčný na jednom operačnom systéme, vyžaduje zapnutý JavaScript a kód sa dá spustiť len s oprávneniami bežného užívateľa, odmena dosahuje 75 tisíc.




Štandardné dlhodobé odmeny za nájdenie zraniteľností v softvéri pre PC a servery (hore) a mobilné zariadenia, kliknite pre zväčšenie (tabuľky: Zerodium)



Vypísanie odmien spoločnosťou Zerodium zrejme znamená, že po týchto zraniteľnostiach je aktuálne dopyt. Je všeobecne známe, že takéto zraniteľnosti sa snažia používať napríklad orgány činné v trestnom konaní na identikáciu a vypátranie záujmových osôb využívajúcich Tor.

Tor Browser je prehliadač vyvíjaný tvorcami aj klienta samotnej siete Tor, poskytujúcej anonymizáciu ale tiež ochranu súkromia. Tor Browser vychádza z Firefoxu, sú v ňom doinštalované ale rozličné rozšírenia a uskutočnené viaceré zmeny v konfigurácii aj kóde s cieľom maximalizovať ochranu súkromia. V štandardnom nastavení je v súčasnosti JavaScript povolený.

Výzva Zerodium sa nezameriava na samotnú sieť Tor a naopak ak k dosiahnutiu cieľa prípadne príde narušením činnosti siete Tor, na takéto zraniteľnosti sa odmeny vôbec nevzťahujú.

Práve pre možnosť zraniteľností v prehliadačoch respektíve Tor Browseri sú k dispozícii aj technické riešenia, ktoré súkromie užívateľov ochránia aj napriek tomu. Ide o linuxové operačné systémy Tails a Whonix, pričom na prvý z nich sa zameriava aj výzva Zerodium.

Oba dovoľujú externú komunikáciu počítača len cez sieť Tor. Ak je tak aj zneužitá chyba vo webovom prehliadači, IP adresa užívateľa štandardne nie je prezradená. Ak ale útočník v Tails získa aj root oprávnenia, dokáže samozrejme zistiť čokoľvek čo je na danom počítači zistiteľné.

Ďalej v tomto koncepte zachádza Whonix, ktorý sa skladá z klientského OS a brány bežiacich na dvoch počítačoch alebo v dvoch VM. V jeho prípade ani obídenie všetkých ochrán a získanie root oprávnení na klientskom počítači nevyústi do prezradenia IP adresy užívateľa.

Podobnú funkciu ako Whonix plnia aj rozličné routery poskytujúce možnosť všetku internetovú komunikáciu smerovať cez sieť Tor. Tieto majú podobnú odolnosť proti popísaným útokom, pri ich využívaní s bežným webovým prehliadačom ale nie je k dispozícii napríklad izolácia streamov podľa jednotlivých kariet v prehliadači.

Kompletné podmienky pre odmeny za zraniteľnosti nájdené v Tor Browseri je možné nájsť na zerodium.com/tor.html.


      Zdieľaj na Twitteri



Najnovšie články:

Elektronické schránky majú znovu problémy, už týždne
NASA má na Marse problém s kolesami, vyvinula nové lepšie
iPhone bude zrejme podporovať dve SIM
Všetky PC s modernými Intel CPU hacknuteľné, kvôli firmvéru zahrnutého ME procesoru
HBO mal hacknúť Iránec, ktorý pre armádu útočil na nukleárne systémy. Cez loginy zamestnancov
Všetky ilúzie sú preč, Android posiela svoju približnú polohu. Aj s vypnutou lokalizáciou a bez SIM
Prvý objekt z inej hviezdnej sústavy, ktorý tesne minul Zem, vyzerá ako veľké torpédo
Ďalšie spájanie veľkých výrobcov CPU a radičov, Marvell kupuje Cavium
Klon Raspberry Pi Model B za 9 dolárov
O2 chcelo využiť 17.11. Kritizovalo socializmus, pre chybu nasadilo reálnu cenzúru


Diskusia:
                               
 

"Užitoční idioti prihláste sa

-Vaše Zerodium"
Odpovedať Známka: 6.3 Hodnotiť:
 

Nice try NSA
Odpovedať Známka: 9.1 Hodnotiť:
 

Čo robia amíci na dsl.sk?
Odpovedať Známka: 6.9 Hodnotiť:
 

Pokial si v moznost bezplatneho vzdelania garantujucom state zvoli "Bezpečnostná spoločnosť" za primarnu oblast podnikania predmetnu cinnost, niet pochyb.
Odpovedať Známka: -5.0 Hodnotiť:
 

Sleduju Janku, nie ? :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Inštalujú Arch aby potom mohli cez Tor Browser tajne sledovať Janku Hospodárovú, vo veľkom kancli si z PDA cez Wifi vytláčať jej fotku a posielať jej anonymne kvety.
Odpovedať Známka: 10.0 Hodnotiť:
 

install arch
Odpovedať Známka: 0.0 Hodnotiť:
 

install qubes
Odpovedať Známka: 5.0 Hodnotiť:
 

Pre rovnaky vysledok pouzivatelia moderneho hardveru staci ked cez wifi daju zopar raz tlacit "Unsupported hardware" a potom uz staci dojst po hotovy papier.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár