Gesucht: Tor-Exploit für eine Million Dollar Preisgeld

Die amerikanische Firma

You do not have permission to view link please Anmelden or Registrieren

bietet Hackern bis zu eine Million Dollar für eine Sicherheitslücke im Anonymisierungs-Netzwerk Tor. So wolle man “die Welt zu einem besseren Ort machen”, wie

You do not have permission to view link please Anmelden or Registrieren

berichtet.



Das Angebot des IT-Unternehmens Zerodium könnte vielleicht schon bald das Ende der Anonymität für zahlreiche Tor-Nutzer einläuten. So sind alle Hacker weltweit aufgerufen, sich ein Preisgeld von einer Million Dollar zu verdienen für einen funktionierenden, noch unbekannten Hack des Netzwerkes. Das Ziel der Aktion ist es, „Regierungskunden zu helfen, Verbrechen zu bekämpfen und die Welt zu einem besseren und sichereren Ort für jeden zu machen“.



Was selbst für die NSA schwer zu erreichen ist, weil es ihnen bisher nur in Einzelfällen gelang, Tor-Nutzer zu enttarnen, sollen Hacker nun ermöglichen. Gesucht ist demnach ein Exploit, der eine Schwachstelle im Tor-Browser ausnutzt. Der Schadcode soll für Rechner funktionieren, die entweder auf Windows oder auf dem Linux-Betriebssystem Tails laufen. Zudem darf die Schwachstelle niemandem sonst bekannt sein. Diese „Zero-Day-Exploits“ werden eingesetzt, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“), die Software mittels Patch so zu verbessern, dass der Exploit zum Schutz der Nutzer unwirksam wird. Deshalb sind diese auf dem Markt besonders begehrt und wertvoll. Ferner wird ein Exploid gefordert, der sowohl in der hohen als auch niedrigen Sicherheitseinstellung des Tor-Browsers funktioniert. Die Schwachstelle darf niemand anderem bekannt sein und soll eine Remote Code Execution erlauben, also einen Zugriff ohne Kontakt zum User oder seinem Gerät. Allein der Besuch einer Webseite im Tor-Browser soll ausreichen, damit der Schadcode die erhoffte Wirkung zeigt.

Zerodium gibt an, das Preisfgeld auszusetzen, sobald sie einen funktionierenden Exploit haben. Ansonsten läuft die Prämie bis zum 30. November 2017 um 18:00 Uhr EDT.

Bildquelle:

You do not have permission to view link please Anmelden or Registrieren

, thx! (CC0 Public Domain)

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Autor: Antonia

You do not have permission to view link please Anmelden or Registrieren

 

[Trolling Stone]

Ergo: Wer anonym bleiben möchte, sollte die Nutzung von TOR aussetzen. So be it.

 

[TBow]

So wolle man “die Welt zu einem besseren Ort machen”, wie

You do not have permission to view link please Anmelden or Registrieren

berichtet.

In etwas so glaubwürdig, als wenn zB Kim Dotcom aka Schmitz ankündigt, mit seinem neuen Projekt, der Menschheit einen Dienst zu erweisen. Soviel Selbstlosigkeit triebt einem ja die Tränen in die Augen.
Die wollen Kohle scheffeln, fertig aus. Ihr "besseres Welt" Gedöhns wirkt hoffentlich nur bei Schwachstromhirnen.
Aber gut, die US Klitsche wird sowieso ne NSA Tarnbude sein. Da sollen sie gleich die Geheimdienstler anschreiben, anstatt sich von denen billig abspeisen zu lassen.

 

[BurnerR]

Die News ist übrigens falsch.
Es wird nicht "bis zu eine Million Dollar für eine Sicherheitslücke" geboten, sondern ein Bounty-Programm ausgeprägt mit einem Gesamtvolumen von 1 Million Dollar.
Traurig, dass tarnkappe nicht einmal auf die Quelle KLICKT zumindest, denn da steht es schon im ersten Satz.

Zerodium ist auch nicht eine beliebige IT Firma, die damit plötzlich um die Ecke kommt, sondern (Selbverständnis): "ZERODIUM, the premium zero-day acquisition platform,"

The initial attack vector must be a web page targeting the latest versions of Tor Browser (Stable + Experimental) in either a non-default/hardened configuration where JavaScript is blocked for all websites (Tor Browser Security Settings set to: High), or in its default configuration (Tor Browser Security Settings set to: Low (default)).
[...]
The whole exploitation process should be achieved silently, without triggering any message or popup, and without requiring any user interaction except visiting a web page. Other attack vectors such as opening a document are not eligible for this bounty but ZERODIUM may, at its sole discretion, make a distinct offer to acquire such exploits.