На прошлой неделе на Tor был объявлен запуск новой программы выплат за обнаружение багов в программных продуктах, используемых в рамках этого проекта. В отличие от прошлогодней bug bounty, доступной лишь для избранных, эта будет открыта для всех исследователей, ведущих поиск уязвимостей.

Новая программа Tor будет работать на платформе HackerOne. Первоначальную финансовую поддержку инициативе окажет американский Open Technology Fund, поддерживаемая государством организация, борющаяся за свободу слова, против цензуры и репрессивной слежки. Максимальная выплата за найденный баг составит $4 тыс.; по словам Алекса Райса (Alex Rice), соучредителя HackerOne, большинство организаций установили сравнимый предел, хотя Google, Apple и Microsoft платят гораздо больше.

«Данный случай уникален тем, что Tor не располагает значительными денежными средствами, этот проект в большой степени финансируется сообществом, – комментирует Райс. – Если вы – компания, оказывающая финансовые услуги, или социальная сеть, раздающая премии, вы привлекаете пользователей, в основном, размером этих наград. Когда вы обращаетесь к общественности, как Tor, нужно учитывать многие вещи, принципиально важные для ИБ-исследователей. Эта достаточно большая группа лиц прежде всего стремится сделать вклад в исследования, размер вознаграждения при этом не так уж важен».

По свидетельству Tor Project, за полтора года работы закрытой bug bounty исследователи помогли идентифицировать три DoS-бага и четыре пограничных случая нарушения целостности памяти. Однако серьезная уязвимость нулевого дня в браузере Tor, пропатченная в конце ноября, была обнаружена вне этой программы.

Райс полагает, что запуск открытой bug bounty мало что изменит, лишь снимет ограничения на участие. «Tor идет проторенной дорогой, обычной для bounty-программ, – говорит представитель HackerOne. – Они довольны принятым порядком выплат, имеют сложившуюся команду разработчиков для рассмотрения отчетов о багах и уверены, что не упустили ничего существенно важного».

По словам Райса, категории уязвимостей, которые готовы оценивать на Tor Project, – прежде всего те, которые составляют угрозу для приватности пользователей анонимной сети. «В нашем обиходе очень мало технологий, уязвимости в которых потенциально могут разрушить нашу жизнь и лишить нас средств к существованию», – отметил эксперт.

«Пользователи Tor во всем мире, в том числе поборники прав человека, активисты, юристы и исследователи, полагаются на надежность и безопасность нашего ПО, обеспечивающего анонимность онлайн, – сказано в анонсе новой программы Tor Project. – Помогите защитить их и уберечь от надзора, преследования и атак».

Категории: Кибероборона, Уязвимости