neprihlásený Štvrtok, 21. septembra 2017, dnes má meniny Matúš   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Za chyby v Tor Browseri ponúkané odmeny v stotisícoch

Značky: Torbezpečnosť

DSL.sk, 13.9.2017


Bezpečnostná spoločnosť Zerodium, ktorá sa špecializuje na získavanie nových zatiaľ neznámych bezpečnostných chýb v softvéri a ich predaj vládam aj súkromným firmám, dnes spustila nový program odmien zameraný na Tor Browser, prehliadač distribuovaný ako štandardný prehliadač na browsovanie cez anonymizačnú sieť Tor.

Program je na rozdiel od štandardného odkupovania chýb spoločnosťou Zerodium v štandardnejších produktoch zatiaľ časovo a finančne obmedzený, do konca novembra alebo do vyplatenia milióna dolárov.

Bezpečnostným expertom za informácie o jednej prípadne viacerých nových doteraz neznámych chybách spolu s funkčným exploitom, ktoré umožnia spustiť na počítači užívateľa po navštívení podvrhnutej stránky zvolený kód s najvyššími oprávneniami, ponúka odmenu 250 tisíc dolárov.

Takáto odmena platí, ak je exploit účinný pri zablokovanom JavaScripte a na užívateľov používajúcich Windows 10 aj na užívateľov Tails 3.x.

Ak nie sú splnené všetky podmienky, odmena je menšia. Napríklad ak je exploit účinný iba na jednom z týchto operačných systémov dosahuje odmena 200 tisíc. Ak je funkčný na jednom operačnom systéme, vyžaduje zapnutý JavaScript a kód sa dá spustiť len s oprávneniami bežného užívateľa, odmena dosahuje 75 tisíc.




Štandardné dlhodobé odmeny za nájdenie zraniteľností v softvéri pre PC a servery (hore) a mobilné zariadenia, kliknite pre zväčšenie (tabuľky: Zerodium)



Vypísanie odmien spoločnosťou Zerodium zrejme znamená, že po týchto zraniteľnostiach je aktuálne dopyt. Je všeobecne známe, že takéto zraniteľnosti sa snažia používať napríklad orgány činné v trestnom konaní na identikáciu a vypátranie záujmových osôb využívajúcich Tor.

Tor Browser je prehliadač vyvíjaný tvorcami aj klienta samotnej siete Tor, poskytujúcej anonymizáciu ale tiež ochranu súkromia. Tor Browser vychádza z Firefoxu, sú v ňom doinštalované ale rozličné rozšírenia a uskutočnené viaceré zmeny v konfigurácii aj kóde s cieľom maximalizovať ochranu súkromia. V štandardnom nastavení je v súčasnosti JavaScript povolený.

Výzva Zerodium sa nezameriava na samotnú sieť Tor a naopak ak k dosiahnutiu cieľa prípadne príde narušením činnosti siete Tor, na takéto zraniteľnosti sa odmeny vôbec nevzťahujú.

Práve pre možnosť zraniteľností v prehliadačoch respektíve Tor Browseri sú k dispozícii aj technické riešenia, ktoré súkromie užívateľov ochránia aj napriek tomu. Ide o linuxové operačné systémy Tails a Whonix, pričom na prvý z nich sa zameriava aj výzva Zerodium.

Oba dovoľujú externú komunikáciu počítača len cez sieť Tor. Ak je tak aj zneužitá chyba vo webovom prehliadači, IP adresa užívateľa štandardne nie je prezradená. Ak ale útočník v Tails získa aj root oprávnenia, dokáže samozrejme zistiť čokoľvek čo je na danom počítači zistiteľné.

Ďalej v tomto koncepte zachádza Whonix, ktorý sa skladá z klientského OS a brány bežiacich na dvoch počítačoch alebo v dvoch VM. V jeho prípade ani obídenie všetkých ochrán a získanie root oprávnení na klientskom počítači nevyústi do prezradenia IP adresy užívateľa.

Podobnú funkciu ako Whonix plnia aj rozličné routery poskytujúce možnosť všetku internetovú komunikáciu smerovať cez sieť Tor. Tieto majú podobnú odolnosť proti popísaným útokom, pri ich využívaní s bežným webovým prehliadačom ale nie je k dispozícii napríklad izolácia streamov podľa jednotlivých kariet v prehliadači.

Kompletné podmienky pre odmeny za zraniteľnosti nájdené v Tor Browseri je možné nájsť na zerodium.com/tor.html.


      Zdieľaj na Twitteri



Najnovšie články:

Google je opäť výrobcom smartfónov a drží nad vodou HTC
S inováciami Intelu to nebude tak horúce, 10-nm procesory majú prísť oveľa neskôr
Najbezpečnejším prehliadačom je Chrome, tvrdí rozsiahla analýza
Nové CPU Intelu možno výrazne zdražejú
Tvorca BitTorrentu zverejnil základy novej kryptomeny, úplne inej ako Bitcoin
Zákazníci webhostingov a webhostingové firmy pozor, cez Apache je možné kradnúť dáta
Orange u nových paušálov tlačí do jeho pripojenia domácnosti k Internetu, je povinné
Telekom mení dáta na Easy, prichádza stopnutie, dokupovanie aj prenášanie
CCleaner bol infikovaný zrejme hacknutím kompilačného prostredia, obeťami milióny
Skylink pridal ďalšie dva o hodinu posunuté kanály, má ich už päť


Diskusia:
                               
 

"Užitoční idioti prihláste sa

-Vaše Zerodium"
Odpovedať Známka: 6.3 Hodnotiť:
 

Nice try NSA
Odpovedať Známka: 9.1 Hodnotiť:
 

Čo robia amíci na dsl.sk?
Odpovedať Známka: 6.9 Hodnotiť:
 

Pokial si v moznost bezplatneho vzdelania garantujucom state zvoli "Bezpečnostná spoločnosť" za primarnu oblast podnikania predmetnu cinnost, niet pochyb.
Odpovedať Známka: -5.0 Hodnotiť:
 

Sleduju Janku, nie ? :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Inštalujú Arch aby potom mohli cez Tor Browser tajne sledovať Janku Hospodárovú, vo veľkom kancli si z PDA cez Wifi vytláčať jej fotku a posielať jej anonymne kvety.
Odpovedať Známka: 10.0 Hodnotiť:
 

install arch
Odpovedať Známka: 0.0 Hodnotiť:
 

install qubes
Odpovedať Známka: 5.0 Hodnotiť:
 

Pre rovnaky vysledok pouzivatelia moderneho hardveru staci ked cez wifi daju zopar raz tlacit "Unsupported hardware" a potom uz staci dojst po hotovy papier.
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár