image

"Hackerwedstrijd gevaarlijk voor browsers"

maandag 14 maart 2011, 11:41 door Redactie, 4 reacties

De afgelopen Pwn2Own hackerwedstrijd geeft een verkeerd beeld over de veiligheid van webbrowsers en is daarom enigszins gevaarlijk, aldus beveiligingsonderzoeker en Google-medewerker Michal Zalewski. Tijdens Pwn2Own kregen onderzoekers drie dagen de tijd om Apple Safari, Microsoft Internet Explorer, Google Chrome en Mozilla Firefox te hacken. Op de eerste dag sneuvelden IE en Safai, terwijl Chrome en Firefox aan het eind van de wedstrijd nog overeind stonden.

Volgens Zalewski helpen open en transparante beloningsprogramma's voor beveiligingsonderzoekers, zoals die van Mozilla en Firefox, bij het veilig maken en houden van een bepaald platform. In het geval van Pwn2Own is daar geen sprake van. De wedstrijd draait om de ontwikkeling van een enkele exploit, die voor een behoorlijk bedrag wordt overgedragen. In dat proces wordt de achtergrond van het lek niet geopenbaard. Daarnaast valt ook het aantal Pwn2Own-lekken in het niets, in vergelijking met het totaal aantal browserlekken dat jaarlijks wordt gevonden.

Graadmeter
De beveiligingsonderzoeker heeft ook kritiek op de presentatie van het evenement. Alle media-aandacht ondermijnt elke poging om een betekenisvolle en redelijke discussie over de veiligheid van browsers te hebben, aldus Zalewski. Hij verwijst daarbij naar opmerkingen en koppen dat Safari in vijf seconden werd gehackt, terwijl het ontwikkelen van de exploit en het vinden van het lek dagen of zelfs weken heeft gekost.

Zalewski is wel blij dat Chrome en Firefox de wedstrijd zonder kleerscheuren doorkwamen, maar benadrukt dat Pwn2Own geen goede graadmeter is. "Er zijn leveranciers die achterlopen als het op vulnerability respons en proactief beveiligingswerk aankomt, en er zijn lastige problemen die we nog steeds moeten oplossen om het web veiliger te maken. Maar door Pwn2Own geïnspireerde koppen (en mogelijk aangemoedigd door de organisatie) zijn erg oneerlijk, en vervreemden onnodig de partijen die juist aandacht aan hun veiligheid moeten besteden."

Reacties (4)
14-03-2011, 11:48 door Anoniem
google patchte chrome de dag voor de release.... zou dat enig invloed hebben gehad in 't bloodleggen van de browser - ik denk van wel :)
14-03-2011, 12:22 door Syzygy
De afgelopen Pwn2Own hackerwedstrijd geeft een goed beeld over de veiligheid van webbrowsers en is daarom totaal ongevaarlijk, aldus beveiligingsonderzoeker en Security.nl bezoeker Syzygy
. ;-)

Wat willen ze nou ??
Hun Applicaties worden gratis getest door de crème de la crème van de hacker goegemeente en fouten worden ontdekt voordat ze ernstige schade kunnen berokkenen.

Dat de uitkomst af een toe een beetje generend is, is natuurlijk niet zo leuk voor de heren programmeurs maar dan hadden ze maar beter hun best moeten doen, toch.
14-03-2011, 14:25 door Skizmo
"Hackerwedstrijd gevaarlijk voor browsers"
"Inbrekers gevaarlijk voor slecht beveiligde huizen"
14-03-2011, 16:42 door Mysterio
Door Syzygy:
De afgelopen Pwn2Own hackerwedstrijd geeft een goed beeld over de veiligheid van webbrowsers en is daarom totaal ongevaarlijk, aldus beveiligingsonderzoeker en Security.nl bezoeker Syzygy
. ;-)

Wat willen ze nou ??
Hun Applicaties worden gratis getest door de crème de la crème van de hacker goegemeente en fouten worden ontdekt voordat ze ernstige schade kunnen berokkenen.

Dat de uitkomst af een toe een beetje generend is, is natuurlijk niet zo leuk voor de heren programmeurs maar dan hadden ze maar beter hun best moeten doen, toch.

Yep, helemaal mee eens. Maar het liefst krijgt meneer Google de lekken stilletjes binnen, gaan ze stilletjes patchen en vol bombarie laten zien dat ze weer een lek hebben gedicht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.