Google houdt spywareleveranciers verantwoordelijk voor bijna 70 zerodays
Bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla, die sinds 2016 zijn ontdekt en gebruikt voor het aanvallen van gebruikers zijn het werk van commerciële spywareleveranciers, zo stelt Google in een nieuw rapport (pdf). Het techbedrijf vindt dat er meer internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen.
De spywareleveranciers leveren spyware waarmee het mogelijk is om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen zo te bespioneren. Om de spyware op de telefoon te krijgen maken de bedrijven, die vaak voor overheden werken, gebruik van zerodaylekken, waar op het moment van de aanval nog geen update voor beschikbaar is. De spywareleveranciers zoeken zelf naar deze zerodays of betalen onderzoekers voor het melden hiervan. De kwetsbaarheden worden echter niet gemeld bij de betreffende softwareleverancier, waardoor er ook geen update voor wordt ontwikkeld en gebruikers kwetsbaar blijven.
Google stelt dat er sinds 2016 zeker 67 van dergelijke zerodays door commerciële spywareleveranciers zijn gebruikt om systemen te infecteren. Veel van de aangevallen kwetsbaarheden bevinden zich in Android, Google Chrome, en iOS. Sinds halverwege 2014 zijn er volgens Google 72 verschillende zerodaylekken gebruikt om gebruikers van Android, Google Chrome en andere Google-producten aan te vallen.
Volgens Google zijn zeker 35 van deze kwetsbaarheden door commerciële spywareleveranciers ingezet. Daarbij stelt het techbedrijf dat dit een lage ondergrens is en het werkelijke aantal zeer waarschijnlijk veel hoger is. Dat geldt zowel voor het totaal aantal geregistreerde zerodaylekken, als de zerodays die zijn ingezet om Google-gebruikers mee aan te vallen.
In het rapport over commerciële spyware laat Google weten dat de tijd voor overheden, industrie en maatschappij is gekomen om de beloningsstructuur waardoor spyware zich kan verspreiden te veranderen. Zo is Google voorstander van het reguleren van commerciële spyware. "De schade die deze industrie veroorzaakt is meer dan duidelijk op dit moment, en we vinden dat dit zwaarder weegt dan enig voordeel om er gebruik van te blijven maken", aldus Google.
…zijn het werk van commerciële spywareleveranciers,
Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
…zijn het werk van commerciële spywareleveranciers,
Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
Misschien kun je de software wereld verblijden door te vertellen hoe je zodanig test dat deze zerodays gevonden worden ?
3 opties:
1) Krijg je een fout code/melding , dan is het goed, en doe je het nog een keer met andere binaire shit etc.
2) Het systeem gaat onderuit, dan ga je zoeken waarom het systeem GEEN foutmelding/code heeft gegeven, en corrigeer je dat, en doe het nog een keer met andere binaire shit.
3) Geeft het systeem een antwoord, dan doe je hetzelfde als bij twee. (het systeem zou geen antwoord moeten produceren, op binaire shit)
Als bovenstaande blijkt dat het systeem altijd foutmeldingen geeft op binaire shit, dan maak je een aantal test cases die de randwaarden van parameters op zoekt, of ver overschrijdt, verkeerde parameters invoert , dus cijfer als er letter verwacht worden etc. Zgn Sanity tests (heel vaak vergeten!)
Geeft het systeem nog steeds alleen foutmeldingen op bovenstaand foute use cases, dan ga je over op Stresstesten.
Bijvoorbeel een stresstest met 100% belasting gedurende een week, of maand.
Blijf het systeem overeind dan heb je een aardig systeem, maar dat is nog steeds niet 100% safe, want dat bestaat niet.
Mijn indruk is dat er vandaag de dag heel weinig getest wordt.
…zijn het werk van commerciële spywareleveranciers,
Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
Misschien kun je de software wereld verblijden door te vertellen hoe je zodanig test dat deze zerodays gevonden worden ?
3 opties:
1) Krijg je een fout code/melding , dan is het goed, en doe je het nog een keer met andere binaire shit etc.
2) Het systeem gaat onderuit, dan ga je zoeken waarom het systeem GEEN foutmelding/code heeft gegeven, en corrigeer je dat, en doe het nog een keer met andere binaire shit.
3) Geeft het systeem een antwoord, dan doe je hetzelfde als bij twee. (het systeem zou geen antwoord moeten produceren, op binaire shit)
Als bovenstaande blijkt dat het systeem altijd foutmeldingen geeft op binaire shit, dan maak je een aantal test cases die de randwaarden van parameters op zoekt, of ver overschrijdt, verkeerde parameters invoert , dus cijfer als er letter verwacht worden etc. Zgn Sanity tests (heel vaak vergeten!)
Geeft het systeem nog steeds alleen foutmeldingen op bovenstaand foute use cases, dan ga je over op Stresstesten.
Bijvoorbeel een stresstest met 100% belasting gedurende een week, of maand.
Blijf het systeem overeind dan heb je een aardig systeem, maar dat is nog steeds niet 100% safe, want dat bestaat niet.
Mijn indruk is dat er vandaag de dag heel weinig getest wordt.
En dat begint op subroutine niveau, dan op groupjes code etc tot het geheel getest kan worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
