Tor Bug Bounty Program

El programa Bug Bounty del proyecto Tor se ha integrado con HackerOne. Como resultado, todas las presentaciones de Tor Bug Bounty deben realizarse para su revisión a través del portal HackerOne.

El Proyecto Tor se compromete a trabajar con expertos en seguridad en todo el mundo para mantenerse actualizado con las últimas técnicas de seguridad.

El Proyecto Tor solo ofrece recompensas de errores para las versiones compatibles de dos de sus productos principales, Tor (the network daemon) y Tor Browser.

Las versiones compatibles de Tor se pueden encontrar en https://trac.torproject.org/projects/tor/wiki/org/teams/NetworkTeam/CoreTorReleases. En el caso de Tor Browser, el sitio web se encuentra en https://www.torproject.org/download/ y los nightlies se pueden obtener a través de http://f4amtbsowhix7rrf.onion/tor-browser-builds/.

Tor categoriza las recompensas en función de la gravedad de la vulnerabilidad para Tor y Tor Browser

Tor

Bajo ($100 - $500)

Este nivel es para errores de baja gravedad que están relacionados con la seguridad pero no ponen en peligro a los usuarios principales. Si se reibe un error que tiene una gravedad demasiado baja para este nivel, se les puede recompensar con pegatinas o una camiseta, y también mencionarlos en el hall de la fama.

Ejemplos de errores:

  • Errores de seguridad que solo afectan a plataformas de muy poco uso (no Linux/Windows/Mac/FreeBSD)
  • Errores de seguridad que afectan a configuraciones que casi nadie usa
  • Out-Of-Bounds reads

Moderado ($500 - $2,000)

Este nivel es para errores de gravedad media que no se pueden usar para explotar o desanonimizar a los usuarios, pero se pueden usar como parte de un ataque mayor que tiene ese objetivo.

Ejemplos:

  • Remote crash bugs que afectan a clientes, servicios ocultos, relays o dirauths
  • Ataques que permiten a los relays vincular a un usuario en diferentes sesiones
  • Errores de seguridad que requieren acceso local (no privilegiado) al host a explotar (ejm. local privilege escalation to root)

Alto ($2,000 - $4,000)

Este nivel es para errores de seguridad graves que provocan que los usuarios sean desanónimos o comprometidos.

Ejemplos:

  • Ataques que permiten la ejecución de código remoto
  • Ataques que causan la fuga de material criptográfico de relays o clientes (ejm. Heartbleed-like bugs)
  • Ataques que hacen que los clientes se desanonimen de forma remota

Vulnerabilidades en librerías de terceros utilizadas por Tor estándar ($500 - $2,000)

Las vulnerabilidades de severidad media o alta en las librerías de terceros que causan un problema, están dentro del alcance de este programa de recompensas de errores. Se excluyen IBB y OpenSSL

Tor Browser

Bajo ($100 - $1,000)

Este nivel es para vulnerabilidades de seguimiento o trazas/supercookie.

a. No fingerprinting (identificadores/cookies/etc): $1,000

b. Fingerprinting (por ejemplo, cualquier error que ayude a un atacante a descubrir algo sobre los hábitos de navegación de un usuario)

Moderado ($1,000 - $2,000)

Este nivel es para crashes no explotables causados ​​por Tor Browser patches y NoScript bypasses para ejecutar scripts arbitrarios:

a. Unexploitable Tor Browser crashes causados por Tor Browser patches

b. NoScript bypass para obtener cualquier script para ejecutar

Alto ($2,000 - $3,000+)

Este nivel es para errores de seguridad graves que pueden provocar que los usuarios se desanonimicen o sean comprometidos:

a. "Uncontrolled" Partial Proxy Bypass

b. Full Proxy bypass

c. Tor Browser-Specific Code Exec Base Bounty

d. Bonus sobre Base Bounty/Mozilla Bounty por exploits de ejecución de código que funcionan en:

  • Medium Security Slider Level en una página HTTPS: 50% Bonus
  • Medium Security Slider Level en una página que no utilice protocolo HTTPS: 75% Bonus
  • High Security Slider Level: 100% Bonus

También puedes enviar informes de errores de seguridad a través de la dirección de email tor-security@lists.torproject.org