Zerodium, empresa especializada en la compra y venta de exploits zero-day, ha organizado una competición por la que desembolsará un millón de dólares por la compra de exploits zero-day compatibles con el navegador anónimo Tor en Tails Linux y el sistema operativo de Windows.
Para que la compra llegue a buen puerto, el exploit zero-day para Tor ha de funcionar sin necesitar interacción alguna por parte del usuario exceptuando la visita de la víctima a una página web. Por ejemplo, quedarían descalificados de la competición aquellos exploits que precisen del envío de documentos maliciosos.
Hemos lanzado esta competición especial para exploits zero-days para Tor con el objetivo de ayudar a nuestro gobierno a luchar contra el crimen y hacer del mundo un lugar mejor y más seguro para todos
El vector de ataque inicial sería pues una página web. Otra de las condiciones es que los exploits han de posibilitar la ejecución del código en remoto. Por otra parte, y aunque Zerodium acepta exploits para Tor con el JavaScript bloqueado (ajuste de seguridad alta) y desbloqueado, los primeros serán mejor valorados.
Otra de las pautas marcadas por la compañía es que el exploit ha de funcionar con la última actualización del navegador Tor. Según Zerodium, su objetivo no es otro que el de revender los exploits a las agencias gubernamentales de ciberseguridad para ayudarlas a combatir a los ciberdelincuentes y a las enpresas de desarrollo de malware que a su vez tienen como cliente a estas agencias.
«En muchas ocasiones, Tor es usada por personas para llevar a cabo actividades como tráfico de drogas o abuso a niños. Hemos lanzado esta competición especial para exploits zero-days para Tor con el objetivo de ayudar a nuestro gobierno a luchar contra el crimen y hacer del mundo un lugar mejor y más seguro para todos«, indican representantes de la empresa.
Por su parte, desde Tor se ha manifestado que la creación de una brecha de seguridad en su software anónimo puede poner en peligro las vidas de muchos usuarios incluyendo las de aquellas personas que defienden los derechos humanos, activistas, abogados e investigadores, que dependen de este navegador: «Más de 1.5 millones de personas dependen de Tor cada día para proteger su privacidad online, para algunos esto significa la vida o la muerte. Participar en el programa de Zerodium pondrá en peligro la vida de nuestros usuarios más vulnerables«.
Asimismo, la organización ha hecho un llamamiento a investigadores y hackers para que de manera responsable haga públicas las vulnerabilidades de Tor a través de su programa de reciente creación Bug Bounty.