دسته: vulnerability

هفته گذشته یک شرکت خریداری آسیب پذیری به نام Zerodium یک آسیب پذیری 0 روزه Tor را به عموم مردم در یک شیرجه پنهان PR نشان داد. همانطور که می دانید، 0 روز ها اشکالات امنیتی هستند که کشف شده اند اما هنوز به توسعه دهندگان مسئول پچ شدن نرسیده اند. 0 روز اعلام شده توسط Zerodium برای نسخه قدیمی (7.x) مرورگر Tor بود و در برابر آخرین نسخه بی فایده است. Zerodium سوءاستفاده خود را به عنوان دور زدن امنیت امنیتی "امنیت" Tor / NoScript "توصیف کرد که برای تمام جاوا اسکریپت ها طراحی شده است. سوءاستفاده باید همراه با جاوا اسکریپت خرابکارانه باشد که هویت کاربر را تخریب کند تا بتواند موثر باشد. Chuouki Bekrar، مدیر عامل شرکت Zerodium در بیانیه ای که در هفته گذشته منتشر شد، اظهار داشت: "این سوءاستفاده از Tor Browser توسط Zerodium چند ماه پیش به عنوان یک روز صفر به دست آمد و با مشتریان دولت ما به اشتراک گذاشته شد." البته این یک وحشت ناخواسته برای کسانی است که بر روی مرورگر Tor به منظور حفظ حریم خصوصی در برابر رژیم های سرکوبگر متکی به این واقعیت است که برای مدت زمان زیادی آنها را در معرض خطر قرار دادند.

با این وجود ما در اینجا هستیم، این در واقع وضعیت جهان است: جایی که سازمانهای شیک محققان با مبالغ هنگفتی پول میپردازند و سپس آسیب پذیری های کشف شده خود را به مشتریان دولتی برای مقابله با شهروندانشان تبدیل می کنند. با توجه به وب سایت Zerodium، مشتریان آنها "به طور عمده سازمان های دولتی … و همچنین شرکت های بزرگ از بخش های دفاع، فن آوری و مالی" است. Zerodium خود را در پرداخت های خود بالا می برند و در وب سایت خود می گویند: "ما بزرگترین وظایف را پرداخت می کنیم، نه مسائل و مشکلات". این مدل به شدت از برنامه های فریب خوراکی معمولی مانند HackerOne یا Bugcrowd متفاوت است، که آسیب پذیری های آن ها را مستقیما به توسعه دهندگان ارائه می دهد تا بلافاصله آنها را بشکند. برنامه های متعارف نیز به طور معمول کمتر به محقق امنیتی ارائه آسیب پذیری می پردازند.

چه مدت کاربران Tor Browser بدون نیاز به ریسک قرار می گیرند؟ قطعات پازل پیچیده نیست. در 13 سپتامبر سال 2017، وب سایت Zerodium یک فریب زمان محدود را اعلام کرد: بین 13 سپتامبر 2017 و 30 نوامبر 2017، آنها برای آسیب پذیری Tor Browser به مبلغ 1،000،000 دلار پرداخت می کنند. بله شما آن را درست خواندید. یک میلیون دلار. برای قرار دادن این دیدگاه، بر روی صفحه Tor Project HackerOne، توسعه دهندگان مرورگر Tor به مبلغ 4000 دلار برای آسیب پذیری های شدید ارائه می دهند و تنها از زمان انتشار برنامه فریب اشکالات خود در تاریخ 20 ژوئیه 2017 مبلغ 7100 دلار پرداخت کرده اند. نمی تواند با توانایی های مالی دولت ها رقابت کند. اعلام Zerodium همچنین مشخص کرد که پرداخت هزینه بالاتر برای یک بهره برداری کاملا کاربردی، دور زدن امنیت امنیتی "امنیت" Tor / NoScript که جاوا اسکریپت را مسدود می کند، پاداش می دهد. این دقیقا همان چیزی است که اتفاق افتاد. یکی از محققان امنیتی این آسیب پذیری را پیدا کرده است، یک بهره برداری را توسعه داده و به Zerodium فروخته است. اگر چه Zerodium در آن زمان نتیجه نتایج آسیب پذیری مرورگر Tor خود را نشان نداد، Bekrar هفته گذشته به ZDNet نشان داد که در طول و پس از پیشنهاد فضایی محدود، آنها بسیاری از سوء استفاده Tor را که مورد نیاز خود را برآورده می کردند، به دست آوردند. این بدان معنی است که سازمان های دولتی این مرورگر Tor را بعدها پس از شروع فریب زمان محدود در تاریخ 13 سپتامبر 2017 به کار گرفتند. Tor Browser 8.0، که Bekrar اعلام کرد آسیب پذیری آن را تحت تاثیر قرار نمی دهد، در تاریخ 5 سپتامبر 2018 منتشر شد – فقط 5 روز قبل از این که Zerodium در روز 10 سپتامبر 2018 Tor Browser را به عموم منتشر کرد. این به این معنی است که تقریبا یک سال، کاربران Tor Browser تلاش کردند خود را از رژیم های سرکوبگر محافظت کنند بدون اینکه به خطر بیفتند. اگر محقق امنیتی که مرورگر Tor را به Zerodium فروخته بود به جای آن به توسعه دهندگان مرورگر تور مراجعه کرد، احتمالا آن ها یک پاداش به مراتب کوچکتر را دریافت می کردند، اما برای جهان خوب عمل می کردند.

اطلاعیه: ما پیشنهاد یک میلیون دلار آمریکا (1،000،000 دلار) برای کمک به مرورگر Tor # 0day سوء استفاده می کند. جزئیات در: https://t.co/2Vz6RqTnBQ

– Zerodium (@ Zerodium) 13 سپتامبر 2017

البته ممکن است که برخی از سازمان های جاسوسی دولتی آسیب پذیری Tor Browser را به تنهایی و به تنهایی کشف کنند. آن را قبل از اینکه Zerodium شروع به مخفیانه آن را می دانست. Giorgio Maone، توسعه دهنده توسعه افزونه NoScript همراه با Tor Browser، به ZDNet گفت که این اشکال در NoScript 5.0.4 معرفی شد که در 11 می 2017 منتشر شد. اگر سازمانهای جاسوسی یا هر کسی دیگر این مشکل را قبل از Zerodium به دست آوردند، ممکن است کاربران در آن زمان ریسک داشته باشند.

برنامه های فریب حقوقی قانونی باید به گونه ای عمل کنند که وقتی آسیب پذیری ها توسط محققین امنیتی کشف شوند، به برنامه نویسان گزارش داده می شود و در اسرع وقت به آنها آسیب می رساند. اما با توجه به ویژگی های Zerodium در این صحنه، محققان امنیتی با استفاده از پول های بزرگ به فروش می رسانند تا سوء استفاده های خود را به شرکت های خرید آسیب پذیر برای مشتریان نخبگان خود بفروشند. اشکالات امنیتی که توسط این سازمانها خریداری می شوند عمدتا به توسعه دهندگان مناسب ارسال نمی شوند و تلاش می کنند تا آنها را از نصب ناپدید شوند. با آسیب پذیری هایی که نمی توان آنها را پاک کرد، مشتریان دولتی می توانند به طور مخفیانه از سوء استفاده ها در برابر اهداف خود بهره مند شوند.

Zerodium تنها شرکت خرید آسیب پذیری نیست که از دولت تامین شود. به طور گسترده ای شناخته شده است که پیمانکاران عمده دفاعی مانند Northrop Grumman، General Dynamics و Raytheon نیز سوء استفاده از نهادهای دولتی را به فروش می رسانند. احتمالا دیگران وجود دارد. با چنین شرکت های قدرتمند که مخفیانه سوء استفاده های روزانه را به فروش می رسانند، حفظ حریم خصوصی یک مبارزه سخت برای کسانی است که در رژیم های سرکوبگر زندگی می کنند.

شرکت های خریداری آسیب پذیری و نهادهای دولتی عموما رفتار خود را با ذکر موارد استفاده از جمله مواردی مانند تهدید تروریسم یا استثمار جنسی توجیه می کنند. از کودکان این به نفع مردم است. با این حال، تعداد روزافزون مردم با هزینه دولت برای دادن چنین قدرت مواجه می شوند.