防國家級監控？ Tor也推抓漏獎勵計畫

為因應警方及國家監控愈來愈嚴格，匿名網路專案Tor也和許多軟體公司一樣，推出抓漏獎勵的計畫。
 
Tor去年初曾和抓漏代管業者HackerOne合作第一次未公開的抓漏計畫。這次再度和HackerOne合作下，將抓漏計畫擴大公開舉行。
 
Tor瀏覽器開發工程師Georg Koppen指出，Tor專案希望和研究社群擴大合作關係，藉此提升軟體的安全性。通報漏洞有助於在問題變成對用戶的威脅之前加以解決。
 
Tor這次針對兩項核心產品，包括Tor及Tor 瀏覽器邀請研究人員抓漏。根據Tor的規劃，以Tor來說，低風險漏洞像是可驅動未定義的行為、頻外讀取、影響少人用的平台（除了Windows、Linux、Mac、FreeBSD）或組態等嚴重程度低的漏洞，可獲頒獎金100到500美元。針對遠端入侵漏洞、要求本機權限存取主機、及導致隱藏服務、relay及dirauth的記憶體洩露等中度嚴重性的漏洞，將發給500到2,000美元。
 
如果研究人員找到遠端程式執行、relay或用戶端加密資訊洩露、致使用戶端身份曝光的攻擊、或造成繞過驗證及冒名中繼節點等高風險漏洞，則可獲得2,000到4,000美元的獎金。發現Tor使用的第三方函式庫漏洞者，也可拿到500到2,000美元。
 
在Tor瀏覽器方面，如果是已列於Tor及Mozilla的bugtracker上的漏洞，不會有獎金可拿。在此以外的漏洞則可依嚴重程度，低到中度嚴重性漏洞提供100到2,000美元獎勵。而導致匿名性喪失或受損的高風險漏洞，則可拿到2,000到3,000美元獎金，甚至更高。
 
Koppen也相信抓漏獎勵的範圍由Tor和Tor瀏覽器未來極可能會再擴大。
 
旨在保護通訊內容及使用者身份隱私的Tor，成了許多政府眼中偵察異議人士、犯罪及恐怖主義的一大阻礙，無不設法駭入。2014 年Tor曾發現遭到疑似國防部計畫相關單位入侵監聽用戶。今年FBI也曾利用Tor的非公開漏洞成功逮捕一名兒童色情網站相關嫌犯。