Sicherer anonym surfen: Tor Projekt öffnet Bug Bounty-Programm
Das Tor-Netzwerk will ab diesem Jahr die Meldungen von Sicherheitslücken in ihrer Software finanziell entlohnen. Das hat Jacob Appelbaum während eines Talks beim kürzlich zu Ende gegangenen Chaos Communication Congress 32C3 angekündigt. Für das Bug Bounty Programm von Tor hat sich die Plattform HackerOne bereit erklärt, Geld locker zu machen.
Somit stehen für 2016 finanzielle Mittel zur Verfügung, um den Anonymisierungsservice des Tor Projekts abzusichern. Dabei geht es um Softwarefehler im Tor-Browser und im Tor-Messenger. Das ist besonders interessant, da es mittlerweile auch öffentliche Anreize von Dritten gibt, Schwachstellen in Tor zu melden. So hatte der Zero-Day Broker Zerodium im November eine Preisliste veröffentlicht, laut der sie bereit sind, bis zu 30.000 US-Dollar für eine entsprechende Lücke in den Tor-Technologien zu zahlen.
Finanzielle Anreize von Dritten
Um die Fehler nicht an Dritte "zu verlieren" ist das neue Belohnungsprogramm von Tor selbst ein gutes Zeichen - ob es genutzt wird, dürfte sicherlich eine Frage des Geldes sein.
Tor Projekt-Mitglied Nick Mathewson, erklärte nun gegenüber dem Online-Magazin Motherboard, dass man mit dem OTF (Open Technology Fund) einen Sponsor gefunden habe, der über die Plattform HackerOne nun die finanziellen Leistungen des Tor-Bug-Bounty-Programms ermöglicht. Über HackerOne werde es eine Art Einladungssystem geben, bei dem man sich dann mit Fehlerhinweisen melden kann.
Aufdeckung von Schwachstellen vorantreiben
Das Tor Projekt konnte sich bisher allerdings durch die aktive Community nicht beklagen, was die Mitteilungsfreudigkeit der Mitwirkenden zur Aufdeckung von Schwachstellen angeht, hieß es während des 32C3. Jedoch will man mit der Bezahlung für Schwachstellen sicherstellen, dass das Projekt nicht nur finanzielle Anreize von Anderen untergraben wird.
Quelle