Sicherer anonym surfen: Tor Projekt öffnet Bug Bounty-Programm

Das Tor-Netzwerk will ab diesem Jahr die Meldungen von Sicherheitslücken in ihrer Software finanziell entlohnen. Das hat Jacob Appelbaum während eines Talks beim kürzlich zu Ende gegangenen Chaos Communication Congress 32C3 angekündigt. mehr... Sicherheitslücke, Fehler, Bug, Tor, Anonymisierung Bildquelle: Tor Sicherheitslücke, Fehler, Bug, Tor, Anonymisierung Sicherheitslücke, Fehler, Bug, Tor, Anonymisierung Tor

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
>>Jedoch will man mit der Bezahlung für Schwachstellen sicherstellen, dass das Projekt nicht durch finanzielle Anreize von Anderen untergraben wird.<<

(Ich habe das "nur" mal gegen ein "durch" getauscht. Kein authentisches Zitat also, aber ich denke die Aussage ist nun so, wie sie ursprünglich gemeint war.)

Sicher ein guter Ansatz. Nicht alle Hacker die eine Sicherheitslücke in Tor finden werden diese bekanntgeben damit sie vom TOR-Projekt gepatched werden kann. Wenn sie selbst Tor nicht häufig nutzen und daher keinen Nachteil durch eine offenbleibende Sicherheitslücke in Tor haben oder die Sicherheitslücke in ihrem eigenen Tor-Client beheben können, so dass die Lücke nur andere Leute betrifft, werden sie wohl gerne die 30.000 US-Dollar von Zerodium und Co. nehmen.

Ich kenne seit weit über 10 Jahren eine Sicherheitslücke in sämtlichen Windowsversionen seit Windows 2000 (NT 4.0 habe ich nie darauf getestet. Möglich, dass es damit auch funktioniert.) mit der man über ein LAN mit hohen Rechten in einen Windows-Rechner kommt. Die würde ich aber auch für 30.000 US-Dollar nicht an Microsoft verkaufen (möglicherweise wird sie ja auch schon gehandelt, weil sie auch andere Leute entdeckt haben) wollen, da sie mir schon in meiner Zeit als studentischer Admin, bei Rechnern im Hochschulnetz auf denen ich kein Admin war beispielweise wenn der "lokale Admin" sein Passwort vergessen hatte, immer sehr viel Laufarbeit über den gesamten Campus gespart hat und mir heute noch Laufarbeit spart. Wäre schade, wenn sie geschlossen würde, daher gebe ich sie nicht an Microsoft weiter und verkaufe sie auch nicht an Weiterverkäufer, damit sie nicht bekannter wird.

So ein Bug-Bounty-Programm finde ich trotzdem gut. Viele Leute die eine Schwachstelle entdecken sind scharf auf das Geld und möglicherweise auch auf die mögliche Erwähnung ihrer Person in der Presse (das wäre das Letzte was ich wollen würde, aber gut, manche Menschen stehen drauf), dass sie die Lücke gefunden haben und diese werden gefundene Lücken dann wohl offenlegen und so den Sicherheitsspezialisten beim Tor-Projekt weiterhelfen noch bessere Software anzubieten. Nett wäre es auch ein Programm aufzulegen, welches den Leuten vom TOR-Projekt finanzielle Anreize für besonders fehlerarmen Code bietet. Etwa wenn nur sehr selten eine Sicherheitslücke gefunden wird und somit kaum einmal eine Belohnung aus dem Bug-Bounty-Programm gezahlt werden muss. ;-)
 
Ich kenne seit weit über 10 Jahren eine Sicherheitslücke in sämtlichen Windowsversionen seit Windows 2000 (NT 4.0 habe ich nie darauf getestet. Möglich, dass es damit auch funktioniert.)

Viele Leute die eine Schwachstelle entdecken sind scharf auf das Geld und möglicherweise auch auf die mögliche Erwähnung ihrer Person in der Presse (das wäre das Letzte was ich wollen würde, aber gut, manche Menschen stehen drauf),

@resilience : In diesen beiden Aussagen, die ich aus deinem Kommentar zitiere, tust du was du nicht tun möchtest. Du gibst preis was du weist, und auch ein Kommentar ist Presse und wird von vielen gelesen. Ich Denke du spekulierst auf Anfragen der Leser welche Lücke das ist, denn sonst hättest du es für dich behalten und dir diesen Kommentar erspart.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen