Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 81, views: 28.759 •

Tien uur nadat tijdens een wedstrijd op de Hack in the Box-beveiligingsconferentie in MaleisiŽ een beveiligingsprobleem werd ontdekt, heeft Google een patch doorgevoerd. Het internetbedrijf had de wedstrijd zelf georganiseerd.

Google ChromeBeveiligingsonderzoeker Pinkie Pie was de enige die deelnam aan een wedstrijd die Google organiseerde tijdens de Hack in the Box-beveiligingsconferentie. Tien uur nadat de kwetsbaarheid was ontdekt, had Google al een update klaarstaan, die momenteel wordt uitgerold via het automatische updatesysteem van Google Chrome.

Technische details over de kwetsbaarheid die Pinkie Pie vond, worden later pas vrijgegeven, als genoeg gebruikers hun Chrome-installatie hebben bijgewerkt. Duidelijk is wel dat de exploit leunt op twee bugs: een in de manier waarop WebKit omgaat met svg-afbeeldingen en een andere bug in de ipc-laag van Chrome, die het mogelijk maakte om uit de sandbox van Chrome te breken.

Ontdekker Pinkie Pie, wiens identiteit niet bekend is, krijgt een beloning van 60.000 dollar voor het vinden van de kwetsbaarheid. In maart streek hij hetzelfde bedrag op tijdens het vinden van drie kwetsbaarheden in Google Chrome tijdens de Canadese Pwn2Own-competitie.

Reacties (81)

das pas geld verdienen :P
goed van google dat ze zo snel zijn met patchen ten opzichte van andere bedrijven *java kuch*
Lijkt me niet zo raar eigenlijk. Ze organiseren zelf die wedstrijd met de bedoeling om lekken te vinden, zou raar zijn als ze die lekken dan weken open laten.
Maar er zit een groot verschil tussen een lek weken open laten en een lek binnen 10 uur oplossen. Dat de oplossing zo snel beschikbaar is betekent dat de ontwikkelaars stand-by stonden en meteen met de bug bezig zijn gegaan. Ze hadden er ook voor kunnen kiezen om hem hoge prioriteit te geven en ergens deze week een keer op te pakken.
Complimenten voor Google dus, er zijn helaas genoeg bedrijven die dat niet zo oppakken.
Het zou ook een marketing stunt kunnen zijn van Google. Ze hebben immers de wedstrijd zelf georganiseerd. Het zou me dan ook niks verbazen dat Google al vooraf van het bestaan van het lek wist en deze wedstrijd gebruikte om zo het vertrouwen in Google te vergroten.

Niet alles is altijd wat het lijkt. Je ziet dit overal gebeuren. Modellen die gephotoshopped zijn, acteurs die in reality programma's spelen, fabrikanten die producten mooier en beter doen overkomen dan ze eigenlijk zijn, sporters die aan de doping zitten, etc. Alles om maar beter over te komen.

Maar nogmaals, het zou kunnen.
Natuurlijk is het deels een marketingstunt! Maar er zitten ook andere voordelen aan voor Google natuurlijk.
Zo kun je alles het negatieve intrekken. Google heeft deze bug ook alleen gefixt om vertrouwen en goodwill te kweken onder z'n gebruikers. Het is een grote marketingstunt om lekken snel te dichten ;)

Ik vind het (hoewel ik de omvang van het werk eerlijk gezegd niet kan inschatten) best netjes dat ze in pakweg 1 werkdag een gat dichten in hun browser :)
Ik denk van niet, aangezien dit soort nieuws het grote publiek niet bereikt en binnen de tech-community blijft, dan is het niet de moeite om daar zoveel geld in te pompen.
Dit is natuurlijk helemaal niet eerlijk. Ze kregen nu exact de code van de exploit + test case. Als het een implementatie fout is en niet een algoritme fout dan is het daarna meestal niet meer dan naar de goede regel scrollen en kijken wat er fout is.

Normaal weet je alleen dat er een lek in (een deel van) je programma zit en dan moet je het dichten, dat is natuurlijk veel lastiger.

Dus fijn dat ze het even snel oppakten, maar het is niet eerlijk om dan naar andere bedrijven te wijzen en te zeggen 'oh die laat een lek soms wel 2 weken ongedicht'.
Daarom organiseren ze dus die wedstrijd.

En veel bedrijven *kuch M$* laten lekken veel langer dicht, soms wel jaren. Soms wordt er gewoon gezegd dat fixen meer kost dan laten zitten. EA is er ook heel goed in om leuke games met volledig onspeelbare netwerktechnologie te laten rotten, Generals is een van de vele voorbeelden.

Wel vreemd dat er maar 1 iemand meedeed...

[Reactie gewijzigd door voswouter87 op 11 oktober 2012 16:43]

Ik snap niet wat hier niet eerlijk aan is.

Sommige bedrijven lijken er een sport van te maken om hun lekken niet openbaar te maken.

Google daagt mensen juist uit, en op deze manier levert het ook geld en eer op een eerlijke manier op. Dit is DE strategie om efficient lekken te dichten, en je wordt er niet eens op afgerekend.

Hopelijk organiseren snel meer grote bedrijven zulke events.
Dat de oplossing zo snel beschikbaar is betekent dat de ontwikkelaars stand-by stonden en meteen met de bug bezig zijn gegaan. Ze hadden er ook voor kunnen kiezen om hem hoge prioriteit te geven en ergens deze week een keer op te pakken.
Pfff... hallo zeg.

Als je zelf zo'n wedstrijd organiseerd dan zorg je er uiteraard voor dat je beste ontwikkelaars dan die dagen gereserveerd hebben om full time te werken aan de bugs die bij die wedstrijd gevonden worden.
Niemand is zo ongelooflijk stom om dat niet te doen.

De meeste bugs worden waarschijnlijk in zo'n tijdsframe opgelost, maar dan duurt het gewoon langer voordat ze er aan kunnen beginnen, omdat ze eerst nog andere werkzaamheden hebben.

[Reactie gewijzigd door mjtdevries op 11 oktober 2012 14:18]

Kom OP jongens, dit is wel een heel erg doorzichtig 'Wij van WC eend' Verhaal of niet soms???

Google houdt een wedstrijd. Over de browser van Google. Google weet dat er een team nodig is om een eventueel gevonden lek te verhelpen.

Het zou een gigantische imago blunder zijn als ze dit niet binnen een dag hadden opgelost! Natuurlijk is dit een marketing stunt.
Het is goed mogelijk dat ze al op de hoogte waren van de lek nog voor deze werd aangekondigd op hun eigen wedstrijd. Ze zullen toch ook wel screenen wat ze allemaal gaan tonen op zo'n evenement.
Maar das wel gebeurd natuurlijk. Die Pinkie Pie heeft in zijn eigen tijd een lek gevonden, zit daar vervolgens weken of maanden op tot ie kan cashen, die is ook niet gek.

Je kunt je afvragen of anderen niet ook al enige tijd actief gebruik maken van die 2 bugs. Maar goed Google kan mooie sier spelen met het feit dat ze het zo snel patchen. hahaha.
Beter zo als dat hij de bugs verkoopt aan overheidsdiensten of andere criminelen. Als je ieder jaar 2 keer zo'n bedrag krijgt voor een bug dan lijkt het me genoeg om redelijk van te kunnen leven. Alles wat je meer vindt of er nog bij doet (bv een reguliere baan) is dan extra.
Waaruit blijkt dat hij dat niet ook heeft gedaan? Financieel gezien is het rendement hoger als je 2x kunt cashen voor dezelfde vondst :)
veel erger: (oracle)
Beveiligingsonderzoeker Pinkie Pie was de enige die deelnam aan een wedstrijd die Google organiseerde tijdens de Hack in the Box-beveiligingsconferentie.
Dat is wel relaxt, dan win je altijd.
moet je wel een lek vinden ;)
moet je wel een lek vinden ;)
Ik denk dat ie al wat had, anders had ook hij niet meegedaan. Hij zal echt niet van scratch af bij het begin van de wedstrijd begonnen zijn met zoeken naar een lek.

Op zich is het wel een opsteker voor Google dat slechts 1 deelnemer iets had om aan de wegstrijd deel te nemen. (Alhoewel, ik bedenk me dat bij andere wedstrijden waar browsers en OSsen gekraakt mogen worden ook het aantal deelnemers op de vingers van 1 hand te tellen zijn)
Je hebt natuurlijk helemaal gelijk. Hij had al zijn tools al klaar, zo ging het de voorgaande keren ook.

De manier waarop de vorige hacks werden geplaatst er erg goed omschreven door Google. Er waren toen 5 tot 10 bugs achter elkaar nodig om volledig door de beveiliging te komen.

Deze was dus relatief makkelijker. Ik denk dat deze hacker ook nog niet klaar is met zijn kunstjes. Eigenlijk zou ieder project een hacker van dit niveau moeten hebben. Google zal de hoofdprijs lachend betaald hebben.

Als de lezers hier nu denken dat Chrome slecht in elkaar zit, nodig ik ze uit de blog posts van Google eens goed door te nemen en vervolgens te zeggen dat ze dit ook hadden kunnen klaarspelen.
Kan ook gewoon een kostenoverweging zijn geweest. Hoeveel krijg je met een dergelijke hack aan te reiken, en hoeveel kun je verdienen door het te exploiteren. Stel je voor dat chrome redelijk is dichtgetimmerd, dan worden de exploits die niet bekend zijn veel meer waard.
Moet je natuurlijk nog wel eerst een lek vinden ;)
Je moet wel iets vinden. En het verhaal vertelt niet waar Pinkie Pie woont, maar de reis zal ook niet gratis zijn.
de reis zal geen 60 duizend euro gekost hebben ;)
Pinkie Pie woont in Ponyville ;)

Wat zou de reden zijn dat een beveiligingsexpert anoniem wil blijven? Zo krijg je toch nooit opdrachten? Bij hackers kan ik me iets voorstellen bij schuilnamen, maar als expert wil je ingehuurd worden en als expert bekend raken. Dat lukt niet echt als je jezelf vernoemt naar een roze pony...
waarom? ik heb jaren lang bij de overheid gewerkt aan de sociale zekerheidsdienst van Belgie. Daarvoor systeembeheerder aan de universiteit van Leuven. Ik wil eens zien hoe "blij" de mensen zijn als ik met mijn echte naam security van alle mogelijke systems omzeil. Mijn baas zal blij zijn:
Meester hacker harry werkt bij ons en kan aan al jullie financiele gegevens... van iedere belg die ooit in belgie gewerkt heeft!!! (hypothetisch, he ;))

hah!! zonder pseudoniem zou ik rap buiten gevlogen zijn. SOMMIGE mensen willen bekendheid verkrijgen... anderen willen gewoon hacken omdat het plezant is om te doen en de wereld te verbeteren (en ja... sommigen ook verslechteren)
Bij hackers kan ik me iets voorstellen bij schuilnamen, maar als expert wil je ingehuurd worden en als expert bekend raken.
Jij weet dat hij opzoek is naar werk? Vertel wat weet je nog meer over (de hacker) pinky pie...
A teenage hacker who goes by the "Pinkie Pie" handle has hacked into Google Chrome using three distinct zero-day vulnerabilities to evade the browser's protective sandbox.

The exploit was used as part of Google's Pwnium hacker contest and earned the researcher the maximum $60,000 cash prize.

"Pinkie Pie," who asked to remain anonymous because he had not been authorized by his employer to participate in the contest, said he chained three different vulnerabilities to build an exploit to escape the Chrome sandbox.

(...)
While "Pinkie Pie" was previously unknown to onlookers here, Googlers described him as a "known and respected security researcher."
In an interview after successfully launching the drive-by download exploit, Pinkie Pie said he worked for about one-and-a-half weeks to find the vulnerabilities and write a reliable exploit.
Eerst naar Google grijpen en dan pas oeverloos zwetsen. Bron kun je er zelf bij zoeken.
Misschien heeft hij klanten of werkt hij bij een bedrijf waar men het onwenselijk vindt dat iemand die beveiligingsexpert is, in zijn vrije tijd ook hacker is?

Net zoals dat je niet snel aangenomen zult worden als bewaker als bekend is dat je hobby inbreken is.
Er staat echter niet of hij ook een hacker is, enkel dat hij een beveiligingsonderzoeker is. En van elke (goede) beveiligingsonderzoeker kan je eigenlijk wel verwachten dat die lekken kan vinden en dus eventueel ook misbruiken.

De vergelijking met de bewaker gaat niet helemaal op omdat een bewaker in principe geen kennis moet hebben van sloten. Ben je echter op zoek naar iemand die wil controleren of de sloten die je gebruikt wel veilig zijn, zul je toch uitkomen bij iemand die wel kennis over sloten heeft en vermoedelijk ook de mogelijkheid om (slechte) sloten open te krijgen.

[Reactie gewijzigd door Adion op 11 oktober 2012 12:53]

"De hack was onderdeel van de door Google opgezette Pwnium-wedstrijd en werd uitgevoerd door een hacker die zich 'Pinkie Pie' noemt. De tiener wil bewust anoniem blijven, aangezien hij van zijn werkgever geen toestemming had gekregen om aan de wedstrijd deel te nemen. "

Bron: http://www.security.nl/ar...rome_via_3_zero-days.html

Ik neem aan dat Google wel weet wie hij is, misschien krijgt hij daar nog wel een contract aangeboden ook...
Waarom een baan als je 120k per jaar kunt verdienen met hack wedstrijden? ;)
Ik denk wel dat hij (of zij :P) een beveiligingsrisico moet aantonen, dat dan pas het geld op tafel wordt gezet.

Zouden ze hem trouwens bij Google niet gewoon aan kunnen nemen? Al verdiend hij op deze manier wel meer dan met een vast contract...
Moet je wel eerst een exploit kunnen aantonen. ;)
Nee, das natuurlijk onzin he.

Je wint pas als je een bug ontdekt heb. Als je dus geen bugs vind win je niets. Als er 10 mensen zijn die mee doen, en die vinden allemaal een andere bug, krijgen alle 10 de mensen de beloning.
Niet echt wanneer je niets vindt, win je ook niets. Dit zijn zot getalenteerde mensen die echte geniŽn zijn in hun doelgebied dus je moet ze ook niet onderschatten, als hij maar 1 fout vindt en niemand anders dan weet je wel hoe uitzonderlijk het is.
Ik denk dat voor te winnen je gewoon een werkende exploit moet hebben.

Indien er 5 man is met een werkende exploit winnen ze alle vijf.

Ale, schiet me niet af als ik verkeerd ben, maar dacht toch dat ze zo werkte :-).
Wellicht ten overvloede, maar je moet natuurlijk wel een lek kunnen vinden!! :+
dat zijn nog eens leuke beloningen. Of dit in wedstrijd vorm moet vind ik wel wat raar, maar beter dat het op deze manier ontdekt word dan door iemand die kwaad wilt.
Wellicht hadden kwaadwillenden het allang ontdekt maar was het nog niet opgevallen bij de Google. Nu is het in ieder geval dicht, en die 60.000 euro daarvoor is echt een schijntje voor Google.
Juist door het in wedstrijdvorm te gieten met een beloning ertegenover motiveer je mensen meer om hier actief naar te gaan zoeken. Als je ziet dat pinkie pie dit jaar dus al 120.000 dollar heeft opgestreken dan is dat ook voor hem/haar een lucratieve tijdsbesteding is bovenop zijn/haar gewone werk.
Natuurlijk in wedstrijdvorm! Het voert de tijdsdruk op, je kunt veel meer mensen aan het werk zetten en je weet zeker dat je alleen de talenten betaalt.
Vandaar dat er maar een persoon mee deed :+
Dit zijn de betere deals.... vooral voor het bedrijf. Als er geen hacks gevonden worden kost het google niks, en 60000 voor een bug is niks vergeleken met de mogelijke kosten wanneer zo'n bug op kwaadaardige wijze aan het daglicht wordt gebracht.

Het is vergelijkbaar met een bedrijf dat een nieuwe slogan wil. Gewoon een prijsvraag houden. Je krijgt ladingen suggesties en in ruil betaal je alleen de winnaar.
Het kost Google geen geld als er een bug wordt geexploiteerd. Enkel en alleen als het een dusdanig grote bug is dat het breed wordt uitgemeten in de media, krijgen ze negatieve publiciteit met mogelijke indirecte kosten.
Ha, ik vraag me af of dan ook de buildservers bij google in die 10 uur alle unit tests hebben kunnen uitvoeren.
Goed om te lezen dat Google wel de juiste prioriteiten stelt. Die korte doorlooptijd zal voor de meeste software bedrijven geen enkel probleem zijn.
Dat waag ik te betwijfelen. Bij het bedrijf waar ik werk, kost de meest triviale patch al tenminste twee weken, vooral vanwege de bureaucratie eromheen, maar ook omdat er veel getest moet worden voordat een patch gereleased mag worden.

Zeker voor een product als Chrome met miljoenen (miljarden?) gebruikers over de hele wereld, vind ik het behoorlijk knap dat ze binnen tien uur een patch kunnen uitbrengen die ze wereldwijd durven uit te rollen.

Dus of Google is extreem efficiŽnt in haar ontwikkelproces of het risico van het lek was zo ernstig, dat dat het risico op bugs in de patch oversteeg.
Toegegeven, we kunnen natuurlijk nooit bij Google binnen kijken hoe efficiŽnt de processen daar zijn. Ook weten we niet precies of de patch nieuwe bugs introduceert.

Maar als we naar onze eigen processen kijken kunnen we wel zien of er veel wachttijd is, veel overbodige activiteiten (zoals bureaucratie) zijn en mogelijk heeft men ook andere zaken naast een bug lopen.

Mogelijk zijn dit zaken waar men bij Google en andere grote software bedrijven minder last van heeft. Wat niet wegneemt dat het ook voor zelfs de kleinste software bedrijven meer dan wenselijk is om processen te ontdoen van wachttijden en overbodige activiteiten.

Een voorbeeld van het optimaliseren van ontwikkel processen is bijvoorbeeld scrum http://tweakers.net/plan/...t-round-up-juli-2011.html
Als je binnen tien uur een patch uitbrengt, dan betekent dat gewoon dat die niet uitvoerig getest is. Dat kan simpelweg niet in zo'n korte tijd. Dit is dus wat bij andere bedrijven een hot-fix genoemd wordt. Een minimaal geteste patch.

Leuke marketing dus, maar simpelweg niet vergelijkbaar met de normale patches bij andere bedrijven.
Hangt natuurlijk wel af van de schaal van de impact van de patch. Als een probleem weinig complex is (fout in 1 of paar regels code) en verder weinig impact heeft op andere onderdelen lijkt me dit vrij veilig.
Als je logischerwijs kunt redeneren dat je aanpassing geen invloed zal hebben op de werking van de rest van het programma, hoef je toch niet weer het hťle programma uitvoerig te testen?
Deze 'voorspelbaarheid' en afbakening is juist waarom een goede programmeur altijd streeft naar zo min mogelijk dependencies tussen classes. Zo voorkom je dat een aanpassing in ťťn deel van je programma onvoorziene gevolgen heeft in andere delen.

Als de fout complexer is, geef ik je echter gelijk. Er is nogal een verschil in typo's fixen of de werking aanpassen en dus de hele functie/klasse moeten herschrijven. In dat laatste geval is het natuurlijk lastiger te voorspellen of de nieuwe oplossing niet op zijn beurt andere kwetsbaarheden introduceert.
Natuurlijk wel erg leuk en goed dat een bug zo snel opgelost word, maar met gehaast ontwikkelen creŽer je ook bugs. In de ideale wereld is het natuurlijk prima mogelijk om dit in 10 uur te fixen, en door een groot team je browser + laatste patch te laten testen, en dan bugvrij op te leveren. Maarja, als het leven zo perfect was was deze bug die initieel gefixt word, er ook nooit geweest..
Google beloond al jaren "hackers".
Afhankelijk van de aard / grootte van de bug / exploit beloond men redelijk ruime bedragen.
Het gaat hier dan om bedragen van ~200 tot 20000 dollar.
Nu maken ze een bepaald evenement wat meer belangstelling moet trekken, dus grotere bedragen.. Maar verder dan dat is er niets nieuws aan! :)

http://www.google.com/about/appsecurity/reward-program/
maar goed, want die exploits en bugs zijn op de zwarte markt ook veel geld waard lijkt me.
Makkelijk geld verdienen: volgens mij wordt er vergeten hoeveel talent, tijd en energie je hierin moet steken om uberhaupt dit soort dingen te kunnen. Daarnaast is Pinkie Pie nog een tiener, bijzonder knap als je het mij vraagt.
Want?
- mysql en PHP komen uit '95.
- jongeren leren nou eenmaal sneller / beter
- jongeren komen direct in aanraking met "de techniek van tegenwoordig".

Het zou juist bijzonder knap zijn als een persoon van 65 jaar dit zou kunnen.

Verder wel eens met je bovenste zin, dat je dit zo niet 123 lukt.
Met zulke prijzen zou ik exploits verborgen houden tot de volgende wedstrijd.
En als ik er meerdere weet, kan ik meerdere wedstrijden ermee winnen :)

Kortom: Het klinkt leuk zo'n wedstrijd, maar ik vraag me af of het niet averechts werkt.
Met het risico dat iemand anders hem eerder indient voor een kleinere reward bij het appsec program ;)

Of dat google devs hem zelf fixen in een versie voor de wedstrijd

Op dit item kan niet meer gereageerd worden.



Populair: Gamecontrollers Websites en communities Smartphones Beheer en beveiliging Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013