Nieuws

Google beschermt Linux-gebruikers met sandbox

dinsdag 20 november 2012, 17:03 door Redactie, 14 reacties

Om Linux-gebruikers beter tegen aanvallen vanaf het web te beschermen, heeft Google de sandbox van Chrome versterkt. De sandbox vormt een extra laag die Chrome tussen de aanvaller en de computer van de gebruiker plaatst. Een aanvaller die een lek in de browser vindt moet eerst nog eens uit de sandbox ontsnappen voordat hij de computer kan overnemen. Het afgelopen jaar is de sandbox van Google Chrome verschillende keren gekraakt.

"Het is onze taak om de sandbox zo sterk en ondoordringbaar als mogelijk te maken", zegt software engineer Julien Tinnes. Volgens Tinnes is de kernel van een besturingssysteem een geliefd doelwit voor een aanvaller. De kernel bestaat uit vele regels complexe code. De nieuwste versie van Chrome introduceert daarom voor de 64-bit versies van Linux een nieuwe feature genaamd seccomp-bpf.

Filter
Via seccomp-bpf installeert Google een klein filter in de kernel die aanvallen moet weerstaan. Zo kan het filter bepaalde 'system calls' weigeren waarvan het weet dat Google Chrome niet nodig heeft. "Het installeren van dit filter in de kernel verbetert de veiligheid van onze gebruikers", merkt Tinnes op.

Gebruikers kunnen via chrome://sandbox kijken of ze over de nieuwe feature beschikken. Als dit zo is staat er 'Seccomp-BPF sandbox Yes'. Is dit niet het geval, dan stelt Tinnes dat gebruikers bij hun Linux-distributie vragen om seccomp-bpf toe te voegen. Bij Ubuntu zou dit al sinds versie 12.04 het geval zijn.

'Afwezigheidsbericht springplank voor phishingaanval'

'Recht op vergeten te worden technische nachtmerrie'

Reacties (14)

20-11-2012, 17:40 door Anoniem

Dus dit betekent dat Google een kernel module (met uiteraard alle administrator rechten op het systeem !) gaat installeren om je systeem "veiliger" te maken ? Lijkt een beetje op "Fighting for peace" of "Fucking for virginity" ...

Wie kan voorkomen dat Google daar veel interessantere zaken mee gaat doen dan alleen een leuke sandbox creeren :? Daarmee heeft Google in potentie immers de volledige controle over het hele systeem en kan alles naar hartelust bekijken en besnuffelen ! Lekker veilig !

Ik vond Chrome al niks, maar nu komt het zeker niet meer op mijn systeem !

20-11-2012, 18:18 door Anoniem

@Anoniem 17:40 die kernel extensie bestond al voordat Google besloot 'm te gebruiken om haar producten veiliger te maken; https://lwn.net/Articles/475043/.

20-11-2012, 18:22 door Anoniem

Google heeft veels te veel te verliezen om zoiets te misbruiken. Het is goed om kritisch te blijven, maar sommige mensen doen wel heel erg paranoide als het om google gaat.

20-11-2012, 18:25 door Joep Lunaar

@Anoniem
Aannemend dat de implementatie van de sandbox open source is, net als de rest van Chrome, dan is het gevaar op google-achterdeurtjes dat je veronderstelt zeer onwaarschijnlijk. Gerenommeerde Linux distributies als Debian (+ derivaten) en Fedora, screenen de progammacode en wijzigingen daarop volgens stringente regels. Het is de distributie die de code compileert en omzet in uitvoerbare code. Het afbraakrisico dat Google loopt indien zij iets onwelvoegelijks in hun code stopt maakt wangedrag van Google in de zin die je bedoelt dus nauwelijks denkbaar. Kijk maar eens op debian.org.

20-11-2012, 20:14 door Gebruiker30037

google denkt tenminste aan zijn afnemers.
kan microsoft een voorbeeld aan nemen

ik blijf erbij, een OS wordt door een gespecialiseert bedijf gemaakt en een brower ook,
die twee gaan niet samen

20-11-2012, 20:38 door Anoniem

Door ??: google denkt tenminste aan zijn afnemers.
kan microsoft een voorbeeld aan nemen

ik blijf erbij, een OS wordt door een gespecialiseert bedijf gemaakt en een brower ook,
die twee gaan niet samen

En nu is er een browser met kernel-extensie (OS software!), gemaakt door een bedrijf wat in geen van beiden is gespecialiseerd.

20-11-2012, 20:45 door Anoniem

Door Joep Lunaar: @Anoniem
Aannemend dat de implementatie van de sandbox open source is, net als de rest van Chrome

Incorrect; Chrome is closed source. Chromium is 100% open, en men zegt dat Chrome daarvan is afgeleid, maar je weet nooit wat er precies anders aan is.

dan is het gevaar op google-achterdeurtjes dat je veronderstelt zeer onwaarschijnlijk. Gerenommeerde Linux distributies als Debian (+ derivaten) en Fedora, screenen de progammacode en wijzigingen daarop volgens stringente regels. Het is de distributie die de code compileert en omzet in uitvoerbare code. Het afbraakrisico dat Google loopt indien zij iets onwelvoegelijks in hun code stopt maakt wangedrag van Google in de zin die je bedoelt dus nauwelijks denkbaar. Kijk maar eens op debian.org.

Google probeert altijd de slimste jongetjes in de klas aan te nemen. Het soort jongetjes wat ook zou meedoen aan de Underhanded C Contest... https://en.wikipedia.org/wiki/Underhanded_C_Contest

20-11-2012, 21:18 door Martijn2

En een Search Engine/advertentie bedrijf en een browser gaan wel samen?

20-11-2012, 21:57 door Rasalom

Door Anoniem: Lijkt een beetje op "Fighting for peace" of "Fucking for virginity"

Of 'Searching for nails on low tide'. De code wordt ingediend ter beoordeling, dus achterdeurtjes lijken me zo goed als onmogelijk.

Dit lijkt me de standaard knee jerk reactie. Google? ... Oh, EVIL!

20-11-2012, 22:01 door Rasalom

google denkt tenminste aan zijn afnemers.

Natuurlijk niet. Google denkt vooral aan zijn winst. Hoe groter Chrome, hoe beter de kansen op een goed winstpercentage.

20-11-2012, 22:16 door Gebruiker30037

Rasalom,

ok, maar chrome doet wel wat het moet doen

Martijn2
geen idee, ik vindt gewoon dat een kwalitatief goede producten alleen door dedicated bedrijven gemaakt kan worden
MS is goed in het bouwen van een OS, maar totaal niet in het bouwen van een browser, laat staan een antivirus

21-11-2012, 11:03 door svenvandewege

Als ik de gemiddelde reacties op deze site lees, hebben Linux gebruikers toch helemaal geen bescherming nodig?
Beetje zonde van Google dus.

21-11-2012, 11:37 door Anoniem

Voor de mensen die geen browser hebben met "sandboxing". Veel linux distributies zijn uitgerust met een mandatory access control systeem, zoals SELinux/AppArmor. Je kan dan een stricter profiel instellen voor je browser.

@svenvandewege:
zie http://www.linuxmag.nl/xtra "dossier linux security" voor meer informatie waarom het wel noodzakelijk is.

21-11-2012, 14:59 door Eerde

@Vandaag,11:37 doorAnoniem
Correct !

Quote:
"Het afgelopen jaar is de sandbox van Google Chrome verschillende keren gekraakt."
En dat zou het sandboxen veiliger maken voor Linux ? SELinux/AppArmor lijkt mij beter !

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer