Компания Zerodium, основанная в 2015 году Чауки Бекраром (Chaouki Bekrar), одним из создателей Vupen, является одним из наиболее известных брокеров уязвимостей на рынке. Тогда как Vupen преимущественно занималась разработкой собственных эксплоитов, Zerodium имеет не только собственную команду девелоперов, но и приобретает эксплоиты и уязвимости у третьих сторон.

Сегодня, 13 сентября 2017 года, Zerodium анонсировала новую, временную bug bounty программу. Программа проработает до 30 ноября 2017 года (или будет завершена раньше, если компания потратит все запланированные средства) и на нее собираются потратить $1 000 000.

Zerodium готова щедро вознаградить специалистов, которые обнаружат 0-day уязвимости в Tor Browser для Tails Linux и Windows, а также предоставят эксплоиты для них. К примеру, за RCE+LPE эксплоит для обеих ОС, работающий даже при условии, что JavaScript заблокирован, компания готова заплатить $250 000. Более полный «прайс-лист» Zerodium можно увидеть в таблице ниже.

«Нам нужно много эксплоитов и у нас много клиентов, которые прямо сейчас проводят операции по борьбе с нелегальной активностью в Tor. Мы предъявляем к эсплоитам для Tor более жесткие требования ради наших правительственных клиентов, так как они сталкиваются с вопиющими случаями незаконной деятельности в Tor и должны действовать», — рассказал Чауки Бекрар изданию Vice Motherboard. Стоит сказать, что в официальном анонсе также упомянуты наркоторговля и насилие над детьми, с чем якобы и борются важные клиенты компании.

Представители Tor Project отнеслись к анонсу Zerodium достаточно спокойно. Так, один из разработчиков браузера сообщил журналистам, что «размер вознаграждений – это свидетельство безопасности, которую мы предоставляем». Тем не менее, разработчик подчеркнул, что «продавать» уязвимости все-таки лучше самому Tor Project, который тоже имеет программу вознаграждений за уязвимости. «Это в лучших интересах всех пользователей Tor, включая правительственные агентства», — отмечает Tor Project, но никак не комментирует тот факт, что официальная bug bounty инициатива предлагает исследователям только $4000 в качестве вознаграждения.



6 комментариев

  1. john_

    14.09.2017 at 04:34

    Ну посмотрим кто кого. Сообщество или меркантильные шкуры из заVupen))

  2. Skybad

    14.09.2017 at 10:40

    зашью дырку и что дальше?

  3. freemansmail

    14.09.2017 at 12:43

    Все взялись за Tor и это очень пугает, если спец службы не смогут получить сплоит то они будут клепать модифицированные выходные узлы для Tor чтобы аннонимизировать пользователей и слушать их трафик.

  4. Mr-r00t

    14.09.2017 at 19:36

    freemansmail ты или никогда либо не пользовался тором, либо никогда его толком не настраивал, я всегда выбираю выходные ноды только те, которым можно доверять, да и проверить любую выходную ноду не проблема.
    Ситуация в общем ожидаемая, врятли стоило надеяться что нынешняя ситуация с tor будет вечной.
    Но я верю в сообщество и в открытость кода, залатать баги и уязвимости можно можно все, кроме архитектурных.
    john_ +1

  5. Lmar

    15.09.2017 at 03:09

    Надо вначале этим барыгам продавать потом в tor project 🙂

Оставить мнение