Menu
in

Gana un millón de dólares hackeando Tor Browser

Una compañía quiere bugs 0-day, y pagará una fortuna en premios

Tor Browser es el recurso principal para acceder de forma rápida y segura a la red Tor. Esa condición lo convierte en un blanco muy tentador, pero si el plan es encontrar fisuras en su armadura, la forma más efectiva de atraer hackers es con jugosas recompensas. Después de ofrecer hasta medio millón de dólares por bugs en mensajeros como WhatsApp y Telegram, la gente de Zerodium confirmó que repartirá un millón de dólares entre aquellos investigadores que entreguen nuevas vulnerabilidades 0-day en el Tor Browser.

La red Tor probablemente sea nuestra mejor opción a la hora de navegar con seguridad, privacidad y anonimato. Existen muchos grupos interesados en descubrir agujeros (ya sea para abusar de ellos o cerrarlos del todo), y por razones lógicas concentran su poder de fuego sobre el popular Tor Browser. Su seguridad ha mejorado, y los mecanismos de mitigación en los últimos sistemas operativos hacen más complicado a un ataque directo, sin embargo, todos sabemos que no es una solución perfecta, y que hay errores en su código esperando a ser descubiertos.

Si tiene bugs 0-day, Zerodium los quiere

Ahí es cuando aparece la compañía de seguridad Zerodium, que está dispuesta a repartir hasta un millón de dólares en premios a cambio de vulnerabilidades 0-day que afecten al Tor Browser bajo Windows 10 y Tails Linux 3.x. Los montos finales dependen de los parámetros de seguridad, pero la recompensa mayor asciende a 250 mil dólares (el ataque tiene que funcionar con JavaScript bloqueado), mientras que la más pequeña ofrece unos nada despreciables 75 mil dólares. Como era de esperarse, Zerodium estableció una serie de reglas para su campaña. Los «trabajos» deben ser nuevos, exclusivos y desconocidos, con una página web funcionando como vector de ataque inicial, y el objetivo final de cada exploit es la ejecución remota de código.

Todos los interesados en obtener las recompensas tienen tiempo hasta el próximo 30 de noviembre para compartir sus esfuerzos con Zerodium. Ahora… ¿será suficiente? Un millón de dólares es mucho dinero, pero algo me dice que si un investigador posee una vulnerabilidad 0-day de Tor Browser, puede obtener más billetes por ella…

Escrito por Lisandro Pardo

Leave a Reply