Un millón de dólares por encontrar vulnerabilidades de Día Cero en Tor Browser

  • Actualidad

Zerodium lanza un nuevo programa de recompensas, en esta ocasión por exploits de Día Cero para el navegador Tor

Tor Browser es un navegador que te permite acceder a la red Tor sin necesidad de instalar ningún navegador, además de ser el objetivo de Zerodium, una compañía que se dedica a comprar vulnerabilidades de Día Cero.

También puedes leer...

Informe global sobre Seguridad de la Información 2016-2017

Evolución de los ataques con exploits

GDPR: todas sus claves

Riesgos de IoT en las empresas

Desarrollo de estrategias de ciberseguridad nacional

Zerodium anunciaba hace unos días que pagará un total de un millón de dólares por exploits de Día Cero para el navegador Tor. El ofrecimiento tiene fecha de vencimiento, 30 de noviembre de 2017.

Como es lógico, la compañía ha puesto una serie de condiciones para recibir la recompensa: la investigación sobre el fallo de Día Cero debe ser original, y no debe ser conocida ni estar publicada; el vector de ataque inicial debe ser una página web que apunte a la última versión del Tor Browser; el exploit debe ser completamente funcional, fiable y conducir a la ejecución remota de código en el sistema operativo, ya sea con privilegios del usuario actual o con privilegios de root / SYSTEM sin restricciones; y por último, todo el proceso de explotación debe ser realizado en silencio, sin activar ningún mensaje o popup, y sin requerir ninguna interacción del usuario excepto por la visita a una página web.

Hasta alcanzar el millón de dólares, Zerodium pagará 250.000 dólares por la ejecución combinada de código remoto y errores de escalamiento de privilegios locales que funcionan tanto en Tails como en Windows, o 200.000 dólares para errores combinados en Tails o Windows. Pagará una recompensa abreviada por las vulnerabilidades de RCE, y las vulnerabilidades ejecutadas cuando JavaScript esté permitido.

Qué es Tor

Tor, o The Onion Router, es una de las mejores herramientas para navegar de manera completamente anónima. Inicialmente fue una red de servidores que permitía la navegación privada por Internet.

Lo que hace la red Tor es esconder la identidad del usuario moviendo el tráfico entre diferentes servidores Tor y cifrando el tráfico para que no sea rastreado. De esta forma, cualquier que quiera ver el tráfico, lo único que verá serán unos nodos aleatorios de la red Tor, y no el ordenador del usuario.

Todo lo que se necesita para acceder a esa red es el navegador Tor, que a cambio de darte velocidad puede ralentizar tu navegación.

Tor es útil para cualquiera que quiera mantener sus actividades online fuera de la vista de ISP, de mensajes publicitarios y de la censura que algunos países imponen en las actividades online de sus ciudadanos.

Y por supuesto es extremadamente útil para los ciberdelincuentes, que se escudan en el anonimato que les proporciona la red para no ser detectados. Desde este punto de vista, la red también aloja servicios a los que sólo pueden acceder otros usuarios de Tor y donde puede encontrarse de todo, incluidas drogas o pornografía infantil.