image

Bedrijf looft 1 miljoen dollar uit voor zerodays in Tor Browser

woensdag 13 september 2017, 15:47 door Redactie, 16 reacties

Het Amerikaanse bedrijf Zerodium dat zeroday-exploits van hackers en onderzoekers inkoopt heeft in totaal 1 miljoen dollar uitgeloofd voor zeroday-lekken in Tor Browser op Windows en Tails. Het gaat hierbij om kwetsbaarheden waarvoor nog geen update beschikbaar is en het systeem van Tor Browser-gebruikers volledig kan worden overgenomen. Zerodium verkoopt de verkregen zeroday-exploits weer door aan een "beperkt aantal" bedrijven en overheden.

Doordat besturingssystemen over steeds meer beschermingsmaatregelen beschikken wordt het volgens Zerodium lastiger en lastiger om kwetsbaarheden in browsers uit te buiten. "Maar gemotiveerde onderzoekers slagen ondanks de complexiteit van het werk er altijd in om nieuwe browser-exploits te ontwikkelen, dankzij hun vaardigheden en het gebruik van scriptingtalen zoals JavaScript", aldus het bedrijf.

In het geval van Tor Browser zoekt Zerodium naar zeroday-exploits die ook zonder JavaScript werken. Exploits die JavaScript vereisen mogen ook worden ingezonden, maar leveren minder op. Een zeroday-exploit zonder JavaScript waarmee het systeem van een Tor Browser-gebruiker op Windows 10 en het privacy-besturingssysteem Tails volledig kan worden overgenomen levert 250.000 dollar op. In het geval JavaScript is vereist wordt het bedrag gehalveerd.

Als de exploit alleen tegen één van de twee platformen werkt wordt er 200.000 dollar uitgekeerd. Wederom levert een exploit met JavaScript de helft van dit bedrag op. Het Tor Browser-programma van Zerodium loopt tot 30 november, maar kan ook eerder zijn afgelopen als er voor 1 miljoen dollar aan beloningen is uitgekeerd. Onlangs kwam Zerodium ook al in het nieuws omdat het zich op populaire chat-apps zoals Signal, WhatsApp, WeChat, Telegram, Facebook Messenger en Viber richtte.

Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen. Het Tor Project, dat voor het Tor-netwerk en Tor Browser verantwoordelijk is, lanceerde eerder dit jaar een beloningsprogramma voor hackers en onderzoekers die kwetsbaarheden in het netwerk en de browser vinden en rapporteren, waarbij er tot 4.000 dollar per bugmelding wordt uitgekeerd.

Image

Reacties (16)
13-09-2017, 16:00 door Anoniem
Bah vies dit.
Een beetje nette white hat zou exploits aan de makers van de tor browser rapporteren.

Maargoed, geld is altijd leuk,. ongetwijfeld dat er mensen zijn die beide kampen zullen bedienen.
13-09-2017, 16:02 door Anoniem
Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen.

Waarbij privacy, in relatie tot de beheerder van de TOR nodes die gebruikt worden, vergeten lijkt te worden. Immers maak je jezelf per definitie kwetsbaar voor een MiTM aanval bij gebruik van TOR (zolang je niet zorgt voor een encrypted verbinding over TOR).
13-09-2017, 17:09 door Anoniem
Dit geeft al aan hoe goed Tor en Tails zijn, tijd om over te stappen.
13-09-2017, 17:19 door Anoniem
Door Anoniem:
Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen.

Waarbij privacy, in relatie tot de beheerder van de TOR nodes die gebruikt worden, vergeten lijkt te worden. Immers maak je jezelf per definitie kwetsbaar voor een MiTM aanval bij gebruik van TOR (zolang je niet zorgt voor een encrypted verbinding over TOR).

Wat bedoel je precies met:
"(zolang je niet zorgt voor een encrypted verbinding over TOR)"?
13-09-2017, 17:47 door Anoniem
Door Anoniem: Bah vies dit.
Een beetje nette white hat zou exploits aan de makers van de tor browser rapporteren.

Maargoed, geld is altijd leuk,. ongetwijfeld dat er mensen zijn die beide kampen zullen bedienen.

1 miljoen dollar maakt het wel heel erg aantrekkelijk om de exploit te verkopen.
13-09-2017, 17:49 door Anoniem
Door Anoniem:
Door Anoniem:
Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen.

Waarbij privacy, in relatie tot de beheerder van de TOR nodes die gebruikt worden, vergeten lijkt te worden. Immers maak je jezelf per definitie kwetsbaar voor een MiTM aanval bij gebruik van TOR (zolang je niet zorgt voor een encrypted verbinding over TOR).

Wat bedoel je precies met:
"(zolang je niet zorgt voor een encrypted verbinding over TOR)"?

Dat als je via Tor naar http://nu.nl gaat dat de Tor exit node precies kan zien wat je leest.
13-09-2017, 17:51 door Anoniem
Door Anoniem:
Door Anoniem:
Dagelijks maken zo'n 2 miljoen mensen gebruik van het Tor-netwerk om hun ip-adres en privacy te beschermen.

Waarbij privacy, in relatie tot de beheerder van de TOR nodes die gebruikt worden, vergeten lijkt te worden. Immers maak je jezelf per definitie kwetsbaar voor een MiTM aanval bij gebruik van TOR (zolang je niet zorgt voor een encrypted verbinding over TOR).

Wat bedoel je precies met:
"(zolang je niet zorgt voor een encrypted verbinding over TOR)"?

Ik denk dat hij niet helemaal door heeft hoe traffic getunneld wordt via tor nodes. Je loopt niets meer of minder risico dan over een normale routering.
13-09-2017, 19:22 door Anoniem
Dat als je via Tor naar http://nu.nl gaat dat de Tor exit node precies kan zien wat je leest.
Wat heeft men daar aan als men niet weet wie er met een bepaalde http website communiceert?
13-09-2017, 19:57 door Anoniem
Door Anoniem:
Dat als je via Tor naar http://nu.nl gaat dat de Tor exit node precies kan zien wat je leest.
Wat heeft men daar aan als men niet weet wie er met een bepaalde http website communiceert?

Omdat er nog steeds websites zijn (ziekenhuizen/gemeenten) die van alles van je willen weten om b.v. een afspraak te maken tot en met je BSN toe.
13-09-2017, 21:29 door Anoniem
Omdat er nog steeds websites zijn (ziekenhuizen/gemeenten) die van alles van je willen weten om b.v. een afspraak te maken tot en met je BSN toe.
Nou dan stuur jij toch lekker je persoonsgegevens zonder Tor over die http verbinding?
Lekker veilig toch, om je gegevens zonder Tor over die http verbinding te sturen? ;P

(hihihi... ho, er staat geloof ik een paard in de gang)
14-09-2017, 06:37 door karma4
Door Anoniem:
Omdat er nog steeds websites zijn (ziekenhuizen/gemeenten) die van alles van je willen weten om b.v. een afspraak te maken tot en met je BSN toe.
Lijkt me vanzelfsprekend dat ze van alles van je wil m en weten. Je hebt ze niet voor niets nodig.
Stel je het volgende voor: onbekend wat je probleem is, wanneer er iets nijpend word,t wat de impact is.
Val ze dan niet lastig genieg anderen die aangeven wat wel het probleem is zodat prio en actie bepaald kunnen worden.
14-09-2017, 17:38 door Anoniem
Door Anoniem:
Omdat er nog steeds websites zijn (ziekenhuizen/gemeenten) die van alles van je willen weten om b.v. een afspraak te maken tot en met je BSN toe.
Nou dan stuur jij toch lekker je persoonsgegevens zonder Tor over die http verbinding?
Lekker veilig toch, om je gegevens zonder Tor over die http verbinding te sturen? ;P

(hihihi... ho, er staat geloof ik een paard in de gang)

Hi hi ho ho, paard in de gang.

Denk even verder na, indien je NIET SSL verkeer via Tor benaderd dan heeft je DNS provider (meestal je ISP) geen gegevens van je en je ISP kan fluiten naar de meta data wat het voor opsproringsdiensten nutteloos wordt om gegevens bij de ISP's op te vragen. De routering loopt via Tor nodes die geen logging behouden en dus bye bye meta data.

Hi hi ho ho, paard in de gang.
14-09-2017, 17:41 door Anoniem
Door karma4:
Door Anoniem:
Omdat er nog steeds websites zijn (ziekenhuizen/gemeenten) die van alles van je willen weten om b.v. een afspraak te maken tot en met je BSN toe.
Lijkt me vanzelfsprekend dat ze van alles van je wil m en weten. Je hebt ze niet voor niets nodig.
Stel je het volgende voor: onbekend wat je probleem is, wanneer er iets nijpend word,t wat de impact is.
Val ze dan niet lastig genieg anderen die aangeven wat wel het probleem is zodat prio en actie bepaald kunnen worden.

Ach, het BSN woord is weer eens gevallen.

Om een afspraak te maken hebben ze alleen mijn naam en adres nodig, dat maakt me uniek genoeg voor een afspraak.
De rest regelen we terplaatse wel.
14-09-2017, 19:10 door Anoniem

Hi hi ho ho, paard in de gang.

Denk even verder na, indien je NIET SSL verkeer via Tor benaderd dan heeft je DNS provider (meestal je ISP) geen gegevens van je en je ISP kan fluiten naar de meta data wat het voor opsproringsdiensten nutteloos wordt om gegevens bij de ISP's op te vragen. De routering loopt via Tor nodes die geen logging behouden en dus bye bye meta data.

Hi hi ho ho, paard in de gang.
Typisch paardenmiddel. Erg sterk en met nare bijwerkingen. ;)
17-09-2017, 11:50 door Anoniem
Het is maar te hopen dat iedereen bij Zerodium te vertrouwen is of dat er daar niets lekt.
17-09-2017, 17:55 door Anoniem
En ook is te hopen dat ze niet gehackt mogen worden, want ethisch gezien zitten ze toch in de verkeerde hoek.

Waar de een het per se zo veilig mogelijk wil houden, helpen zij die op zero-day bugs (willen) zitten,
mee om letterlijk de primaire veiligheid van iedere burger te ondergraven.

Want de uiteindelijke proliferatie van hun zo duur ingekochte "Unfug" is een bedreiging voor een ieder,
die gebruik maakt van de infrastructuur.

En zodra de 0-days gaan worden ingezet, begint de klok te tikken tot anderen er lucht van gaan krijgen.
Na lanceren lopen de fuzzers direct overuren!

Dit soort van kwetsbaarheden in gesloten code heeft namelijk altijd relatie tot eerder gebruikte algemene zwakheden,
gedocumenteerd of (nog) niet gedocumenteerd.

Het spreekwoord zegt derhalve: "Al is de kwetsbare code nog zo snel, de de-bugger achterhaalt haar wel".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.