Компания Zerodium объявила (https://zerodium.com/tor.html) о запуске инициативы по выплате вознаграждений за выявление ранее неизвестных критических уязвимостей в Tor Browser, проявляющихся в окружении Tails Linux или Windows. Общий размер предоставляемых в рамках инициативы премий составляет миллион долларов США.Например, за демонстрацию эксплоита, который позволяет выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript, и 85 тысяч долларов при включенном JavaScript. Если дополнительно продемонстрирована техника повышения привилегий до пользователя root, размер премии увеличивается до 250 и 125 тысяч долларов, соответственно.
В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом. Т.е. выявленные уязвимости будут использоваться спецслужбами для организации деанонимизации пользователей Tor Browser. Следует отметить, что Zerodium недавно представил (https://twitter.com/Zerodium/status/900375820878749696) похожую инициативу с фондом 500 тысяч долларов для поиска 0-day уязвимостей в Signal, WhatsApp, Telegram, Viber, iMessage, Facebook Messenger и WeChat. В программу (https://zerodium.com/program.html) выплаты вознаграждений также входят nginx, apache httpd, dovecot, postfix, sendmail, OpenSSL, WordPress, Joomla, Drupal, Thunderbird, Firefox, Chrome и многие другие открытые проекты.
URL: https://zerodium.com/tor.html
Новость: http://www.opennet.me/opennews/art.shtml?num=47199
>выполнить код в системе размер премии составляет 185 тысяч долларов, если эксплоит может работать с выключенным JavaScript
>185 тысяч долларов
>с выключенным JavaScriptВерю!
CSS эксплоиты!
"cybersecurity veterans" не осилили сорцы... бяда-бяда. Однако, остается открытым вопрос - кого именно госчиновники сочтут преступниками и почему остальные пользователи должны быть деанонимизированы? Будут ли делиться "их" чиновники эксплоитами с "нашими". Но, в любом случае: Спасибо, не нужно! Найдут полтора инвалида-педофила, а оставшиеся будут их персональными рабами с зондами.
т.е. ты считаешь, что чтобы найти уязвимость достаточно уметь читать сорцы?
ну если вголове идеальная машина Тюринга...
Идеальная машина Тьюринга работает с бесконечной лентой. Содержимое головы конечно. Так что идеальная машина Тьюринга в ней невозможна в принципе. Более того, она невозможна вообще в нашей вселенной, так как сама вселенная тоже конечна.
> так как сама вселенная тоже конечнаПозвольте с вами не согласиться.
Не надо путать, бесконечным может быть пространство в котором "развернута" вселенная, но не сама вселенная.
>кого именно госчиновники сочтут преступникамиОчевидно же - саму zerodium ломанут и получат все остальные эксплоиты беплатно.
> кого именно госчиновники сочтут преступникамиЛучше сказать, не сочтут, а ОБЪЯВЯТ.
Что они там считают на самом деле, трудно узнать достоверно.
""" security-фирма Zerodium, которая специализируется на покупке эксплойтов у security-ресерчеров""" Они перекупы багов? =)
кто-то хату нормальную себе купит...
А тем кто вычислит откуда у Zerodium лям бачей вылатят два ляма?
И отправят отдыхать на кубинский остров, в столь всем полюбившееся заведение
способ 1-й - найти уже имеющуюся уязвимостьспособ 2-й - закоммититить уязвимость так, чтобы никто не заметил
> способ 1-й - найти уже имеющуюся уязвимость
> способ 2-й - закоммититить уязвимость так, чтобы никто не заметилза эти деньги? (закоммитить ты сможешь только дешевую, к тому же)
да они охренели.
Молодцы, тонко действуют. Объявили охоту на общественно значимый опенсорсный код во благо американской демократии.
Скорее всего Zerodium - это headhunter'ы американской демократии, которые ищют допытливые умы. "Черный вертолет" уже вылетел за вами
А смысл. Ведь после публикации уязвимости её, естественно, закроют. А кто помешает White hat опубликовать эту уязвимость после получения денег? Да никто. Странно.
грузовик
Ну так там наверняка условия получения денег: деанонимизация и подпись NDA. Анониму в битках никдо денег не даст.
Тут вопрос еще, а они индусам и китайцам (и местным аналитикам) вообще собираются давать деньги? Или прокатят как фейсбук арабского программиста?
Т.е. надо еще доказывать, что понадобишься им в будущем
NDA-то она NDA, но если кто-то другой найдёт эту же уязвимость, то что?И с юрисдикцией тоже непонятно.
> Ну так там наверняка условия получения денег: деанонимизацияага, платить они собираются wire transfer.
> Тут вопрос еще, а они индусам и китайцам (и местным аналитикам) вообще собираются давать
> деньги?написано что да. Северокорейцам и намкрышцам - нет (логично, какой еще wire transfer туда)
Человек который найдёт вредный код и продаст его должен будет подписать договор о не разглашении, а если кто-то другой раскроет, то к подписанту всё равно придут и он будет доказывать что не верблюд.
> В качестве причин учреждения премии упоминается желание помочь некоторым госклиентам в борьбе с криминалом.Классика.
Будет как в прошлый раз "это не уязвимость а фича"?
Пруфлинк про "прошлый раз"?
https://www.macworld.com/article/3225110/hardware/iphone-x-f...
За $85k (в хорошем случае за $250k) на всю оставшуюся жизнь остаться под колпаком?Хотя, скорее всего, трудоустроят не совсем плохо.
Думаешь стоит рискнуть?
> За $85k (в хорошем случае за $250k) на всю оставшуюся жизнь остаться
> под колпаком?
> Хотя, скорее всего, трудоустроят не совсем плохо.Вполне возможно, что устроят хорошо. Как Мыщха. Только, чтобы не закончить как он, просто не надо играться со спидами
не понял, а если спиды нельзя, с этими не кури, сюда не ходи, то чо хорошего в этом трудоустройстве?
> не понял, а если спиды нельзя, с этими не кури, сюда не
> ходи, то чо хорошего в этом трудоустройстве?Так, в том то и дело, что спиды можно (если тихо, ведь никто сильно искать не будет), но под спидами, или под маниакальной фазой БАР, спидами вызванной, ну уж очень хочется рискованно полетать. И кто тогда вам лекарь?
> спиды нельзя, с этими не кури, сюда не ходи,это больше про здесь, а не там. И к этому уже привычно. А получив свободу, можно не знать, где кроется опасность
Во первых они не выплатят всю сумму сразу, там хитрости свои, выплата растянута на 5-10 лет, в случае если уязвимость опубликована в течение этого времени то они имею право остановить выплаты. Второе, ты должен полностью документировать все и переслать им, а они решат будут ли вообще платить или нет, то есть, если захотят то могут и кинуть всех.
А ну и в 3х, они по сути барыги, найденые уязвимости могут перепродать кому угодно: NSA, CIA, России, Китайцам, да хоть google если заплатят.
> Во первых они не выплатят всю сумму сразу, там хитрости свои,
> выплата растянута на 5-10 лет,упс... расходимся, пацаны - не выиграл, а проиграл, не лям, а всего 85 тыщ за наиболее вероятную уязвимость (что может и несколько выше yrly salary приличного специалиста, но не в разы), а теперь еще и выясняется - что в течении десяти лет и если очсень повезет и никто другой не найдет? Да я сдавая хакнутых лохов поштучно тов.майору подниму больше, и беспалева, в отличие от этих.
какие-то они феерично тупые и жадные, и да - "we only acquire vulnerabilities proven to be exploitable i.e. accompanied by a fully functional exploit". То есть сами написать и быстренько проверить они не умеют, все разжевать и в ротик положить - такие вот cybersecurity veterans.
veteran scriptkiddies.
Про 10 лет я соврал, на самом деле от 12 месяцев до 3х лет
На самом деле важно другое - существует вариант кидка, а это пообиднее долгосрочных выплат! И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?
> На самом деле важно другое - существует вариант кидкаэ... в смысле, купить билет и не поехать?
Автор эксплойта всегда может их кинуть, просто разгласив уязвимость (и претензии хрен предъявишь), соответственно, сделав ее для них бесполезной. Поэтому не заплатить они не могут - если, конечно, оный эксплойт им нужен.но это, оказывается, лотерея, а не big bounty - мало найти, надо чтоб еще никто другой не нашел через месяц то же самое. (даже 12 месяцев - за которые, опять же, можно с доверчивых лохов чего натрясти и самому)
> И если даже есть 1% того что это произойдет, то накой влезать в этот блудняк?
за $85000 сравнительно легальных денег, разумеется.
Попахивает вбросом, как со Skype началась компания слухов о взломе. Не можешь победить, нужно дескредитировать. Так дешевле. Госструктурам дешевле будет физически пообщаться с персонажем, который попал в поле зрения, чем выплачивать примии за непонятные эксплоиты.
> Госструктурам дешевле будет физически
> пообщаться с персонажем, который попал в поле зрения,не все ж такие лохи, как Шалтай, надеющиеся на ФСБшную крышу - с некоторыми пообщаться может не получиться.
А вот деанонимизировать при помощи эксплойтов - вполне могут. И дальше уже перейдут к физическому общению.