Sólo se podrá acceder al programa de recompensas de Tor mediante invitación, al menos al principio

A finales de año en la charla ”State of the Onion” que tuvo lugar en la 32 edición del Chaos Communication Congress en Hamburgo, Nick Mathewson, co-fundador, investigador y arquitecto jefe del Proyecto Tor declaró que este mes de enero se iniciará un programa de recompensas de errores (bug bounty program) para el navegador Tor:

"Estamos muy agradecidos a la gente que ha revisado nuestro código a lo largo de los años, pero la única manera de seguir mejorando es conseguir involucrar a más personas. Este programa animará a la gente a mirar nuestro código, encontrar defectos en el, y nos ayudará a mejorarlo".

Al parecer dicho programa van a realizarlo a través de HackerOne, una plataforma para conectar a los investigadores de tecnología que descubren vulnerabilidades, bugs y otros temas con las empresas afectadas por ellos. HackerOne recaudó $25 millones en fondos privados en 2015.

El dinero va a ser puesto por el Fondo de Tecnología Abierta (Open Technology Fund); una comunidad de expertos que utilizan fondos para apoyar los proyectos de la libertad en Internet en todo el mundo.

Y aquí viene lo malo (o lo bueno según quién lo miré): el programa será sólo accesible, al menos en su fase inicial, mediante invitación. Esto evidentemente ha sido fuertemente criticado... es como decir "hey, vamos a sacar un programa de recompensas para mejorar la seguridad de Tor" y a continuación "pero sólo van a poder participar unos pocos". Una de cal y otra de arena. Se hablaba de 15 a 20 investigadores pero afirman que serán más de 100 como en el resto de programas de HackerOne. 


En cualquier caso dicen que se trata de una especie de fase beta para madurar el programa para más tarde hacerlo enteramente público, a finales de año. Veremos...

Fuentes:
- Tor Project To Start Bug Bounty Program
- Tor Project to Launch Bug Bounty Program
- Tor Project Fights Back with Bug Bounty Promise
- Tor Project To Launch Bug Bounty Program
- Invite-only bug bounty criticised for turning up the heat on Tor

Comentarios