圖片來源: 

HackerOne

為因應警方及國家監控愈來愈嚴格,匿名網路專案Tor也和許多軟體公司一樣,推出抓漏獎勵的計畫
 
Tor去年初曾和抓漏代管業者HackerOne合作第一次未公開的抓漏計畫。這次再度和HackerOne合作下,將抓漏計畫擴大公開舉行。
 
Tor瀏覽器開發工程師Georg Koppen指出,Tor專案希望和研究社群擴大合作關係,藉此提升軟體的安全性。通報漏洞有助於在問題變成對用戶的威脅之前加以解決。
 
Tor這次針對兩項核心產品,包括Tor及Tor 瀏覽器邀請研究人員抓漏。根據Tor的規劃,以Tor來說,低風險漏洞像是可驅動未定義的行為、頻外讀取、影響少人用的平台(除了Windows、Linux、Mac、FreeBSD)或組態等嚴重程度低的漏洞,可獲頒獎金100到500美元。針對遠端入侵漏洞、要求本機權限存取主機、及導致隱藏服務、relay及dirauth的記憶體洩露等中度嚴重性的漏洞,將發給500到2,000美元。
 
如果研究人員找到遠端程式執行、relay或用戶端加密資訊洩露、致使用戶端身份曝光的攻擊、或造成繞過驗證及冒名中繼節點等高風險漏洞,則可獲得2,000到4,000美元的獎金。發現Tor使用的第三方函式庫漏洞者,也可拿到500到2,000美元。
 
在Tor瀏覽器方面,如果是已列於Tor及Mozilla的bugtracker上的漏洞,不會有獎金可拿。在此以外的漏洞則可依嚴重程度,低到中度嚴重性漏洞提供100到2,000美元獎勵。而導致匿名性喪失或受損的高風險漏洞,則可拿到2,000到3,000美元獎金,甚至更高。
 
Koppen也相信抓漏獎勵的範圍由Tor和Tor瀏覽器未來極可能會再擴大。
 
旨在保護通訊內容及使用者身份隱私的Tor,成了許多政府眼中偵察異議人士、犯罪及恐怖主義的一大阻礙,無不設法駭入。2014 年Tor曾發現遭到疑似國防部計畫相關單位入侵監聽用戶。今年FBI也曾利用Tor的非公開漏洞成功逮捕一名兒童色情網站相關嫌犯。

 


Advertisement

更多 iThome相關內容