viernes, 15 de septiembre de 2017

Gana 1 millón de dólares por encontrar exploits Zero-Day en Tor Browser


Zerodium, una compañía de ciberseguridad famosa por pagar grandes sumas de dinero a cambio de vulnerabilidades, ha lanzado un programa de recompensas que te permite ganar un millón de dólares por encontrar exploits Zero-Day del navegador Tor Browser.

El programa recibe el nombre de Tor Browser Zero-Day Exploits Bounty, está abierto a todos los investigadores de seguridad que deseen participar y premiará el desarrollo de exploits Zero-Day completamente funcionales para Tor Browser en Windows 10 y en la distro Linux Tails ultrasegura. Las vulnerabilidades con la configuración de seguridad alta del navegador (JavaScript bloqueado) están mejor valoradas, pero también serán aceptadas con los ajustes de seguridad bajos (JavaScript activado).

De acuerdo con las bases de participación, los exploits deben ser exclusivos, desconocidos, no publicados y no reportados, y deben conducir a la ejecución remota de código en el sistema operativo orientado, ya sea con privilegios del usuario actual o con privilegios de root sin restricciones.

En la siguiente tabla puedes ver la lista completa de las recompensas, que van desde los 75.000 dólares hasta los 250.000.

Tor Bounty Program

Los investigadores pueden participar hasta el próximo 30 de noviembre, aunque el programa puede cerrarse antes en caso de que la compañía conceda la cuantía total de premios estimada, que se ha fijado en un millón de dólares. Si estás interesado, en este enlace tienes todos los detalles que necesitas para optar a las recompensas.

No obstante, este no es el bug bounty program oficial de Tor. El proyecto de software libre abrió su programa de recompensas para todos los usuarios a finales del pasado mes de julio, ya que hasta el momento solo estaba dirigido a investigadores privados. La cuantía de los premios que ofrece es más baja y puede llegar a pagar desde 100 a 4.000 dólares por cada fallo que se presente documentado de la red Tor y de Tor Browser. Puedes echarle un vistazo a la página del proyecto en HackerOne para ver si te interesa participar.