"Google liegt over beveiligingslek Android"
Vorige week werd bekend dat Google een oud en bekend beveiligingslek in haar Android software voor mobiele telefoons had laten zitten. In eerste instantie probeerde de zoekgigant het effect van de kwetsbaarheid te bagatelliseren, maar daarna opende het de aanval op de onderzoeker die het lek ontdekte. Charlie Miller had volgens Google een ongeschreven regel overtreden. Google doelt hierbij op "responsible disclosure", het op verantwoorde wijze melden van lekken. "Het mes snijdt echter aan twee kanten", zegt onderzoeker Chris Soghoian.
"Als Google wil dat onderzoekers het bedrijf eerste inlichten over beveiligingslekken, dan is het eerlijk dat Google het publiek inlicht zodra een lek gepatcht is. Google's aanpak in deze is er eentje van complete geheimhouding, waarbij het lekken niet erkent en al helemaal geen gebruikers waarschuwt dat een lek bestaat of is verholpen." De zoekgigant liet vorig jaar weten dat haar gebruikers niet technisch genoeg zijn om security bulletins te begrijpen en de meldingen alleen maar "afleidend" en "verwarrend" vinden. Verder zijn de aanpassingen die Google doorvoert onzichtbaar voor haar gebruikers, waardoor het geen reden ziet om mensen te waarschuwen.
Volgens Soghoian kunnen bedrijven "responsible disclosure" alleen verwachten als ze ook iets met de informatie doen. Gewaarschuwde bedrijven die de meldingen links laten liggen, zullen de volgende keer geen waarschuwing meer ontvangen. Daarnaast verwachten onderzoekers voor het melden van problemen bedankt te worden. Op dit gebied presteert Google belabberd. Het bedankt onderzoekers vaak niet voor het melden van lekken en in sommige gevallen laat het beveiligingslekken lange tijd zitten. Het eindresultaat is dat veel onderzoekers daarom voor "full-disclosure" kiezen, aangezien ze bij Google tegen een muur aanlopen. Soghoian heeft dit zelf ook eens meegemaakt, toen hij de zoekgigant waarschuwde, maar die hem volledig negeerde.
Android
Nemen we het lek in Google onder de loep, dan wordt de situatie voor Google nog slechter, zo laat Soghoian weten. Android bestaat uit 80 opensource libraries en programma's en de kwetsbaarheid was al enige tijd bekend en gepatcht. In het geval van Google was Android kwetsbaar omdat het bedrijf oude software verscheepte waarvan men wist dat die lek was. De zoekgigant beschuldigde Miller ervan de details meteen openbaar te hebben gemaakt, maar ook dat is niet het geval. Al op 20 oktober had de onderzoeker Google ingelicht. Daarnaast zijn de exacte details nog altijd niet bekend en is er ook geen proof-of-concept exploit verschenen. De aanpak van Miller is dus zeker niet als full-disclosure te omschrijven.
"Als Google Miller al kan bekritiseren, dan is dat niet voor het niet waarschuwen, maar mogelijk vanwege de beperkte informatie. Gegeven het feit dat Google bekend lekke software naar honderdduizenden gebruikers stuurt, en gepatchte versies van de software alle enige tijde beschikbaar waren, is het lastig om sympathie voor Google te voelen."
Verder geeft Soghoian Miller nog een pluim, in het verleden had de beveiligingsonderzoeker informatie over een lek in de Linux kernel voor 50.000 dollar aan de National Security Agency gekocht, dat daarmee buitenlandse netwerken zou hebben gehackt. "We moeten blij zijn dat hij in ieder geval het bestaan van het lek publiek heeft gemaakt. Op deze manier hebben ontwikkelaars tenminste een kans om het te vinden en verhelpen."
O en wat lees ik daar? Een lek in Linux? Dat kon toch helemaal niet? Zo zie je maar weer.
O en wat lees ik daar? Een lek in Linux? Dat kon toch helemaal niet? Zo zie je maar weer.
Wie zegt dat er geen lek in Linux kan? Jij haalt hier volgens mij het virus en het lek verhaal door elkaar. AL:LES kan zolang het met mensenhanden is gemaakt.
Probeer je hier nu moedwillig Linux te bashen?
[ontopic]
Ik hoop dat Google de kinderziektes er snel uit heeft want ik zie (als programmeur) veel potentieel in het OS. Voorlopig zal ik mij hier nog niet veel mee bezig houden tot dat het zichzelf bewezen heeft
[/ontopic]
Geen wonder dat Google, je weet wel van die veilige browser en 'cloud computing' Google apps, zo'n type niet vertrouwd en links laat liggen.
Verder is het niet "Google wist" maar "Google had kunnen weten..." gewoon even de juiste gepatchde versie erin en klaar, gut, gut, wat een ophef om een miniem voutje dat zo verholpen is.
Maar zo zie je maar weer de mooie werking van open source... iedereen kan de broncode 'lezen' en gewag maken van onvolkomenheden, das nog eens wat anders dan bij closed source het geval is.
Open source, veiliger kan niet.
Geen wonder dat Google, je weet wel van die veilige browser en 'cloud computing' Google apps, zo'n type niet vertrouwd en links laat liggen.
VertrouwT... Daarnaast, als Google meent zich moreel verheven te voelen boven personen, die aangeven dat er beveiligingsproblemen zijn, dan lijkt me dit niet de juiste methode. Daarnaast weet je helemaal niet of Google er die gedachtekronkel op na houdt die jij erop nahoudt, en ten derde: als iemand als Holleeder mij zegt dat ik beter dat raam dicht kan doen of die sleutel onder mijn deurmat vandaan kan halen, omdat anders mensen bij me naar binnen wandelen, dan heb ik geen boodschap aan zijn verleden.
Even terug naar het oorspronkelijke artikel op security.nl: "De gebruiker kan gefopt worden door een kwaadaardige website te openen, waarna een hacker alle toetsaanslagen kan volgen zodat persoonlijke informatie als creditcardgegevens, e-mailgegevens, gebruikersnamen en ingevoerde wachtwoorden te zien zijn." Ik weet niet wat jij dan een grote fout noemt? Noem je een keyboard sniffer wellicht ook een onschuldig hebbedingetje? En de Slammer worm een onschuldige worm die zo verholpen is?
Open source, veiliger kan niet.
Nee, zeer weinig mensen kunnen de broncode lezen, simpelweg doordat veel mensen de kennis niet hebben om de vaak twijfelachtige kwaliteit broncode te analyseren. De mensen die echt kwaad willen en de zelf gefabriceerde zero-day exploits voor zichzelf houden, die zullen die exploits ook niet vrijgeven voor closed-source software. Wat dat betreft is er geen verschil. Maar goed, laten we die discussie maar niet opstarten.
Kunnen jullie je voorstellen dat er een hoop mensen erg moe worden van het 'op de man spelen', ja ja ik ken de even puberale reactie van "je hoeft het toch niet te lezen", desalniettemin !
Dit gaat jullie carrière* geen goed doen, kan ik je verzekeren.
* voor zover daar überhaupt sprake van kan zijn.
Geen wonder dat Google, je weet wel van die veilige browser en 'cloud computing' Google apps, zo'n type niet vertrouwd en links laat liggen.[/quote]VertrouwT... Daarnaast, als Google meent zich moreel verheven te voelen boven personen, die aangeven dat er beveiligingsproblemen zijn, dan lijkt me dit niet de juiste methode. Daarnaast weet je helemaal niet of Google er die gedachtekronkel op na houdt die jij erop nahoudt, en ten derde: als iemand als Holleeder mij zegt dat ik beter dat raam dicht kan doen of die sleutel onder mijn deurmat vandaan kan halen, omdat anders mensen bij me naar binnen wandelen, dan heb ik geen boodschap aan zijn verleden.
Even terug naar het oorspronkelijke artikel op security.nl: "De gebruiker kan gefopt worden door een kwaadaardige website te openen, waarna een hacker alle toetsaanslagen kan volgen zodat persoonlijke informatie als creditcardgegevens, e-mailgegevens, gebruikersnamen en ingevoerde wachtwoorden te zien zijn." Ik weet niet wat jij dan een grote fout noemt? Noem je een keyboard sniffer wellicht ook een onschuldig hebbedingetje? En de Slammer worm een onschuldige worm die zo verholpen is?
Open source, veiliger kan niet.
Nee, zeer weinig mensen kunnen de broncode lezen, simpelweg doordat veel mensen de kennis niet hebben om de vaak twijfelachtige kwaliteit broncode te analyseren. De mensen die echt kwaad willen en de zelf gefabriceerde zero-day exploits voor zichzelf houden, die zullen die exploits ook niet vrijgeven voor closed-source software. Wat dat betreft is er geen verschil. Maar goed, laten we die discussie maar niet opstarten.[/quote]Je maakt m.i. een aantal denkvouten. [Buiten dat dat vertrouwT een bijwerking is van een buitenlandse opleiding, een Geuzen "T" dus].
1. Als Holleder net als bij Brammie Mosc. daarbij een leuke korting voor je kan bedingen omdat een vriend van hem toevallig een beveiligingsbedrijfje heeft, moet je wel degelijk alarm bellen horen of niet piepen. Verder al wordt 'ie heilig verklaart door de Paus, nog zal ik hem niet vertrouwen.
2. Mijn quote "Google wist" komt uit het oorspronkelijke artikel hierboven...
Dat de gebruikert gefopt wordt door een kwaadaardige site te openen heeft nix met Google te maken.
Het ging om een stukje code waarvan men de inmiddels gepatchde versie had moeten nemen.
3. Nee zeer veel mensen hebben de mogelijkheid om de code te lezen, of ze dat kunnen is punt twee. Er zijn veel meer open source coders, hackers, dan dat de closed source bedrijven ooit bij elkaar in dienst kunnen hebben. De kans dat een van die vele hackers een stukje kwaadaardige code ontdekt is vele malen groter dan dat bij closed source is, gewoon per definitie.
Mijn stelling blijft dan ook dat de 'wapening' tegen exploits beter wordt gewaarborgd door open source dan closed source.
En Open Source is toch zo veilig...........
Mijn stelling blijft dan ook dat de 'wapening' tegen exploits beter wordt gewaarborgd door open source dan closed source.
Er zijn meer Closed Source programmeurs dan Open Source programmeurs, Eerde! Voor hackers maakt het besturingssysteem niets uit. Als ze het willen hacken, dan hacken ze het. De kans dat men een nieuwe exploit bij Closed Source vindt is vele malen kleiner dan bij Open Source. Eerst moet men de binaries decompilen naar Assembler of Pseudo-C. Daarna zal men de betreffende output moeten schoonmaken en analyseren. Dan pas blijkt of men een werkende exploit zou kunnen maken.
Bij Open Source gaat het een stuk sneller. Men kan nu eenmaal de originele code inzien en sneller analyseren. Een exploit die werkt is dan zo gevonden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
