Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 302 reacties

Kort nadat Google zero days in Windows publiceerde, heeft het bedrijf details over drie beveiligingsproblemen in OS X gepubliceerd. Apple heeft een van die drie beveiligingsproblemen waarschijnlijk nog niet gepatcht en daardoor kunnen kwaadwillenden het lek misbruiken.

Mac OS X YosemiteVoor het beveiligingsprobleem dat misschien nog in OS X Yosemite aanwezig is, heeft Google zelfs een proof of concept geleverd waarmee het te misbruiken is. Voor zover bekend is er geen patch uitgebracht voor het beveiligingsprobleem, maar Google heeft de details over het lek toch naar buiten gebracht.

Als onderdeel van zijn project zero-campagne geeft Google bedrijven negentig dagen om ontdekte beveiligingsproblemen te patchen; daarna worden details over het lek automatisch gepubliceerd. Eerder had Microsoft forse kritiek op dat beleid, nadat Google herhaaldelijk informatie over ongepatchte Windows-lekken publiceerde.

Een van de andere OS X-lekken waarover Google informatie naar buiten bracht, is niet meer te misbruiken in OS X Yosemite, maar wel in eerdere versies van Apples besturingssysteem. Het is onduidelijk of het derde lek nog te misbruiken is. Apple geeft weinig informatie over beveiligingsproblemen die het oplost.

De drie lekken waarover Google informatie naar buiten heeft gebracht, bieden niet genoeg ruimte om een systeem te kraken. Ze kunnen in combinatie met andere beveiligingsproblemen een aanvaller wel verder helpen. Zo maakt een van de beveiligingsproblemen het mogelijk om te ontsnappen uit een sandbox en geeft het lek dat nog in Yosemite zit root-toegang.

Moderatie-faq Wijzig weergave

Reacties (302)

Gaat Google ook gevonden kwetsbaarheden in android naar buiten brengen? Of valt dat niet binnen de scope van project zero?
Dat mag Microsoft voor zijn rekening nemen :+

Maar ik vind zelf dat 90 dagen ruim voldoende is voor het maken, testen en uitrollen van een patch. Bij veel open source software gaat het maken veel sneller, vaak binnen een dag als het om een ernstige security bug gaat waarvan de gevolgen groot kunnen zijn. Niet dat het testen altijd goed gaat, hoor.

*kuch* Shellshock *kuch*

@hieronder. De Shellshock patch was een paar uur na de bekendmaking uitgerold. Dat hier een fout in zit kan gebeuren. Het ging om oa een Debian patch, waarvan de userbase niet bepaald klein is. Als Microsoft, met veel meer mensen in dienst, niet in staat is om de patch in 90 dagen te maken en grondig te testen, dan gaat er iets flink mis lijkt me.

En het is blijkbaar gewoon mogelijk om OpenSSL (Heartbleed) te patchen, binnen een paar uur, wat draait op de meest exotische CPU architecturen en support heeft voor 16 bit versie van Windows, zonder dat er iets groots misgaat (voor zover mij bekend)

[Reactie gewijzigd door Eloy op 23 januari 2015 13:30]

Maar ik vind zelf dat 90 dagen ruim voldoende is voor het maken, testen en uitrollen van een patch.
Hoeveel ervaring heb jij in het maken van patches voor software die op 1.250.000.000 machines draait? In 96 talen? Met honderduizenden verschillende hardware configuraties? Met miljoenen software pakketten die moeten blijven werken? Met software die een goed deel van het Internet laat werken?

Als er een patch gedaan moet worden die diep in het OS zit en veel verbindingen heeft kan het maanden duren om zelfs maar een initieele test te voltooien. Het patchen van de files kost soms slechts minuten, de rest veel meer.
Ze hebben toch ook genoeg mensen in dienst. Het is niet zo dat 1 iemand dit test.

Edit: 90 dagen is lang zat. Anders laat je je gebruikers gewoon kwetsbaar voor gaas gaan en neem je je verantwoordelijkheid niet.

[Reactie gewijzigd door BastiaanNL op 23 januari 2015 13:15]

Het aantal testers maakt het process niet per se sneller. Er hoeft maar 1 tester een ernstig onbedoeld neveneffect van de bug-fix te vinden en je de bal ligt weer bij de programmeurs. En daar ligt meestal de bottleneck.

Extra programmeurs inzetten is veel lastiger. Je maakt met 100 programmeurs over het algemeen niet sneller een fix dan met 2 of 3 programmeurs. Hooguit kun je meerdere teams inzetten die verschillende fixes maken en dan kijken welke fix het beste is.

Om dat te doen heb je echter ook weer extra testers nodig en zo is het balletje weer rond. Afhankelijk van de complexiteit van het probleem gaan er zo een paar maanden voorbij.
Ik snap wat je wil zeggen, maar als je gebruikers kwetsbaar zijn dan moet het toch ook snel opgelost worden? Mag dit wat jullie als argument geven een reden zijn dat ik bijvoorbeeld mijn credit card gegevens kwijtraak? Of dat er een huis onterecht op mijn naam wordt gehuurd?

Het is goedkoper voor iedereen dat de programmeurs en testers overuren maken.
Dit lijkt wel een discussie tussen werkgever en werknemer en de reden dat er zoveel gaten in beveiliging steken. Wat jij zegt is. Het moet binnen 90 dagen uitrollen. Pak zoveel man als je wil.

Maar als dit gewoon niet mogelijk is, zoals ze hierboven proberen duidelijk te maken. Dan hou jij je been stijf bij, rol maar uit wat je in die 90 dagen hebt kunnen ontwikkelen?

Dat is in mijn ogen de start van alle problemen. Jij moet beter naar je werknemers luisteren ipv zo blind te zijn...
Maar als dit gewoon niet mogelijk is, (...)
Dit is de crux van het probleem. Vooralsnog heeft Microsoft (of Apple, of iemand anders) nooit beweerd dat het niet mogelijk is. Ik zie op Tweakers steeds mensen allerlei theorieŽn opwerpen waarom het veel te lang is (open source projecten patchen soms binnen een dag) danwel veel te kort is (er moet zoveel getest worden). Maar de realiteit is dat we niet weten hoe Microsoft of Apple intern met dit soort zaken omgaan en we dus niet weten of de termijn voor hen lang of kort is.

Maar volgens mij is dit ook onderdeel van het probleem dat Google met Project Zero aan de kaak wil stellen. Want kennelijk zijn veel bedrijven er simpelweg niet op ingesteld om binnen korte tijd patches uit te rollen. En dat is inderdaad een probleem op zich. Voor wie zich bijvoorbeeld Operation Aurora nog kan herinneren uit 2010:
Two days after the attack became public, McAfee reported that the attackers had exploited purported zero-day vulnerabilities (unfixed and previously unknown to the target system developers) in Internet Explorer and dubbed the attack "Operation Aurora". A week after the report by McAfee, Microsoft issued a fix for the issue, and admitted that they had known about the security hole used since September.
http://en.wikipedia.org/wiki/Operation_Aurora

Deze hacks hebben voor extreem grote schade gezorgd destijds, maar desondanks heeft 5 jaar later geen, of bijna geen, van de bedrijven in kwestie zijn zaken beter op orde. Als nu vandaag de dag 90 dagen nog steeds niet voldoende is om een lek te dichten, dan betekent dat volgens mij dat die bedrijven niet hebben geleerd van het verleden en nog steeds security niet de prioriteit geven die het verdient.

Natuurlijk moet er veel getest worden, maar dat kan overwegend geautomatiseerd worden en met een professionele testopstelling kun je zoveel tests parallel draaien als dat je hardware tot je beschikking hebt. Dit is geen reden waarom een patch 90 dagen op zich moet laten wachten.

Natuurlijk is het leuk voor systeembeheerders als ze maar 1 keer per maand patches hoeven uit te rollen, maar met WSUS kun je die beslissing ook bij de systeembeheerder zelf leggen in plaats van de keuze te maken voor al je klanten met als gevolg dat zij langer kwetsbaar zijn dan noodzakelijk.

Er zijn zat excuses te bedenken waarom patches niet op tijd uitgerold worden, maar als we mogen hopen op ten minste ťťn positieve uitkomst van dit Project Zero van Google, dan is het wel dat bedrijven (al dan niet gedwongen) hun proces rondom het uitrollen van patches beter op orde gaan krijgen.

[Reactie gewijzigd door arendjr op 23 januari 2015 15:52]

Jij versimpelt het testen van een OS iets te veel. Juist dat "FOSS patched binnen een paar dagen" zorgt voor veel kopzorgen.
Dat was altijd de reden waarom Debian zo langzaam was met het patchen. Dat ze zoveel werk stopten in het zeker stellen dat software werkt en blijft werken, is niet zonder reden. Ja ze zijn de afgelopen jaren daar een stuk in versoepeld, maar dat is IMO geen goede keuze. Laat Ubuntu dat maar doen, lekker de boel slopen elke update.

Serieus testen van aanpassingen in de code van een lopend OS wat gebruikt word door vele miljoenen hardware configuraties en user-case scenarios....... Kan je niet zo maar binnen 90 dagen doen.
Van deze exploit weet ik het zo niet, maar bij MS lag die exploit toch redelijk diep in het OS en was de toepasbaarheid van die exploit op een enigsinds fatsoenlijk netwerk nihil zonder al administrator rechten te hebben. Dus ja dat MS dit rustig wil testen zonder de mogelijkheid te brengen dat ze een heel stuk van hun backwards compatibility slopen waardoor straks tientallen klanten van MS dankzij 1 patch (die Google zo graag wilt pushen als een stel mafketels) helemaal op hun gat gaan omdat hun stukje bedrijfs software platgaat. Helemaal als MS al bericht gegeven had "Dit komt met volgende patch ronde". MS gaat echt niet voor Google uitzondering maken op de nauwelijks toepasbare exploit.

No thanks dat Google of anderen MS dwingen dat ik straks weer elke dag patches binnen mag zeulen. Ik ben persoonlijk blij met de patch tuesdays, en alle exploits die MS heeft gefixed en in het wild actief misbruikt worden worden al direct gepushed buiten patch tuesdays om. Random patches die niet nodig zijn zal mensen onnodig "angstig" maken.
De sleutel tot snel goed kunnen uitrollen ligt in Unit tests en UI tests
Als er genoeg mensen alleen unit tests en UI tests maken en bijhouden
kunnen oplossingen doorgaans binnen 15 werkdagen worden uitgerold.
De als aan het begin van de vorige zin is meestal de bottleneck. ;)
droom maar lekker verder in jouw utopische wereld
in de echte wereld is 90 dagen (is groot verschil met 90 werkdagen overigens) zeer kort in geval van complexe problemen
Helemaal met de maand december erin, waar 3/4 if not bijna iedereen toch wel 2+ weken vrij heeft.

Google lijkt een spel te spelen die ze IMO niet zouden moeten spelen.
Met software die een goed deel van het Internet laat werken?
Welke software van Apple laat het internet voor een goed deel werken? Volgens mij he-le-maal geen...
Wat ons terug brengt bij de laatste bugs in linux (shellshock en Heartbleed). Waarom is het hier wel mogelijk om binnen een paar uur een fix uit te rollen. Voor zover ik weet draait Linux (welke distro dan ook) ook op heel veel verschillende configuraties. Een distributie als debian is zelfs GRATIS en word door vrijwilligers mogelijk gemaakt.

Kan je mij vertellen waarom het hier dan wel mogelijk is om ruim binnen de 90 gestelde dagen om een bug te fixen?

Verder moeten we het allemaal niet zo zwart wit zien. Als google ziet dat een bug diep in het OS zit en waarschijnlijk niet binnen de 90 gestelde dagen gefixed kan worden zullen ze het waarschijnlijk niet zo makkelijk online zetten. Ik denk dat het hier vooral om de kleine maar gevaarlijke bugs gaat waar google juist druk op wil zetten.

[Reactie gewijzigd door Archcry op 23 januari 2015 14:41]

Mac OS X draait niet op 1.2 miljard toestellen als ik mij niet vergis?
Het heeft dan ook geen honderdduizend verschillende configuraties...

Ik vind dat 90 dagen een ruime tijdsmarge is om een paar bugs op te lossen. Ik ben akkoord dat het niet even simpel is maar het is beter ze op te lossen dan ze niet te vinden en uiteindelijk voor een verrassing staan als deze gaten misbruikt worden door kwaadwillenden.
90 dagen, waarvan er 26 dagen afvallen ivm weekend. En nog 10 dagen ivm december vakantie maand. Houd je 54 dagen over in het meest gunstige geval.

Jij vind dat veel tijd? Vind het wel meevallen eigenlijk.
Daar geef je zelf al aan waar het mis kan gaan. Windows heeft een enorme gebruikersbase, en je kunt niet zomaar een patch over de schutting gooien.

Zelfs bij MS gaat dit nog wel eens mis, zoals we dit in de afgelopen maanden hebben kunnen zien.
Dus 90 dagen klinkt misschien genoeg, maar niet altijd in alle gevallen.
Buiten het feit of het binnen 90 dagen gepatched wordt (sowieso ben ik het met falconhunter eens, de scope van gebruikers is nogal groot), zullen er zat bedrijven zijn die niet zitten te wachten om tussentijds een haastig gemaakte patch in te voeren. Een foutje en al je bedrijfsprocessen zijn om zeep. Zelfs Linux beheerders gaan niet klakkeloos alle patches maar installeren zonder testen.

Google heeft makkelijk praten, aangezien ze niet bepaald een grote install base hebben met Chrome OS. Dan is het een stuk makkelijk om even snel een patch uit te brengen voor die "paar" gebruikers.

Google neemt, wat mij betreft, onverantwoorde risico's met klanten van anderen. En zoals sommigen al zeggen, Android (en Chrome OS misschien ook wel) is op sommige plekken ook zo lek als een mandje, maar daar horen we Google niet echt over (of het sneeuwt onder in het "Windows is LEK" geschreeuw).

Ik vind dit vooral een geval van "we zullen de concurrentie eens lekker zwart maken, want wij hebben het grootste kanaal om dat te doen". |:(
Die lossen ze zelf op.
Een betere vergelijking zou zijn of Apple kwetsbaarheden in Android naar buiten brengt.
Hoezo, als Google zo nobel en eerlijk zou zijn zouden ze zichzelf ook max 90 dagen geven. Maar dat doen ze vast niet, althans mocht het om wat voor interne reden niet lukken, zullen ze die exploit zeker niet gaan publiceren. En dat is precies waar het 'm bij mij knelt. Google is een concurrent van zowel Apple als Microsoft en heeft zich niet met deze spartaanse methode te bemoeien met het beleid van Apple en Microsoft.
Ze kunnen prima berichten naar buiten brengen dat ze alweer een exploit hebben gemeld die niet gefixt is binnen 90 dagen zonder deze te publiceren. Dan ontstaat er nog steeds druk op Apple en Microsoft maar hoeft Google zich niet te verlagen tot chantage met de gebruiker als inzet.
Kunnen we nu Google aanklagen als zij de mensen inlichten en de sleutel naar mijn computer hebben gegeven?
Mijn huis is ook beveiligd als de sleutel onder de plantenbak ligt, maar als google aan de hele wereld verteld dat ie daar ligt, is mijn beveiliging niets meer.

[Reactie gewijzigd door Six9 op 23 januari 2015 12:10]

Die sleutel hoort daar niet te liggen. Google maakt het niet onmiddelijk wereldkundig maar verteld jouw dat zij weten dat die die sleutel daar ligt en vragan een U om de sleutel daar weg te nemen. Ze melden er onmiddelijk bij dat over 90 dagen dit nieuws wereldkundig word gemaakt. Als jij dan geen maatregelen neemt en die sleutel daar gewoon laat liggen, dan ligt de kern van het probleem toch echt bij uw laksheid.

Wie zecht trouwens dat er geen andere mensen zijn die die sleutel ook weten liggen en daar mogelijks wel misbruil van maken?
Nee dat zie je verkeerd, ik ben mij namelijk bewust van het risico dat er mensen zijn die die onder plantenbakken zoeken. Maar ik neem dit risico omdat ik weet dat deze categorie mensen ook wel binnenkomt zonder sleutel. Ze zijn immers op zoek.

Nu geeft Google de plek onder de plantenbak aan mensen die daar voorheen niet naar hadden gekraaid. En juist omdat het makkelijk is wel van de mogelijkheid gebruik gaan maken om in mijn huis in te breken.
Door op deze manier druk te zetten verplicht men Apple om het lek te dichten en je systeem weer veilig te maken. Doet men dit niet dan kan Apple er ook voor kiezen het probleem niet op te lossen en kan men misbruik blijven maken vna het betreffende lek.

Securtity trough obscurity noemt men dat, en er is al zo vaak aangetoond dat dat niet werkt.

[Reactie gewijzigd door Blokker_1999 op 23 januari 2015 12:38]

Het werkt op de lange termijn zeker niet, maar het werkt nog minder als een concurrent bewust de lekken inclusief een proof of concept naar buiten brengt voordat het lek gepatcht is. Het wordt dus onveiliger!

Wat ik ook al schreef bij de eerdere publicaties mbt Windows: wie is Google dat ze zich bemoeien met de ontwikkelschema's van concurrenten? Melden, ok, maar het is aan de eigenaar om te bepalen hoe snel het ontwikkeltraject gaat/kan gaan. Ben je daar als Google ontevreden over, hang het dan aan de grote klok zonder de details en code vrij te geven.

Six9 is heel correct in ziijn opmerking; gaat Google ook zero day Android lekken publiceren die niet in 90 dagen worden gepatcht? Met proof of concept graag...
Dat ze het lek publiekelijk maken na een bepaalde tijd vind ik persoonlijk nog altijd not done maar goed niet onoverkomelijk. De Proof of concept die ze erbij leveren gaat er toch echt over . Eigenlijk kan je ze nu aanklagen voor het faciliteren van een crimineel feit, indien je kan aantonen dat misbruik van dit lek pas gebeurde na publicatie door google.

Advocaat in de buurt, die wat meer info kan verschaffen ? Als ik onrechtmatige toegang verleen tot een woning ben ik toch ook aansprakelijk ? niet ?
Die overbodige analogiŽn stellen het probleem niet duidelijker voor dan het origineel.
Altijd hetzelfde hier op tweakers: verglijkingen met auto's, huizen enz. Stop er aub mee, we zijn hier over het algemeen geen 12 jaar meer.
Speciaal voor jou.😇
Nee dat zie je verkeerd, ik ben mij namelijk bewust van het risico dat er mensen zijn die die in mijn computer rond kunnen zoeken. Maar ik neem dit risico omdat ik weet dat deze categorie mensen ook wel binnenkomt zonder mijn extra beveiliging (computers zijn namelijk niet te beveiligen).

Nu geeft Google de plek aan waar mijn computer kwetsbaar is, aan mensen die daar voorheen niet naar hadden gekraaid. En juist omdat het makkelijk is wel van de mogelijkheid gebruik gaan maken om in computer in te breken.
Maar ik neem dit risico omdat ik weet dat deze categorie mensen ook wel binnenkomt zonder mijn extra beveiliging (computers zijn namelijk niet te beveiligen).
- Computers zijn wel te beveiligen. Je boet dan wel wat op functionaliteit in.
- De door jou beschreven categorie mensen die binnenkomt bestaat in feite uit meerdere categoriŽn:
  • GeniŽn: kennen de technologie door en door, zijn in staat om zelf zero day exploits te vinden.
  • Degenen die gebruik maken van underground gelekte/gekende exploits: een veel grotere groep, en deze is tegen te houden door het lek te patchen
Het niet patchen van zo'n lek staat gelijk aan een 'We don't give a fuck' van de softwarefabrikant. Laat google ze dan maar op de vingers tikken.
Behalve dat ik het niet eens ben met de methode is Google ook niet de aangewezen partij. Het is een directe concurrent van zowel Apple als Microsoft (iOS vs Android vs Windows Phone Mobile ťn OS X vs Windows vs Chrome) die op wellicht ergens een nobel doel nastreeft maar tegelijkertijd de concurrent op meerdere manieren dwarszit:
- Perceptie/PR. Het lijkt nu alsof MS en Apple hun systemen slecht patchen, maar iedereen die een beetje in de materie zit weet dat er bij beide systemen met regelmaat zaken gepatcht worden.
- Veiligheid. Door deze info naar buiten te brengen worden de OS'en van de concurrenten in ieder geval op de korte termijn aantoonbaar minder veilig.
- Ontwikkeling. Door de druk op 90 dagen te zetten beÔnvloed Google de ontwikkeltrajecten van Apple en Microsoft. Zij hebben geen weet van de interne planning maar op deze manier maar forceren door die deadline wel dat er in een extreem geval features uitgesteld moeten worden. Bijvoorbeeld; als het lek zit in een stuk code dat gepland voor refactoring voor wat voor feature/update dan ook kan Google dit verstoren.
Die 90 dagen zijn arbitrair; als ze nu bewijs hadden dat deze bugs in het wild te vinden waren is het een ander verhaal, maar zolang dat niet is, is het afdwingen van een deadline simpelweg chantage.
De Russen zijn voor hun Key geheimen al weer terug naar pen en papier. Nee blijkbaar is er altijd een weg in.

Ik denk dat deze discussie eigenlijk over de ethiek van Google gaat, maak je iets openbaar 5 dagen voordat je weet dat je concurrent het gaat fixen (Microsoft zijn bekende Dinsdag) of wacht je dan. Waarom 90 dagen, waarom niet voor spelfouten een dag, voor verkeerde linken een week, voor kleine software fouten een maand en voor grote 90 dagen en voor hele grote of moeilijk te maken problemen een aangepaste afspraak.

Nee dit heeft twee kanten, goed dat er druk op wordt gezet, fout dat er zieltjes mee gewonnen worden.
Ze nemen zeker wel maatregelen, maar bugs zijn niet zomaar weg te halen vaak, dat kost uitzoekwerk en daarna heel veel testen(zeker in grote system als windows en osx), google is gewoon asociaal en dom bezig om hun concurrenten zwart te maken. Gezien ze zelf android niet eens in de buurt kunnen krijgen van veilig, lijkt het me dit gedrag erg dom. Ze teren in op de mensen nog niet als evil zien, maar dit zal niet meer lang duren denk ik.
natuurlijk niet,
je bent zelf verantwoordelijk als end-user voor je eigen veiligheid

gebruik gewoon 1 antivirus software (full license) en 2 antimalware software's
nog was spy/ransom-ware cleaners, en je bent veilig genoeg voor hackers
Dat lijkt me een misvatting. Antivirussen werken op gekende hashes van virussen. Ze kennen niet de zero day (of 90 day) lekken.
AV is al jaren niet meer afhankelijk van signatures van bekende malware. Het is nog steeds een onderdeel maar AV heuristics zijn tegenwoordig veel belangrijker.

Met heuristics wordt nog onontdekte malware opgespoord aan de hand van verdachte patronen en handelingen die een bonafide stuk code nooit zou uitvoeren zoals het bewerken van executables van derden, het schrijven naar een bootsector of ongebruikelijke geheugenadressen etc.

Voor AV fabrikanten zijn hun gebruikers dan ook een belangrijke bron van malwareontdekkingen. Veel AV pakketten laten gebruikers verdacht aangemerkte bestanden doorsturen naar hun AV lab en daar komen dan ook veel nieuw ontdekte malware vormen vandaan.
Inderdaad, dat was ook mijn gedachte. Gewoon Google aanklagen omdat zij mogelijks criminelen faciliteren met in te breken op je computer.
Dit is eerder het bekend maken van zwakheden in het slot van je deur (zoals bump keys). Zodat de echte sleutel niet nodig is.
Ik hoop nog steeds aan te mogen nemen dat wanneer een bedrijf een beveiligingsprobleem opmerkt, dat ze dit proberen te fiksen binnen de gestelde termijn. Ik denk dan ook dat bij android het probleem niet is dat er geen beveiligingsupdates doorgevoerd worden, eerder dat deze slechts op een klein deel van de toestellen die android als OS komt.

Niettemin is het goed dat er wordt gecontroleerd op beveilinging van consumentensoftare. Je kan beargumenteren dat google hier niet de beste partij voor is, maar wie is het dan. In tijden waar spionage en dergelijke (gedeeltelijk) on line gebeuren in grote getallen, hebben we nood aan een controlesysteem.

Moet de staat dit regelen? Nee, zij zijn zelf een van de grote schuldigen van de privacy-invasie. Misschien is het daarom wel goed dat google dit in gang zet, en dat ze hopelijk hiermee de zaak aan het rollen brengen. Als software-concurrenten mekaar onder fair rules (bvb de 90dagen regel) gaan bestoken en op die manier elkaars software gaan proberen te kraken, dan kan de software er alleen maar veiliger op worden, wat in het voordeel is van ons, consumenten.
Sure
Exploiting NVMAP to escape the Chrome sandbox
Niet zozeer een bug in android maar zeker wel toepasbaar
It’s used for GPU memory management on Nvidia’s Tegra chipsets. It’s used in many Android devices and more recently Chromebooks.
Ook niet geheel onbelangrijk
You can find the driver code used in the Arm64 Nexus 9 here and the fix is here.
Nvidia were very responsive and released an upstream fix within a matter of days—they have recently released their bulletin CVE-2014-5332.
Goed antwoord op de vraag of 'Project Zero' ook fouten in Google's eigen Android platform naar buiten brengt. Is natuurlijk niet geheel Google's eigen code. Maar het is zeker niet in hun voordeel om eigen producenten zwart te maken.

[Reactie gewijzigd door Henk Poley op 23 januari 2015 12:42]

Ze zullen sowieso de kwetsbaarheden naar buiten brengen.

Veel (niet alle) kwetsbaarheden die het project zero team vindt, zullen gevoeliger zijn en vertrouwelijk behandeld worden. Dat betekent dat de ontwikkelaars en de fabrikanten er wel toegang toe hebben en er een patch voor kunnen maken. Vervolgens geldt gewoon de disclosure termijn van 90 dagen. Dat is een meer dan redelijke termijn. Als het echt zwaar probleem is, zou de helft van die termijn ook redelijk zijn.
Als je kijkt naar informatie die beschikbaar is: http://googleprojectzero....map-to-escape-chrome.html

Ja dus, ze gaan zelf zover dat ze bugs van derden publiceren op de blog. Het doel is een veiliger internet. Dus Windows/OSx/Acrobat Reader/Office van alles komt voorbij wat veel gebruikt wordt.
Waarschijnlijk niet, ze zijn daar al te lui om hun eigen OS van 1,5(!) jaar oud te ondersteunen. Van zo'n bedrijf kan je niet meer veel verwachten denk ik.
Het is duidelijk dat google zijn eigen Android OS niet als kaart op de tafel legt maar die van andere platformen. Het is een groep van Google die zoekt naar exploits in andere besturingssystemen, mede omdat Android een open boek is voor Hacks en Malware.

De reden dat ze geld uitgeven in het vinden van exploits in andere platformen is duidelijk. Het is misleiding zoals de ontbrekende kaart van Google in het spel.

De groep van Google welke exploits moet vinden heet project Zero De volgende link verteld welke onbaatzuchtige daden project zero ons aanbied : http://googleprojectzero....ouncing-project-zero.html

Het mooist is dat Google net de grootste groep gebruikers van hun Android platform heeft aangegeven dat ze niet meer worden beveiligd met patches en update's. Deze gebruikers zijn nu dus kwetsbaar en dan toch zo'n mooie site van projext Zero dat ons afleid wat Google hun gebruikers aandoet door Windows en Apple aan te vallen in de naam van onze veiligheid.

Het nieuws dat Google zijn gebruikers laat vallen in een zeer vijandige android vijver met de meeste malware en Hacks zoals de Android Play store ( vraag Sony maar die daarnaast zelf hun eigen Android toestellen niet meer gebruiken) en een android OS 5 met bugs, lags en waarvan de update is stilgelegd.

Het is allemaal voor onze veiligheid volgens Google, maar ik denk toch dat de ontbrekende kaart een misleidende truuk is door de andere kaarten op tafel te leggen.

Heel netjes gedaan van Google en we zullen het inderdaad volgen met je 98% aandeel in Malware zoals trojan SMS, backdoor, trojan, adware, risktools, trojans downloaders, trojan spies, en veel meer.

[Reactie gewijzigd door nlb op 25 januari 2015 01:05]

Natuurlijk gaan ze dat niet doen.
`klopt want die lossen ze zelf wel op binnen die 90 dagen :D
Er zou geen einde aan komen, teveel lekken😉
Dan zijn ze nog wel even bezig :p
Zij zelf misschien niet, maar als Microsoft en Apple besluiten om dat dan ook maar te gaan doen om Google een koekje van eigen deeg te geven, dan denk ik dat we uiteindelijk als consument er wel op vooruit gaan.

Want het update- en patchbeleid van Android is ronduit beroerd, de laatste keer dat ik op mijn Galaxy S5 een firmware update heb ontvangen en geÔnstalleerd is maanden geleden, en je gaat mij niet vertellen dat er sindsdien geen nieuwe beveiligingslekken zijn gevonden.

En die beperkte hoeveelheid updates ligt heus niet alleen aan de fabrikanten, maar ook aan de opzet van het OS die door Google bepaald word en blijkbaar niet flexibel genoeg is om in individuele systeemcomponenten centraal updates door te voeren. (Dat de Linux-kernel een monolithische is helpt natuurlijk ook niet.)

[Reactie gewijzigd door Grauw op 23 januari 2015 12:51]

Of ze lossen het gewoon binnen de 90 dagen op?
Waarom doet Google dit, is het alleen om in het nieuws te komen, om andere bedrijven af te kraken, of? Als dat in Nederland gebeurd was, lijkt het mij dat google een dikke rechtszaak aan zijn broek had.
het lijkt mij juist om de consument te helpen. Ze zorgen hiermee ervoor dat kwaadwillende het lek niet meer kunnen gebruiken, als microsoft of apple er wat aan doet.
Maar op deze manier helpen ze juist niet, aangezien ze al lekken voordat het gat gedicht is.

Ik begrijp dat hierdoor dergelijke bedrijven misschien alerter worden, maar ik blijf het eigenlijk een arrogante aanpak vinden, alsof Google even in de wereld bepaald wat prioriteit krijgt. Dezelfde instelling hebben ze bij hun zoekmachine, waarbij ze het hele web richting mobile, https en high performance dwingen. Allemaal goede zaken op zichzelf, maar bijzonder dat Google een dergelijke macht heeft.
Nu ben ik geen software developer, maar lees wel dat Google een periode van 90 dagen geeft aan de bedrijven in kwestie om de lek te verhelpen. Is dat te weinig tijd?
Nee, 90 dagen is niet te weinig tijd. Standaard procedure van CERT is 45 dagen. Dus Google geeft ze als het dubbele van de tijd.

Iedereen die hier met kritiek over Google's "ultimatum" komt: Google kan het ook gewoon bij CERT dumpen, dan hadden ze bij Apple, MS, etc, maar 45 ipv 90 dagen om met een fix te komen.
Dat is een uitermate slechte weergave van wat CERT doet. Uit hun FAQ:
Q: Does this mean CERT/CC is going "full disclosure?"
A: We will not distribute exploits, if that's what "full disclosure" means. In our experience, the number of people who can benefit from the availability of exploits is small compared to the number of people who are harmed by people who use exploits maliciously. We will, however, disclose information about vulnerabilities that we might not have previously disclosed. Within the limits of our resources, we will publish information about as many vulnerabilities as we can.

Q: Why not 30 days, or 15 days, or immediately?
A: We think that 45 days can be a pretty tough deadline for a large organization to meet. Making it shorter won't realistically help the problem. In the absence of evidence of exploitation, gratuitously announcing vulnerabilities may not be in the best interest of public safety.

Q: Will all vulnerabilities be disclosed within 45 days?
A: No. There may often be circumstances that will cause us to adjust our publication schedule. Threats that are especially serious or for which we have evidence of exploitation will likely cause us to shorten our release schedule. Threats that require "hard" changes (changes to standards, changes to core operating system components) will cause us to extend our publication schedule. We may not publish every vulnerability that is reported to us.
Dit is dus al een heel ander verhaal dan de "90 dagen of stikken" methode die Google lijkt te hanteren en de aanpak van CERT klinkt ook vele malen beter te verantwoorden naar de gebruikers toe. Ja, de standaard bij CERT is 45 dagen, maar er wordt te allen tijde met de software vendor ťn de gebruiker meegedacht. Ik weet de ware bedoelingen van Google niet, maar het komt toch zeker op mij over alsof ze PR motieven hoger in het vaandel hebben, al helemaal omdat ze ook POC's vrijgeven.
beide denk ik. google wil laten zien dat het ow zo veilige iOS ook fouten bevat, maar ze hebben verder wel gewoon gelijk dat de termijn al lang verstreken is.

Daarbij kan je de concurent zo wel scherp houden.
Ja Google do er t h er t allemaal voor ons een niet voor zich zelf. Al dat geld hebben ze graag om ons te helpen in een veilige wereld.
Google doet Door om hun eigen fouten enigszins onder te sneeuwen.
Nee, beveiligingslekken moeten een hoge prio hebben en als aantoonbaar is hoe het lek wordt veroorzaakt zal het geen 90 dagen moeten kosten om op te lossen.

Veel vaker is het denk ik dat de issues vergeten worden, te weinig man in het team zit of dat het bedrijf de prio's ergens anders heeft.

Het grootste gevaar is dat als google deze problemen vind, andere dat ook kunnen, google brengt het naar buiten, maar kwaad willende zullen dat niet doen.
Als MS en apple de problemen negeren omdat de aangever ze toch niet naar buiten brengt, is de motivatie laag en zullen ze de problemen minder snel oplossen.

Het feit dat google ze nu naar buiten brengt betekend niet dat mensen hier niet van wisten, alleen nu weet iedereen het in principe.
Het is niet alleen 90 dagen om de fix te zoeken. Het is ook dat het door de juiste kanalen gaat. Dat het op de juiste manier wordt ingevoerd. Dat het op de juiste manier wordt bekeken of hij inderdaad gedupliceerd kan worden. Dat op de juiste manier een fix wordt ontwikkeld, dat op de juiste manier een fix wordt getest en dat op de juiste manier de fix wordt uitgerold.

Dit allemaal heeft wel wat meer tijd nodig dan een paar dagen. Dat weet Google ook. Zeker omdat niet altijd alles even makkelijk te vinden, dan wel oplossen is. Als een fix 3 keer terug komt van de testers omdat iets anders niet meer werkt, dan kost dat ook gewoon tijd. Of dat een bug in de oude versie opgelost is, maar omdat er ondertussen dingen zijn veranderd, moet ook de nieuwe versie worden aangepast.

Ik zeg niet dat 90 te weinig is, maar ik kan me prima situaties bedenken waarop 90 dagen te kort kan zijn. Waarom niet na 90 dagen melden dat er ergens een bug zit, zonder de bug te noemen en vervolgens na 120 of 150 dagen de precieze bug? Waarom moet daar zoveel druk op staan? Beveiligingslekken zomaar prijs geven wordt niemand beter van. Ook Google niet.

[Reactie gewijzigd door Martinspire op 23 januari 2015 14:12]

Beveiligingslekken zomaar prijs geven wordt niemand beter van. Ook Google niet.

Dat vraag ik me af. Heb de indruk dat er op dit gebied een vrij lakse cultuur bestaat bij MS/Apple, en wellicht dat dit daar wel eens voor verandering kan gaan zorgen. 90 dagen / 3 maanden zou toch ook met alles wat erbij komt kijken genoeg moeten zijn om het lek te dichten? Raar dat mensen Google als bad guy zien.. de fout ligt primair bij MS/Apple.,
Het probleem is dat MS / Apple het niet blind bij alle scriptkiddies gooien, Google gooit het gewoon blind inclusief PoC op het web waardoor er binnen 2 uur oid een scriptkiddie het kan oppakken en verder verspreiden.

De melding vind ik niets mis mee, wel met gelijktijdig uitbrengen van PoC waardoor het direct exploitable voor iedereen wordt.

Wellicht dat Google hun model kan veranderen naar na 90 dagen uitbrengen nieuws en na 120 dagen uitbrengen PoC (of voor mijn part na 45 dagen uitbrengen nieuws en na 90 dagen het Poc).
Dan kan de media het oppikken en extra druk zetten en als het echt niet opgepikt wordt na melding Google + media dan kan de PoC alsnog komen.
Er zit nog wel een verschil tussen een POC en een daadwerkelijke 'hacktool'. zeker voor een scriptkiddie.
90 Dagen is nogal een standaard-periode voor dit soort bugs. Dit is een kwart jaar. Als dat te kort is, dan klopt er vermoedelijk iets niet aan die mooie procedures die je schetst, of de prioriteit die het bedrijf eraan geeft.

Uiteindelijk kenbaar maken van bugs is ook in het voordeel van de gebruiker, omdat deze daardoor weet dat zijn/haar systeem zwakheden bevat.
Het heeft niets met negeren te maken. In geval van Microsoft duurt de testperiode langer dan het vinden van een fix. Een fix kan weer andere problemen veroorzaken.
dan gaat het te sloom, als ik op mijn werk een fix na negentig dagen oplever dan zullen ze niet blij zijn...

ik bedoel 90 dagen, dat is 3 maanden de tijd om het op te lossen, als je dat niet lukt heb je sirieus problemen, neem dan meer mensen in dienst en/of ervaren.
Ik denk niet dat de software op jouw werk een bereik heeft van honderden miljoenen gebruikers op miljarden combinaties van hardware en software?
Zoals ik hierboven al verklaarde: zet er dan meer mensen op, ik snap dat dingen tijd kosten maar meer mensen verkorten het proces tijd.
Jij bent zeker een projectmanager? Met 9 vrouwen kun je toch zeker wel een kind in 1 maand baren? ;)
nee een junior game developer :)
Misschien een beetje offtopic. Technisch gezien gewoon mogelijk. Maar je hebt gelijk, 10 vrouwen is minder risicovol als 1 maand het quotum is. ;)

[Reactie gewijzigd door tuXzero op 23 januari 2015 23:05]

3 maanden lijkt veel, maar ik kan me heel goed voorstellen dat sommige fixes enorme impact en diepgaande gevolgen kunnen hebben. Er is bij Microsoft bijvoorbeeld een hoop hardware en code die leunt op hun software.

Het is allemaal een risico-inschatting die gemaakt wordt. Lek dat mogelijk misbruikt wordt vs miljoenen machines mogelijk omzeep helpen via Windows Update :)

[Reactie gewijzigd door Zyphrax op 23 januari 2015 17:45]

Dat weet ik niet, maar ik heb meer moeite met het woord "geeft". Alsof Google een soort baas is over al deze systemen.
Ja, laten we hopen dat een van de grootste internet giganten al de bugs die hun ontdekken in andere software direct online gooien of gewoon voor zichzelf houden. Klinkt goed.
? reageer je op iemand anders? ik ben juist tegenstander van dit beleid van Google.
Een lek weten in bepaalde software geeft je natuurlijk een stukje macht. Ik vind er niks mis mee met die opstelling, snap ook niet waarom Google als de bad guy wordt gezien. Dit is juist (op langere termijn) in het voordeel van consumenten. Waarom is het Łberhaupt nodig om bedrijven te bedreigen om bugs gefixed te krijgen? Zegt al genoeg over hoe laks ze blijkbaar zijn daarin.
Lijkt me niet. Sowieso moet je je afvragen of Apple niet te langzaam reageert op beveiligingsproblemen. Vorige keer lieten ze een bug in hun SSL library doodleuk 18 maanden voor wat het was.

http://www.theverge.com/2...apples-epic-security-flaw
Arrogant is de houding van bedrijven die menen dat het niet nodig is om software na verkoop nog te patchen om beveiligingslekken uit te brengen.
Wat Google doet is simpel, doeltreffend en consumentvriendelijk:
- ze constateren een lek
- melden dat bij de fabrikant
- geven aan dat ze na 90 dagen het lek openbaar maken

De fabrikant heeft dus ruim de tijd om het lek te dichten.
Doen ze dat niet dan worden ze gedwongen het alsnog te dichten door de publicatie over het lek wat potentieel toekomstige kopers tegen kan houden.

Ik ben het er mee eens dat een proof-of-concept hoe het lek te gebruiken is, niet verstandig is. Ik vraag me af wat de beweegredenen van Google hierin zijn. Mogelijk hebben ze bij eerdere meldingen van lekken bij Apple te horen gekregen dat ze zich moeten bemoeien met hun eigen zaken, of vinden ze dat Apple de lekken niet serieus genoeg neemt door op tijd een patch uit te brengen, mogelijk wil Google Apple gewoon pesten.
Wat de reden daarvan dan ook is, Apple zou dergelijke exploits waarbij er root-toegang verkregen kan worden, in mijn ogen toch wel serieus moeten nemen.
'Arrogant' is de houding van bedrijven die menen dat het nodig is om
- niet met de betreffende partij te communiceren
- te denken dat elk probleem binnen 90 dagen op te lossen is, ongeacht omstandigheden, impact
- met oogkleppen op publiceren en daarbij ook nog eens een poc bij te leveren

Arrogant is veel te licht uitgedrukt zelfs. Als je dan denkt wereld-verbeterend bezig te zijn, communiceer dan in ieder geval met de wederpartij. Als er dŠn geen medewerking is, is het een geheel ander verhaal.
Hoezo niet communiceren? Google geeft ze 90 dagen de tijd om het probleem op te lossen voor ze het bekendmaken. Dan communiceren ze dus wel degelijk.
Met de resources die een Apple en een Microsoft voor handen hebben, moet het mogelijk zijn om binnen 90 dagen een patch te bouwen. De vraag is alleen waar je je prioriteit legt: bij een veilig, goed werkend product dat je al hebt uitgebracht of bij een nieuw product dat geld oplevert.

Zoals ik al zei: die proof of concept is ook in mijn ogen niet goed en valt zelfs niet goed te praten. Dat is zelfs voor mij een non-discussie :)

Laten we wel eerlijk zijn: als jij als particulier een bug meldt komt deze ergens op een lange lijst te staan, als je geluk hebt. Publiceer je de bug, zelfs nadat je deze bekendgemaakt hebt bij de fabrikant, dan loop je nog de kans aangeklaagd te worden ook.
Google doet hier wat wij als particulieren niet kunnen: druk zetten.
En dat juich ik alleen maar toe.
Sommige lekken repareer je niet in 90 dagen. Daarnaast google heeft imo niets te vertellen over andermans software. Dat proberen ze ook al met namen in zoek resultaten, door dat per wereld deel weer anders open te zetten. Ik zie google steeds meer als een grote egoist die enkel en alleen zijn eigen regels en wetten wil maken.

Dus nee eerlijk is het zeker niet.
Daarnaast google heeft imo niets te vertellen over andermans software

Dat zou kloppen als die software alleen intern bij MS/Apple zou worden gebruikt. Maar het wordt door miljoenen mensen wereldwijd gebruikt, en door Google zelf ook vermoed ik. In dat geval heeft iedereen iets te vertellen over andermans software. Als iemand bugs vind in dat soort software is het alleszins redelijk om te eisen dat die gedicht worden.

[Reactie gewijzigd door Snow Veil op 23 januari 2015 17:04]

Dan nog is het aan de "markt" dat te accepteren. Wat Microsoft doet met zijn software heeft natuurlijk effect op de afname maar ze hebben geen directe verplichtingen en de aanpak van bugs of lekken zoals dit.

Het is niet zo dat Windows een openbaar community project is waardoor er samen gekeken word voor een oplossing.

Het is een product en daar zitten altijd wel mankement in die relatief gemakkelijk verholpen kan worden dmv software echter is het blijkbaar weer niet zo simpel om dat binnen dat limiet van 90 dagen op te lossen. Dus wederom google heeft niets te vertellen over de software om maar te zwijgen over tijdstippen van updates en fixes.

[Reactie gewijzigd door downcom op 23 januari 2015 16:58]

Google moet gewoon niet op de stoel van een ander gaan zitten, en dat doen zij wel, ook recentelijk met Microsoft. Prima dat ze de bug melden, maar het is niet aan hun om in te schatten hoe moeilijk en hoe lang het gaat duren om het te fixen. Het domweg na 90 dagen openbaar maken is niet correct.

Niemand heeft er baat bij alleen Google welke zichzelf op de borst klopt.
Je eerste regel is al feitelijk zo absurd... Zowel Apple als Microsoft brengen regelmatig patches uit voor hun producten, dus waar heb je het over...

Wat Google doet is alles behalve consumentenvriendelijk want dat zijn de enige die er echt last van hebben als een exploit gebruikt gaat worden. Wellicht dat er wat schade toegebracht wordt aan de reputatie van Apple of Microsoft maar dit bericht komt niet veel verder dan Tweakers.

Apple heeft twee van de drie gemelde lekken al gedicht. Ze nemen de melding duidelijk serieus. Google zelf geeft ook aan dat de meeste lekken op tijd worden gedicht. Het is dus duidelijk *geen* onwil...
Ik ben het er mee eens dat een proof-of-concept hoe het lek te gebruiken is, niet verstandig is. Ik vraag me af wat de beweegredenen van Google hierin zijn.
Die beweegreden is vrij simpel : Het zijn concurrenten en niets is mooier dan over de rug van derden (de gebruikers in dit geval) jezelf superieur te laten lijken.
Tja, als er niemand anders die prioriteit bepaalt, en het incentive voor een bedrijf is om het vooruit te schuiven...

Helaas is een dergelijke aanpak gewoon nodig, gezien de huidige staat van de meeste software. Het is gewoonweg geen prioriteit voor bedrijven om te patchen, en dat moet veranderen.
Dus Google kan in de keuken van Apple en Microsoft kijken en de prioriteit en tijd voor een oplossing bepalen? Zo' n aanpak van Google is nergens voor nodig.
Daar hoef je niet voor "in de keuken te kunnen kijken", dat is gewoon een stukje kennis van software engineering. Het is ruimschoots mogelijk om eender welk beveiligingslek binnen 90 dagen na notificatie te patchen, en om die patch tegen allerhande verschillende configuraties te testen.

Of een bedrijf als Microsoft of Apple bereid is om het benodigde budget toe te wijzen aan het opruimen van hun eigen puinhoop (lees: beveiligingslekken) is een hele andere discussie. En dat is hun probleem, niet dat van Google of dat van de eindgebruikers.

[Reactie gewijzigd door svenslootweg op 23 januari 2015 13:07]

Simpel gesteld maar zo werkt het zeker niet altijd.
Probleem is hier dat Google het allemaal denkt te weten voor anderen. Net zoals afgelopen week waar MS toch duidelijk aangaf druk bezig te zijn het lek te fixen. Het ene lek is de andere niet en de ene test procedure en release policy is het andere niet.

Laat Google zich eerst maar richten op eigen producten waar wat betreft security genoeg op aan te merken is.
Heel nobel van hen om security issues te melden, maar het is onverstandig om het op zo' n manier te forceren.
Simpel gesteld maar zo werkt het zeker niet altijd.
Ja, dat doet het dus wel. Zonder uitzondering. Nada.
Net zoals afgelopen week waar MS toch duidelijk aangaf druk bezig te zijn het lek te fixen.
Dan waren ze daar te laat mee. Dat is het probleem van Microsoft, niet Google of gebruikers.
Het ene lek is de andere niet en de ene test procedure en release policy is het andere niet.
Niet relevant. Microsoft heeft de mankracht, het enige punt is of ze ervoor kiezen die in te zetten. Zakelijk gezien is het slimmer om dat niet te doen - patchen kost geld maar levert niets op, en die tijd is beter besteed aan het bouwen van nieuwe dingen in de 'profit centers'.

Het doel van een strikte disclosure-policy als deze is om een 'tegengewicht' te zijn in die afweging.
Laat Google zich eerst maar richten op eigen producten waar wat betreft security genoeg op aan te merken is.
Ik ben ook zeker niet van mening dat Google een heilig boontje is wat security betreft. Zeker het laatste bericht betreffende Android baart me toch wel zorgen.

Dat heeft echter vrij weinig te maken met dit project, en ik zie er dan ook geen probleem mee als andere individuen of bedrijven eenzelfde 90-dagen patch window aan Google stellen.
Heel nobel van hen om security issues te melden, maar het is onverstandig om het op zo' n manier te forceren.
Helaas is het noodzakelijk gebleken. Gebeurt dit niet, dan wordt er simpelweg niet naar behoren gepatcht. Hier is zat documentatie over te vinden uit de afgelopen 20 jaar.
We verschillen wel heel erg van mening dat je binnen 90 dagen alles opgelost moet kunnen hebben. In theorie, vast. Als je alles uit je handen laat vallen om die volgende melding van Google op te lossen. In de grotere context van het beheer en de ontwikkeling van iets enorm als een OS is het toch een ander verhaal.
Het lijkt me duidelijk dat elk bedrijf, zelfs met de budgetten van MS en Apple prioriteiten moet stellen. Wat als er is diezelfde periode nog 20 andere, waaronder veel kritischere bugs gemeld zijn? Of zelf gevonden zijn.
Je geeft aan iets te weten over software engineering? Dan ken je hopelijk "The Mythical Man Month"? Kei oud, maar nog altijd relevant. Meer mensen en geld tegen een probleem aan gooien is lang niet altijd/vaak niet de gewenste oplossing. Er zijn dus ook voor die mega-bedrijven per definitie limieten.
Daarom blijf ik erbij dat het openbaren (incl proof of concept) van een exploit gewoon niet de manier is. En al helemaal niet door een concurrent.

Google geeft ook nog eens zelf aan dat de meeste bugs die gemeld worden op tijd worden gepatcht. Dat ontkracht toch al 90% van je verhaal. 20 jaar geleden is een andere tijd, je ziet aan alle ontwikkelingen binnen de grote OS'en, zelfs Android, dat security een belangrijk punt is.
Google geeft ook nog eens zelf aan dat de meeste bugs die gemeld worden op tijd worden gepatcht. Dat ontkracht toch al 90% van je verhaal.
Of het toont aan dat het ultimatum werkt.
Ja, dat doet het dus wel. Zonder uitzondering. Nada.
Nee, zo werkt het niet. Nooit (als we dan toch zwart/wit moeten redeneren).

Zelfs als 'elk beveiligingslek binnen 90 dagen na notificatie te patchen, en [...] te testen' zou zijn (hoe weet je dat?) betekent deze aanpak dat Google zeggenschap krijgt over de prioriteit: Leg de bouw maar stil jongens, de buren hebben ontdekt dat het schuurtje niet goed sluit. We hebben 90 dagen voor ze het in de krant zetten....

Er is nooit sprake van onbeperkte en onmiddellijk inzetbare capaciteit; die ontwikkelaars en testers zitten niet op de bank te wachten op het volgende salvo van Google maar zijn volgepland, met misschien nog belangrijker zaken voor klanten en veiligheid.

Google is al monopolistisch genoeg zonder de macht om de prioriteiten van de concurrentie te bepalen.
Als Google of een andere partij dit niet zou doen, zou het ook het probleem van de gebruikers zijn. Denk je nu echt dat Google de enige partij is die beveiligingsproblemen in software kunnen vinden?
Er zijn genoeg partijen die de capaciteit hebben en ook effectief problemen vinden en misbruiken. Als er niet wat 'hard' gespeeld zou worden door de gevonden problemen na 90 dagen publiek te maken, vergroot de kans net dat de partijen met minder goede bedoelingen hetzelfde lek ook vinden.
Die zullen echter Microsoft (of welke softwareboer dan ook) niet waarschuwen, maar zullen het lek gewoon misbruiken (dus vandaar mijn bewering dat het dan ook het probleem van de gebruikers is).
Ik ben het inderdaad met je eens dat de PoC misschien best wat later gereleased wordt (14 dagen of een maand na het publiek maken van de bug bijvoorbeeld).
Mijn punt was echter dat als er geen termijn gezet zou worden, dat dan de kans reŽel is dat andere partijen (die black hat bijvoorbeeld die het gewoon zullen misbruiken en niets gaan melden) dezelfde bug vinden. 90 dagen lijkt me dan nog niet eens zo'n onredelijke...
Misschien zouden ze in onderling overleg best nog wel wat sleutelen aan dat beleid, en zou het inderdaad niet slechter zijn dat er onder bepaalde voorwaarden uitstel verleend kan worden. Om misbruik daarvan (door de ontwikkelaaar) tegen te gaan zou dat beperkt kunnen worden tot een bepaald percentage van de meldingen, zodat niet voor elke melding uitstel aangevraagd wordt.
Jawel die is wel nodig. Microsoft is geen liefdadigheidsinstelling. Als ze een lek vinden en denken o als niemand erachter komt hoeven we er niks aan te doen dan wordt er gewoon NIKS aan gedaan. Nu worden ze verplicht om er wat aan te doen
Dan ga jij er vanuit dat MS of Apple of wie dan ook de beveiligingslekken niet oplost en dat we daarvoor Google nodig hebben?
Prima dat Google ze meldt, maar deze actie van hen gaat wel heel erg ver.

Als zij er last van hebben omdat zij Windows en OSX systemen draaien en dus niet lang willen wachten op een patch dan is het voor hun eigen belang , en volgens mij hoor je dan gewoon netjes naar je leverancier te gaan en de problematiek te bespreken, en daar hoort het publiek maken van een lek niet bij.
Ze gaan ook naar hun leverancier om de problematiek te bespreken, ze zeggen er alleen bij dat ze het zat zijn en binnen 3 maanden een oplossing willen zien. Je doet alsof ze direct de bugs publiek maken.

En ja, als die 3 maanden (of kwart jaar) niet voldoende is voor MS/Apple om bugs te fixen hebben we absoluut een Google nodig die er maar eens druk achter gaat zetten, en dat op een heel redelijke manier doen.
Dat is ook waarom eigen rechter spelen een plicht is. Als jij vindt dat iets gewoon nodig is moet dat gebeuren. Hier hoeft geen onafhankelijk oordeel aan te pas te komen en dit beleid hoeft ook niet consequent te zijn of getoetst te worden aan enige wetgeving. Als het nodig is is het nodig, zo simpel is het.
Leuke poging tot sarcasme, maar realiseer je wel even dat ondanks vele (tientallen) jaren van (politiek) activisme uit de infosec-community, er nog steeds geen aansprakelijkheid is tegenover softwarebedrijven voor beveiligingslekken.

Zodra daar iets mee gebeurt, praten we wel weer verder.
Leuke poging tot rechtpraten wat krom is. Het feit dat door bepaalde partijen gewenste wetgeving er niet is wil niet zeggen dat het onderwerp ineens vrijstelling krijgt van overige wetgeving.

De wet voorziet niet dus dan maar vzelf de wetgevende en uitvoerende macht spelen, dat slaat toch compleet nergens op?
Hoe stel je anders voor dat dit opgelost gaat worden? Gewoon lekker bedrijven blijven vrijwaren van aansprakelijkheid, en op die manier de mogelijkheid laten ontstaan om vrolijk overal in te kunnen blijven breken, ongeacht of dat door een overheid of een andere partij gebeurt?

Overigens is het nog maar de vraag of wat Google doet uberhaupt tegen wetgeving indruist.
Ik stel niets voor. Maar bedrijven vrij spel geven om elkaar te chanteren is in ieder geval niet de oplossing.

Waarom moeten bedrijven uberhaupt aansprakelijk zijn voor die paar tientjes die je ze betaalt voor een licentie? (of zelfs al die gratis software) Als je naast een enorm uitgebreid software pakket ook een verzekering verwacht mag je wel wat meer gaan betalen. Verder verplicht niemand je om hun software te gebruiken, je bent vrij om zelf te beginnen vanaf 0.
Dit heeft helemaal niets met verzekeringen te maken, maar met nalatigheid.

Als je met je auto tegen een boom aanbotst omdat je wielas onzorgvuldig is ontworpen, dan is de autofabrikant toch ook gewoon aansprakelijk? Waarom zou dat met software anders moeten zijn?
Maar als mijn slot open gebroken wordt en m'n huis leeggehaald wordt is de slotenmaker niet aansprakelijk. Dus zo zwart/wit is het echt niet.

Zoals ik al zei vind ik het verder prima dat je aansprakelijkheid bij de softwareleverancier wilt kunnen leggen, maar dan moet je daar gewoon naar betalen. Of dacht je dat de autofabrikant dit niet meerekent in de prijs van de auto? Lijkt toch verdacht veel op verzekeren, extra betalen en dan betaalt de leverancier uit wanneer het fout gaat. Scheelt je wel assurantiŽnbelasting, dat dan weer wel.
Het gaat hier niet om een slot dat opengebroken wordt. Vrijwel alle beveiligingslekken die (momenteel) gevonden worden zijn triviaal, en puur het gevolg van het ontbreken van fatsoenlijke ontwikkel- en auditpraktijken. Vergelijk het met een slot dat openspringt zodra je er een tik tegenaan geeft.
Zoals ik al zei vind ik het verder prima dat je aansprakelijkheid bij de softwareleverancier wilt kunnen leggen, maar dan moet je daar gewoon naar betalen.
Ik heb er absoluut geen moeite mee dat licentiekosten enigszins stijgen als gevolg van het fatsoenlijk aansprakelijk stellen van een leverancier. Zo werkt het in de rest van de wereld ook al, en dat is gewoon meegerekend bedrijfsrisico. Maar dan moet dat ook wel in zijn geheel gebeuren (dus: wettelijk vastgelegd en vereist), en niet op individuele basis.

Er zijn overigens heel veel dingen die lijken op iets anders, maar het niet zijn. Neem nu bijvoorbeeld market segmentation - conceptueel gezien is het vrijwel identiek aan een uitkerings- en belastingssysteem, maar in de praktijk heeft het heel andere consequenties.

[Reactie gewijzigd door svenslootweg op 23 januari 2015 13:48]

De gevonden lekken zijn zeker niet triviaal, want anders had Google ze al veel eerder gepubliceerd. Dat is de keerzijde van stricte regels.

De gemelde bugs zijn niet al jarenlang bekend bij Google omdat ze zo triviaal zijn, ze zijn pas 90 dagen geleden gevonden door een team wat hier exclusief naar zoekt.
Ze lekken voordat de vendor de moeite neemt het lek te dichten. Als ze het belangrijk zouden vinden is 90 dagen genoeg. Prio moet liggen bij goede software. Time-to-market van nieuwe features wil je niet in kritieke delen van je infrastructuur (zoals het OS).
Tijd om te herbezinnen wat belangrijk is. MS heeft 10 jaar gelelden deze lakse houding ook gekeerd (toen nog onder Bill Gates), is blijkbaar onder Balmer weer verdwenen.
Als Google de prio niet bepaald dan is het een zero-day waarbij ze 0 dagen de tijd krijgen te fixen. Liever zo en een beetje druk op de ketel en beter nog pro-actief gaan zoeken/oplossen.

En dat Google die macht heeft komt voornamelijk omdat iedereen klant blijft. Als mensen dit niet wilden en live/bing zouden gebruiken dan schuift de macht gewoon mee.
"Als ze het belangrijk zouden vinden is 90 dagen genoeg"

Dat kun je niet eenduidig zeggen, misschien kosten bepaalde fixes wel meer tijd. Daarbij, het is niet aan Google om te bepalen wat genoeg is, dat is met name mijn punt.
Maar Google doet dit ook exact voor Microsoft, vorige week of zo hebben ze een MS lek gepubliceerd omdat MS er nog steeds niks aan gedaan heeft. Goed dat ze dit nu ook voor Apple doen. Geen onderscheid maken tussen verschillende ontwikkelaars.
Ze geven Apple 90 dagen om het lek te dichten, wat meer dan voldoende tijd moet zijn om het probleem op te lossen. Stel je zo geen harde deadline, dan kan de developer het probleem voor zich blijven uitschuiven en doen alsof zijn neus bloed. Ondertussen blijft het beveiliginslek in de software zitten en er is geen enkele garantie dat mensen met slechtere bedoelingen het ook niet vinden.
prima dat ze willen helpen maar om dan vervolgens ook uit te leggen hoe je het kan misbruiken vind ik erg fout
Ze geven eerst een 90 dagen counter aan het bedrijf.

Als die vervolgens de ernst van de zaak niet inzien, wordt er iets meer druk opgezet door het te openbaren.
ja deze discusssie had ik vorige keer ook al toen ging het om een lek bij microsoft.
mijn vraag is : Wie is google om ultimatums te stellen betreffende lekken in browsers en andere software. leuk en ardig dat ze het melden maar om vervolgens een ultimatum te stellen en dan ook nog uit te leggen hoe je het lek kan uitbuiten vind ik te ver gaan.

@monojack, helemaal mee eens, snap niet dat je -1 krijgt voor je berichtje

[Reactie gewijzigd door Freakiebeakie op 23 januari 2015 12:26]

Om heel eerlijk te zijn is het een courtesy. Er zijn zat andere security researchers die de fabrikant geen tijd geven en gewoon de zero day releasen met de PoC erbij. Er zijn ook organisaties die zelfs willen dat een fabrikant betaald om de details achter een lek te krijgen dus wat Google doet is opzicht helemaal niet zo raar in die wereld. Google zelf geeft zelfs bounties uit als jij een veiligheids lek vind.

[Reactie gewijzigd door Rutix op 23 januari 2015 12:51]

Dat is dan wel bijzonder hypocriet van Google. Android is nog steeds zo lek als een zeef en dan gaan ze andere bedrijven wat chanteren? Google zou beter de beveiliging van hun eigen producten onder de loep nemen ipv de indruk te wekken dat zij wel bezorgd zijn met de veiligheid van gebruikers van rivaliserende bedrijven.
Lekken en bugs mogen anderen ook melden bij Google inclusief de melding dat het openbaar gemaakt wordt binnen 90 dagen. En Apple en Microsoft zijn daar zelf ook niet heilig in, kijk maar naar de Scroogle campagne van Microsoft en hoe Apple tijdens keynotes Android naar beneden probeert te halen.
En waarom zou je een ander niet mogen wijzen op fouten als je zelf ook nog fouten heb?
Overigens is je woordkeuze weer typerend, lek als een zeef, chanteren. Waarbij chantage nog verkeerd gehanteerd wordt, aangezien chantage per definitie strafbaar is en voor eigen gewin. Dit is niet het geval.
Een reclame campagne tegen je directe concurent en/of vergelijking van cijfers zoals Apple doet is wel iets anders dan zero-day's van concurerende software publiceren, helemaal met PoC.

Maar, google heeft 90 dagen gegeven, en dat vind ik redelijk.
Ik zou zeggen dat dit beter besteede dollars zijn dan marketing filmpjes ;-)
Apple doet wel meer dan alleen cijfers publiceren, die citeert maar al te graag mensen om te tonen hoe onveilig of slecht Android wel niet is. Maar je hebt gelijk, het is ook niet hetzelfde, dan vind ik lekken melden met die 90 dagen erbij, minder erg.
Ik vindt als OSX en IOS developer IOS ook niet het veiligste hoor
Apple doet wel meer dan alleen cijfers publiceren, die citeert maar al te graag mensen om te tonen hoe onveilig of slecht Android wel niet is.
Citeren staat iedereen vrij. Natuurlijk citeerd ieder bedrijf met alle liefde als het hun beter uitkomt.

lekken melden aan je concurenten is niets ergs aan, zolang er maar geen slechte motifvatie achter zit.
Staat ook vrij, ik vind het alleen een teken van zwakte.

En de echte motivatie is natuurlijk altijd lastig bij grote bedrijven, die hebben allemaal een dubbele agenda. En 3 maanden de tijd om het op te lossen, vind ik toch wel redelijk de tijd.
Android is nog steeds zo lek als een zeef
Heb je daar een bron voor?
Elk stuk software heeft lekken. Je vergelijking gaat totaal niet op. Het zou pas hypocriet zijn als MS/Apple Google 90 dagen zouden geven om lekken te fixen en Google dat vervolgens niet doet. En je bron voor dat ze al niet hun eigen producten onder de loep nemen? Waarom zou het niet mogelijk zijn om beide te doen?
Als Microsoft en Apple hetzelfde bij Android gaan doen neem ik aan dat de consument uiteindelijk beter af is dan op het moment alhoewel er wellicht een pijnelijke periode tussenzit voordat iedereen elkaars bugmeldingen serieus neemt.
Het lijkt me niet echt de bedoeling dat we straks bij elke grote gigant een bug-unit hebben die bugs zoekt in de ander zijn software om die maar negatief in het nieuws te brengen.
heb je een bron dat android 5.0 gaten heeft?
en dat beter beveiligen doen ze al op play service 5.0 en we zijn nu op 6.5 beland.
Vertel dat tegen de miljoenen gebruikers waarvan hun telefoon niet geupdate wordt.
Vertel dat tegen fabrikanten die de toestel niet updaten! !
Maar waar blijft je bron met gaten in Android 5.0?
Dus ook wel android 5.0 heeft geen gaten?
Ook wel je zit onzin te vertellen.
6.5 bedoel ik, dus je snapt hem nu wel?
Ok, even opnieuw.
Wanneer oudere versie niet meer ondersteund worden, maar nog steeds gebruikt worden dan heb je grote kans dat daar nog gaten in kunnen zitten. Helemaal als er gaten gevonden worden in nieuwere versies. In dit geval zal de lijst met gefixte gaten in de nieuwe versie de lijst met gaten zijn die achterblijven in de oude versies.
Het is dus aannemelijk dat Android voor die oude versies dan lek is.
Het is ook aannemelijk dat oudere versies nog gebruikt worden.
Dus om even terug te komen op jouw reactie om bewijzen, dan is zo'n lijst jouw gevraagde bewijs.
Ik heb dus zonder daadwerkelijk bewijs indirect aangetoond dat oude versies lek zijn.

ps om mij nu direct van trollen te gaan beschuldigen is natuurlijk geheel onnodig.
Dat is dan wel bijzonder hypocriet van Google. Android is nog steeds zo lek als een zeef
Ik zou zeggen, meld je specifieke bevindingen bij Google en geef ze 90 dagen de tijd om het op te lossen omdat je het anders op tweakers.net zal zetten. Ik denk niet dat Google daar enig bezwaar tegen zal hebben en ik denk dat ze je zelfs zullen aanmoedigen om dat te doen.

Misschien is een carriŤre bij een beveiligingsbedrijf wel wat voor jou als je met zoveel gemak zoveel bugs kan vinden in Android dat je het zo lek als een zeef noemt.
Het is niet iets meer druk, het is gewoon over de ruggen van derden (de gebruikers in dit geval) opereren.

Publiceer dan bijv na 45 dagen een bericht in de media, dan kunnen de gebruikers extra druk uitoefenen om binnen de resterende 45 dagen het lek te patchen.
Maar ga niet na 90 dagen en de publicatie doen en tegelijk een PoC
Nee het is juist zorgen dat de gebruikers geholpen worden. Jaren lang werden lekken misbruikt en konden virussen zich vrij verspreiden.

Daar zet google nu even de rem op. Als je als bedrijf niet het gat wilt dichten, is dat jou keus. Je hoeft het niet te doen.
Je veronderstelt dat de gebruikers geholpen worden, maar dat weet je niet.

MS/Apple kan 10 kwalijkere bugs voorrang hebben gegeven die Google nog niet gevonden heeft. Alleen Google geeft geen mogelijkheid tot druk uitoefenen (voor de gebruiker)/ discussie.

Het enige wat je zeker weet (als MS / Apple) is dat deze vulnerability over 90 dagen je klanten gaat treffen want Google gaat een handleiding vrijgeven.
Oftewel ik zie het er nog wel van komen dat grotere bugs (die nog niet door Google gevonden zijn) naar achter geschoven worden om maar in de rat-race die Google gestart heeft te blijven zitten.
Dat de grotere bugs mogelijk al gebruikt worden dat is niet relevant zolang ze niet gepubliceerd worden

Google kan ook enkel een melding maken zodat de gebruikers niet direct 100% vulnerable zijn maar wel met de ontwikkelaar in overleg kunnen en de ontwikkelaar uitleg kan geven en dan kan je alsnog na volgende deadline het vrijgeven.
En het mooiste hiervan is is dat je helemaal geen langere termijn nodig hebt, maak de melding na 60 dagen openbaar en de PoC na 90 dagen en je geeft de gebruiker 30 dagen om verhaal te halen. Maar nu is de gebruiker simpelweg de dupe.
Ze zorgen hiermee ervoor dat kwaadwillende het lek niet meer kunnen gebruiken
Ze zorgen er dus juist voor dat kwaadwillenden het lek wťl kunnen gebruiken. Dat zorgt dus juist voor onveilige situaties. Hoe lang gaat het Apple kosten om het lek te dichten? In de tussentijd kunnen miljoenen apparaten al geÔnfecteerd zijn.

offtopic:
daarna worden details over hetl ek automatisch gepubliceerd.

Nu al informatie over het EK? Even gepost in Geachte Redactie :)
-edit iemand was me voor

[Reactie gewijzigd door Frozen op 23 januari 2015 12:02]

Dat konden ze voor de publicatie ook al. Het vrijgeven van een lek is niet de reden dat het begint te bestaan.
Met het geven van een proof of concept geef je kwaadwillende wel de tooling om er sneller mee aan de slag te gaan. Daarnaast is iedere kwaatwillende die niet van de lek af wist nu wel op de hoogte plus ze krijgen de tooling. Je geeft iemand hiermee de mogelijkheden, dus ja, ze faciliteren hiermee eigenlijk juist de kwaatwillende
In wezen heb je gelijk, alleen ligt de oorzaak/schuld hiervan NIET bij Google maar bij Microsoft/Apple. Google wijst de lekken aan en geeft ze 90 dagen de tijd om het te fixen, niks mis mee en daarmee geven de MS/Apple alle kans om het te fixen. Doen ze dat niet, is het hun schuld dat de lekken misbruikt worden.
Uiteraard, dat is dan ook precies de bedoeling. Het maakt het onmogelijk voor het bedrijf dat de software ontwikkelt om zich nog langer te verschuilen achter excuses als "het wordt niet daadwerkelijk misbruikt dus er is geen haast", een excuus dat schokkend veel voorkomt.

Helaas zijn dit soort tactieken inmiddels noodzaak. Ik zou het graag anders zien, maar op de lange termijn loop je simpelweg als gebruiker meer risico als deze tactieken niet toegepast worden.

Overigens is 90 dagen voor een patch ongelooflijk lang, zeker voor een bedrijf als Microsoft of Apple. De verantwoordelijkheid ligt wat mij betreft dan ook volledig bij hen.

[Reactie gewijzigd door svenslootweg op 23 januari 2015 12:42]

Je vergelijking gaat mank. Als ik een deur open heb staan heb alleen ik er last van. Als Microsoft, Apple, of welke software leverancier een deur open heeft staan hebben alle gebruikers van die software er potentieel last van.

En om op jouw vergelijking terug te komen, als jij mij vertelt dat ik een deur van mijn woning niet afgesloten heb en die heb ik na 90 dagen nog steeds niet afgesloten, wat zegt dat over mij?
Over deuren gesproken:

Nu druk jij op je AB om je auto te openen. Maar wat nu als een autodief op zijn AB drukt en niet alleen jouw auto maar alle anderen in de buurt opent en vervolgens naar hartelust gaat pluizen in al die auto's, inclusief de jouwe? Ook kijkt hij in jouw navigatiesysteem om daar de nodige adressen van andere slachtoffers te noteren.

Nog steeds niet willen weten?
Je reageert op de verkeerde 8)7 Ik vind dat Google prima bezig is.
Klopt, zie ik nu ook. |:(

Mijn excuses. :>
No hard feelings, ik had al zo'n idee ;)
Het gaat erom dat ik niet aan je deur hoef te zitten. Net zoals google niet aan andermans software, behalve als ms er zelf om vraagt.
Jij hebt inderdaad niets bij mijn deur te zoeken. Meer een reden dat je vergelijking mank gaat.
Google (als gebruiker) heeft alle reden om aan de bel te trekken over veiligheidsproblemen.
Zo, dus google heeft je mooi in de maling genomen en jij bent er met open ogen ingetrapt. Het was allemaal een afleidingsmaneuvre voor hun eigen dramatisch wanbeleid vwb patchen nieuws: Google: dichten van lekken in browser oude Android-versies is niet haalbaar
En biedt nu maar je excuses aan.
Man, bazel niet zo. Heb nooit gezegd dat Google z'n zaakjes wel op orde heeft. Bovendien, na 4.3 zijn er al weer flink wat updates geweest. 5.0.2 is meen ik de nieuwste.
Wat sla jij de plank mis zeg.
De verantwoordelijkheid ligt bij de software leverancier, echter google verspreid het lek en is daarmee kwaadwillend bezig. Ik zou graag onderzocht willen hebben of dit strafbaar is of dat google aansprakelijk gesteld kan worden voor schade die ontstaan is door deze openbaring.
Waarom zou Google kwaadwillend bezig zijn? Hun doel is om de lekken zo snel mogelijk gepatcht te krijgen, ook al heeft de leverancier daar helemaal geen zin in.

De methodes die ze daarvoor gebruiken veranderen de situatie niet plotseling van goedwillend naar kwaadwillend.
Daarbij google moet gewoon met zijn poten van andermans spullen afblijven.
Pardon? Wat heeft dit met eigendomsrecht te maken?
Ik zit toch ook niet jouw huis te checken op openstaande deuren en ramen en als ik er een vindt zet ik dat toch ook niet op twitter?
Die vergelijking gaat volledig krom, op zo ongeveer elke mogelijke manier. Ik weet niet eens waar ik moet beginnen, het raakt echt kant nog wal.
[...]
Waarom zou Google kwaadwillend bezig zijn? Hun doel is om de lekken zo snel mogelijk gepatcht te krijgen, ook al heeft de leverancier daar helemaal geen zin in.

De methodes die ze daarvoor gebruiken veranderen de situatie niet plotseling van goedwillend naar kwaadwillend.
De methodes die ze gebruiken veranderen de situatie juist wel van goedwillend naar kwaadwillend, want ze geven de gebruiker geen kans om druk te zetten.
Ze zetten de gebruikers het mes op de keel om te zien of de ontwikkelaar het oplost of niet.

Publiceer het na 45 dagen in de media (zonder PoC) en de gebruiker kan druk uitoefenen op de ontwikkelaar. Dan kan je daarna alsnog na 90 dagen je PoC publiceren dan heeft de gebruiker in ieder geval tijd gehad om invloed uit te oefenen.

Nu krijgt de gebruiker de melding en op hetzelfde moment kan het misbruikt worden want de PoC is een handleiding voor een willekeurig scriptkiddie.
Zo, het blijkt een afleidingsmaneuvre te zijn van hun eigen gebrekkig wanbeleid: nieuws: Google: dichten van lekken in browser oude Android-versies is niet haalbaar
Ze zorgen er dus juist voor dat kwaadwillenden het lek wťl kunnen gebruiken. Dat zorgt dus juist voor onveilige situaties

Eh nee. De enige die ervoor zorgt dat kwaadwillenden het lek kunnen gebruiken zijn Apple en Microsoft zelf. Google publiceert de lekken pas 90 dagen nadat ze Microsoft of Apple op de hoogte hebben gesteld, lijkt mij niet alleen alleszins redelijk maar een goede zaak. Ik snap de motieven van Google niet direct maar vind dit toch wel een top actie van Google. Je kan het Google echt niet kwalijk nemen dat lekken waar Microsoft en Apple voor verantwordelijk zijn en zat tijd hebben om te fixen misbruikt worden, dat is omgekeerde wereld.

Hoe lang gaat het Apple kosten om het lek te dichten?

Dat hadden ze in die 90 dagen maar moeten doen? Eigen schuld dikke bult.
Het probleem is niet het melden van lekken, maar het gelijk publiekelijk maken van PoC's
Nee, het is melden --> 90 dagen wachten --> publiek maken van PoC.
uhh de consument is juist hier NIET mee geholpen, immers zijn de lekken nog niet gepatched EN wordt er ook nog doodleuk code (proof of concept) meegeleverd om het lek te misbruiken...

90 dagen lijkt lang, maar dat is het zeker niet aangezien het sowieso over kalenderdagen gaat niet niet over werkdagen.. Tevens is het de vraag, vanaf wanneer gaat die 90 dagen in? vanaf het moment dat MS bevestigd heeft dat ze de melding ontvangen heeft, of vanaf het moment dat zij het insturen..
Dan is er ook nog dat het simpel patchen misschien niet eens kan als daardoor een hoop software over hun nek zouden gaan.. Er zal dus ook heel goed getest moeten worden of de oplossing geen problemen gaat geven (die soms erger zijn dan het lek zelf)..
Pfff. 90 Dagen is een kwart jaar. Best lang. Zeker als er een proof of concept wordt meegeleverd, want dat maakt het probleem gemakkelijk herproduceerbaar.

De consument is de winnaar: Hij/zij wordt geÔnformeerd dat er zwakheden in het systeem zitten, en de leverancier wordt onder druk gezet om die zwakheden op te lossen.

Ik geloof dat Microsoft in de jaren '90 kritieke bugs jarenlang niet oploste, omdat ze het zich konden permitteren.
Omdat een probleem herproduceerbaar is, wil het nog niet zeggen dat je het ook simpel kunt oplossen zonder dat je weer andere problemen veroorzaakt. En vaak levert het ook weer insight op voor andere plekken die nog niet door de externe gevonden waren.. Je kunt niet zomaar iets patchen zonder te weten wat de gevolgen zijn als je het patcht..
Het lijkt me niet om de consument te helpen, dat is net als de searchengine en de vele andere google diensten een leuk bijverschijnsel. Het is mi vooral om (opnieuw) goodwill te kweken bij de IT'ers/tweakers etc van deze wereld. De laatste jaren is 't imago van google van Wow-held!-bedrijf naar betrekkelijk-evil-maar-er-is-geen-alternatief bedrijf gegaan, zeker bij mensen die weten dat ze in het beste geval (reclame)kanonnenvlees zijn voor google.

Door opnieuw een moreel ridder-kostuum aan te trekken en tegen andere grote (en niet veel betere) concurrenten ten strijde te trekken, vinden we ze weer wat sympathieker. En wij, dat zijn de IT-opiniemakers/experts die onze onwetende maar daarom voor google niet minder interessante omgeving weten te beinvloeden. Zoals we ooit IE6 hebben proberen vervangen door FF en Chrome en google als homepagina instelden om van MSN af te raken etc.

edit zinsbouw...

[Reactie gewijzigd door moozzuzz op 23 januari 2015 18:07]

Denk je dat werkelijk? Ik kan het niet hard maken, maar ik vermoed dat ze dit doen om hun eigen OS'en naar voren te schuiven. Google hoort dit namelijk niet te doen, want dat komt op mij toch vreemd over. Als een onafhankelijk orgaan, zonder verder enig belang dan de veiligheid van gebruikers te bewaken, dit zou doen, dan zou ik er een stuk positiever tegenover staan.

Nee, ik geloof niet meer in goede bedoelingen van miljardenbedrijven. Wat ik wŤl geloof? Dat Google hiermee probeert beter te worden door de concurrentie onder druk te zetten ťn om ons te doen geloven van: "Kijk eens wat er gebeurt als je OS X of Windows draait? Ze patchen niet op tijd, en dus lopen jullie gevaar. MAARRRR.... je kunt ook Chrome OS of Android gebruiken. Die zijn tenminste wŤl veilig!"

Nee hoor, tuin er maar niet in. Het is pure eigenbelang. En helaas geven OS X en Microsoft voer om dit tot op de bot uit te buiten...
Google helpt alleen zich zelf anders kwamen ze niet met dit soort ongein terwijl hun eigen os gewoon een rommelig zootje is.
ze zorgen er enkel voor dat elk scriptkiddie op deze aardbol het lek kunnen misbruiken, consumenten worden juist extra kwetsbaar omdat er nog geen oplossing voor is
Omdat ze een veiliger internet willen, waar overheden, criminelen en andere kwaadwillenden, niet jouw internetverkeer kunnen afluisteren. Hier staat een heldere uitleg: http://googleonlinesecuri...ing-project-zero.html?m=1
En ondertussen zelf de grootste data hoarder aller tijden zijn.
Als Apple en MS ooit het zelfde trucje terug flikken dan kunnen de gevolgen nog groter zijn.
En wellicht dat Google daarom wel binnen 90 dagen patcht.

Deze syatematiek kan o.a. goed gewaardeerd worden door Bruce Schneier.

Als Google de lek kan vinden, dan kan de NSA en kwaadwillenden dat ook. Zeker wanneer mensen de lek kennen die het gemeld hebben, maar ook interne mensen die informatie over lek kunnen verkopen aan kwaadwillenden.

Van alle andere alternatieven rondom melden van lekken en patchen, is dit de mooiste aanpak.
yeah, right, google patcht zelf ook niet binnen 90 dagen, hell ze patchen gewoon bepaalde dingen helemaal niet, want tja, waarom zou je 2 jaar oude software die nu nog steeds op zowat als meer dan de helft van de android devices draait toch patchen, nee zij zijn inmiddels bij 5, waarom zou je dan iets in 4.3 nog patchen.... Stellete hypocrieten dat het zijn..
Google verwacht dat OEM's een upgrade voorzien naar 4.4 (we zijn reeds aan 5.0). Helaas zijn niet alle OEM's bereidt hierin te investeren. Of je hebt geluk en het lef je toestel van een custom rom te voorzien of schaft een toestel aan van een fabrikant waarvan je merkt dat die wel updates voorziet.

Vraag me trouwens af of Apple updates uitbrengt voor oudere IOS versies?
Het staat andere fabrikanten vrij om hetzelfde protocol bij Google toe te passen. Voor de rest, zie opmerking van domi1kenobi
En wellicht dat Google daarom wel binnen 90 dagen patcht.
Google is er berucht om om zeer weinig te patchen, zij hebben alleen hun model zo opgezet dat als zij niet patchen zij geen blaam kunnen krijgen...

Zij hebben met Android een model opgezet dat leveranciers extra dingen kunnen leveren en zij zeggen daarna bij bugs : Moet je bij de leverancier zijn.

Apple / MS die lossen zelf nog hun eigen shit op en gaan niet lafjes een businessmodel introduceren waarbij je alle verantwoordelijkheid kan afschuiven.
Google heeft heel veel gepatched. Zij zijn alleen niet degene die de patches kunnen installeren op de devices. Dat is aan de fabrikanten.
Het is zeker geen "trucje". Het zijn hoog opgeleide mensen die vaak zonder toegang tot de broncode detective moeten spelen op andermans software. Om eerlijk te zijn: omdat de ander zijn werk niet goed genoeg doet.

Ik denk dat Google nogal graag zou willen dat Apple en Microsoft ook een team op de software van Google zetten. Dat zou Chrome en Android alleen maar ten goede komen.

Maak niet de fout de kinderachtige reactie van Microsoft over te nemen en je eigen te maken.
Alleen Google fixed problemen die er zijn niet behalve als het in hun allerlaatste release zit.. Tja, dat zou geen probleem zijn als je makkelijkt kunt updaten naar die versie, maar helaas veel 4.3 android bezitters kunnen dat helemaal niet..
Google patch heel veel security lekken in oudere Android releases. Dat was dus zelfs zo gewoon dat Webview dus expliciet benoemd werd.

Wist je trouwens dat Microsoft alleen de meest actuele Internet Explorer van patches gaat voorzien?

Dit betekent IE9 op Vista wel patches krijgt, maar IE9 op WIndows 7 niet. En dat terwijl Microsoft wel in staat is om patches uit te rollen op Windows installaties, i.t.t. Google op Android installaties (Play devices en Nexus uitgezonderd natuurlijk).
Om eerlijk te zijn: omdat de ander zijn werk niet goed genoeg doet.
Daar is weinig eerlijks aan. Software schrijven blijft mensen werken, en een fout kan iedereen maken. Er is zelfs een formule om te berekenen hoeveel bugs (en security issues) er optreden per <n> regels code. Het is een onvoldongen feit dat er security issues in zullen zitten. Dat probeer je met allerhande methoden te ondervangen, met wisselend success, maar er is zeker geen silver bullet voor het probleem an sich.

Is 90 dagen redelijk als harde termijn? Ook dat is niet te zeggen. Voor veel dingen wel, maar sommige dingen moeten intensief doorgetest worden, en dat kan heel veel tijd kosten. Makkelijk meer tijd dan 90 dagen.
Alleen weet je als gebruiker van een dienst dat je data word bijgehouden. Dat is nog iets anders dan dat je toestaat dat mensen met slechte bedoelingen inbreken op je systeem.
En dat zegt Google... |:(

Ik begin steeds meer een afkeer van ze te krijgen, ze doen voor alsof ze het meeste nobele bedrijf ter wereld zijn, maar intussen is hun grootste product "de gebruiker".

[Reactie gewijzigd door geenstijl op 23 januari 2015 12:07]

En daar doen ze ook niet geheimzinnig over. Je bent ook niet verplicht hun diensten te gebruiken. Je hebt bv. duckduckgo als privacy vriendelijke searchengine. Voor mail is zijn er genoeg alternatieven.
Welkom bij Google ... "Don't be evil" , m.a.w. Be a fool.
tja, leuk en aardig, maar als ze zelf niet eens hun eigen problemen oplossen in nog geen 2 jaar oude software, dan is het wel heel hypocriet om dan die van andere wel te gaan publiceren..
Webview bedoel je? De fixes zijn er wel. Namelijk Android 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, 5.0, 5.0.1, en 5.0.2.

Ik ben het met je eens dat het schandalig is dat fabrikanten support opzeggen voor toestellen van nog geen 2 jaar oud.
tja, dus dan zeg je in principe ook dat mensen die nu Windows XP/7 hebben en zeuren, dat ze moeten stoppen met zeuren en gewoon windows 8 moeten aanschaffen..
Je vergelijkt appels met peren.

Windows wordt gemaakt door Microsoft, wordt geupdate door Microsoft, wordt geÔnstalleerd door Microsoft, op hardware van Dell (bijvoorbeeld).

Android wordt gemaakt door Google, wordt geupdate door Google, wordt geÔnstalleerd door Samsung, op hardware van Samsung.

Zie je het verschil?

Dus ja, mensen met Windows XP moeten upgraden of nieuwe hardware met nieuwe Windows kopen.

Windows 7 is nog in onderhoud bij Microsoft, dus ik snap niet dat je die noemt.
uhhh.. het is nog altijd "Windows wordt gemaakt door Microsoft, wordt geupdate door Microsoft, wordt geÔnstalleerd door MicrosoftDell, op hardware van Dell (bijvoorbeeld)."
Dus het is EXACT hetzelfde...
Ik bedoel de installatie van de updates. Dat gebeurt niet door een Dell, maar Microsoft.

Dus heel verschillend.
Het doel is uiteraard om de kwaliteit van software te verbeteren. Dat klinkt erg altruÔstisch, maar Google heeft er zelf ook belang bij. Ze zijn gebaat bij een verregaand gebruik van het internet en als de platformen die er toegang toe geven de zwakke schakel zijn, is het ook in Google's belang om hier iets mee te doen.

Ze schieten de melding in het systeem van de software leverancier geven deze een redelijke termijn voor openbaring. Hier is wat het project Zero team zelf te zeggen heeft over de discussie omtrent de 90-dagen deadline:
It's the result of many years of careful consideration and industry-wide discussions about vulnerability remediation. Security researchers have been using roughly the same disclosure principles for the past 13 years (since the introduction of "Responsible Disclosure" in 2001) [...] With that said, we're going to be monitoring the affects of this policy very closely - we want our decisions here to be data driven, and we're constantly seeking improvements that will benefit user security. We're happy to say that initial results have shown that the majority of the bugs that we have reported under the disclosure deadline get fixed under deadline, which is a testament to the hard work of the vendors.
Deze disclosure policy is effectief is gebleken in de laatste jaren. Het is meestal ook onmogelijk zeker te weten of de kwetsbaarheid "in het wild" wordt gebruikt. Je moet ervan uit gaan dat als jij de kwetsbaarheid kan vinden, een kwaadwillende dit ook kan. Vandaar dus de openbaring na redelijke termijn. Het alternatief: security through obscurity is geen succes gebleken.

Hiermee bied je iig de kans aan de eindgebruiker om zich te wapenen tegen de kwetsbaarheid. Bovendien kan men druk zetten op de leverancier om met een oplossing te komen. In de woorden van het team:
By removing the ability of a vendor to withhold the details of security issues indefinitely, we give users the opportunity to react to vulnerabilities in a timely manner, and to exercise their power as a customer to request an expedited vendor response.
Tot slot verdient het gezegd te worden dat je als leverancier zeer blij moet zijn met dergelijke grondige bugmeldingen. Al helemaal als je binnen het kader van deze policy worden gedaan. Helemaal goud.
Leuk dat je in hun marketingverhalen trapt, maar het is niets anders dan arrogantie en andere bedrijven afzeiken. Ik zou weleens gaten in hun eigen systemen gepubliceerd zien. Maar goed, daar is de concurrentie weer veels te netjes voor.
In mijn optiek is het bedrijf waar Google het aanmeld veel arroganter dat zij het niet binnen 90 dagen oplossen/meenemen in hun bugreleases!

Het zijn niet de kleinste bedrijven waar Google het aanmeldt.

Google is hiermee goed bezig.
Klaarduidelijk dat jij geen besef hebt hoe complex sommige bugs kunnen zijn. En sommige bugfixes kunnen ook ongewenste effecten hebben op andere systeem onderdelen. Zulke grote software moet ook door zeer rigoreuse testing procedures gaan eer ze gereleased worden.

Dus het is echt niet zo gemakkelijk als je denkt.

(disclaimer: ik werk in software development)
Target software companies kunnen extensions aanvragen als het blijkt dat de bug niet binnen de window gehaald kan worden. Probleem is dat ze 't meestal niet terug koppelen.. of negeren.. (backlogs enzo..)
Microsoft heeft ook geen verantwoording af te leggen aan Google en smeken om verlenging.
Eh pardon? Dat is dus wel het geval. Deze software is openbaar en wordt breed gebruikt, wellicht door Google zelf ook. In dat geval heeft elk bedrijf verantwoording af te leggen en hoort het gewoon bugs netjes te fixen, 3 maanden moet zat zijn. Het probleem is hier volgens mij een kwestie van hoogmoed.
Ben het met je eens hoor, maar houdt er rekening mee dat deze disclosure protocol bestaat, juist omdat software bedrijven niet aansprakelijk zijn voor security lekken en helemaal niet verplicht zijn om deze te fixen.
Je snapt geen hol van software complexiteit. Het gaat hier over een OS dat door meer dan 1.5 miljard mensen gebruikt wordt.

Als je er geen weet van hebt, zwijg dan gewoon.
Wow, twee beledigingen zelfs. kinderachtig hoor.. maar ook wel schattig eigenlijk :>

Maargoed, jij weet het vast beter dan deze mensen:

https://www.cert.org/vuln...alysis/vul-disclosure.cfm

Als dat te moeilijk voor je is, zij geven dus 45 dagen de tijd, Google het dubbele. Vandaar dat ik zei '3 maanden moet zat zijn'. Maar blijf vooral doorschreeuwen met loze statements. :O
Ik blijf bij mijn mening dat mensen achter hun pc scherm op Tweakers niet meer weten hoe software engineering en security werkt om grote bedrijven met een jarenlange reputatie even te gaan beschuldigen van incompetentie.
Met software die miljoenen mensen treft mag er toch wel enige vorm van accountability plaatsvinden. Dus nee niet specifiek af te leggen aan google maar meer aan zichzelf.
Best, maar dan moet MS ook niet zeuren als het gepubliceerd wordt.

Het enige probleem hiermee is dat de gebruikers ertussen zitten en de dupe zijn zonder dat ze enige invloed kunnen uitoefenen.

Als het enkel Google / MS / Apple betrof dan boeide het geen ene moer, alleen de gebruiker wordt nu geconfronteerd met een bericht van Google van : Wij hebben net de noodzakelijke code voor misbruik op jouw systeem verspreid, waarschijnlijk ben je nu al gehackt, pech joh. En natuurlijk hadden wij het kunnen melden voordat we de code vrijgaven, maar dat doen we lekker niet.
Ik ben ook developer en ben het gewoon weg niet met je eens. Er werken genoeg developers bij Microsoft om zn bug te fixen.
Het maken van de fix is het probleem niet. Maar de grote diversiteit van Windows systemen is. Hierdoor moet je veel verschillende vormen testen... En dat kost een hoop tijd zelfs wanneer het automated is zoals bij MSFT.
Microsoft heeft ook een release schedule, en niet alle bugs krijgen voorrang. Precies of ze hebben daar geen werk en zee van tijd om zich bezig te houden met gelijk welke bug Google beslist om mee naar buiten te komen.

1 van de bugs die Google onlangs publiceerde was een security issue dat zich enkel kon voordoen als de hacker fysiek toegang had tot de computer. Dat is geen hoge prioriteit vergeleken met mogelijks andere bugs.

Het is heel simpel hoor. Microsoft is het grootste enterprise bedrijf ter wereld. Hun reputatie staat of valt met support en veiligheid. Ze weten daar heus wel wat ze aan het doen zijn.
Wat is dat nu voor onzin. Als de bugs geen priotriteit hebben voor de bedrijven, dan zouden ze ook niet kwaad moeten zijn als het gepubliceerd wordt.
Het gaat erom dat Google niet de prioriteit van MS kan inzien.

Als MS net zelf 10 andere bugs die vele malen kwalijker aan het oplossen is (maar die Google nog niet gevonden heeft) dan is de prio van MS om eerst de kwalijkste bugs op te lossen.

Google is hier als een klein kind wat de voordeur niet op slot ziet staan en dan tegen mama begint te schreeuwen dat de voordeur niet op slot staat terwijl mama wellicht papa net aan het reanimeren is van een hartstilstand.
Als mama dan niet snel genoeg het kleine kind aandacht geeft dan gaat het kind maar posters voor de deur plakken dat alle inbrekers uitgenodigd zijn en dat de deur toch open staat.
Kerel, NEGENTIG dagen.
Wat eigenlijk nog het meest triest was.

MS had een patch klaar staan en had nog 1 of 2 dagen nodig.
Hebben meen ik ook contact gehad met Project Zero.

maar mocht niks baten....

De gebruiker zou de grote winnaar moeten zijn in deze.. maar is het volgens mij niet..
Oh en of ik dat weet... (Tester hier).. maar we hebben het hier niet over de kleinste clubs ter wereld.

Tegenwoordig zou dmv Agile, Continues Delivery, Scrum moet binenn 3 maanden een hele hoop mogelijk zijn. Het is maar net hoeveel prioriteit je er aan geeft.

[Reactie gewijzigd door Falcon op 23 januari 2015 13:00]

Ja, 'even' scrummen over Windows of OS X... Zo gepiept allemaal. Ik hoop dat je snapt dat OS'en iets ingewikkelder zijn en je waarschijnlijk praat over meer teams van programmeurs dan er programmeurs programmeren aan de code die jij test.

Volgens de quote van Google die snirpsnirp aanhaalt worden de meeste zaken op tijd gepatcht. Heel goed dus. Wat is dan waarschijnlijker; dat ze die andere bugs hebben uitgekozen om te laten liggen, of dat er interne redenen zijn dat het niet lukte. Organisatorisch danwel technisch.

En voor de duidelijkheid, de enige die hier echt last van heeft zijn de gebruikers als er gebruikt gemaakt wordt van een door Google gepubliceerd lek. Want zelfs als die gepatcht wordt moet iedereen het ook nog eens updaten.
Het publiceren van lekken is altijd al discutabel, voordat ze gepatcht zijn nog veel discutabeler en als dan ook nog door een directe concurrent wordt gedaan... Tja.
Ik lees alleen maar de gebruikelijke smoesjes. Met genoeg resources moet 3 maanden mogelijk, zeker als Google hun bevindingen zo duidelijk documenteert.
Google is hiermee in beginsel wel goed bezig, maar sommige problemen zitten zo grondig in de software verwerkt, dat het soms langer dan 90 dagen kan duren voor het gepatcht is. Daar zou Google dan wel rekening mee mogen houden. Bugtesten kan soms lang duren, omdat andere software er weer van afhankelijk is. Vooral als er een lek in een besturingssysteem zit, kan dat wat tijd kosten.
Daar zouden ze rekening mee kunnen houden, als ze zouden weten hoeveel tijd er nodig om het wel op te lossen. Zowel Microsoft en Apple weten dat als de bug binnen 90 dagen niet is opgelost, dat het dan gepubliceerd word. Deze zouden dit terug kunnen koppelen naar Google dat er meer tijd nodig is. En een melding 'we hebben meer tijd nodig' is onvoldoende reden om dan niet de publiciteit te kiezen, een gedegen verklaring waarom en hoeveel extra tijd benodigd is voorkomt dit misschien wel.
Mee eens, klinkt logisch
En een melding 'we hebben meer tijd nodig' is onvoldoende reden om dan niet de publiciteit te kiezen, een gedegen verklaring waarom en hoeveel extra tijd benodigd is voorkomt dit misschien wel.
Tuurlijk jongen, eis gelijk de volledige source code van je concurrenten erbij als verplichte onderbouwing.

Google kan gewoon gradaties aanbrengen, het hoeft niet zwart-wit te zijn. Bijv 5 dagen verlenging bij een simpel "we hebben meer tijd nodig" . En 2 weken bij een gedegen verklaring.
Hoeveel extra tijd benodigd is dat is in basis niet zo relevant en is enkel concurrentiegevoelige data.
Leuk dat je in hun marketingverhalen trapt, maar het is niets anders dan arrogantie en andere bedrijven afzeiken. Ik zou weleens gaten in hun eigen systemen gepubliceerd zien.
Het aandeel windows zal bij google niet hoog zijn, maar de publicatie (incl proof of concept) van Mac OS X treft OOK zeer zeker google. Het is de grootste internationale klant van Apple, het merendeel van het bedrijf draait op Mac's qua werkstation. (al dan niet met Mac OS, of Google's interne Ubuntu versie).
Kijk dan in de gepubliceerde lijst van bugs: staat Android ook gewoon tussen. Als internet niet veilig gevonden wordt kan Google de deuren sluiten,
Hoewel er bugs gedicht worden, loop je met dit beleid wel het risico dat er continue ťťn of meer veiligheidsgaten publiek bekend zijn. Weliswaar telkens andere, maar toch. Bovendien heb je geen garantie dat de bugs die bekend worden, wel de bugs zijn, die de criminelen zouden vinden. Als ik een crimineel zou zijn, dan ben ik blij met dit beleid. Ik hoef me nu minder te verdiepen in de details van het OS, ik kan gewoon google volgen.
Daarintegen ben ik ook blij met dit beleid want afhankelijk van waar het lek zit kan ik er rekening mee houden en me ervan bewust zijn dat daar een lek zit en die dus extra in de gaten houden. Echte criminelen gaan echt niet op Google wachten tot die een lek vinden. Die zijn continue al op zoek en informatie aan het vergaren.
Hoe ga je die lek in de praktijk in de gaten houden? Ik kan me voorstellen dat echte criminelen niet op google wachten. Maar ik ben bang dat er ook veel nep-criminelen zijn.
Natuurlijk is het puur de bedoeling van Google om de software te verbeteren. Dat het Apple en Microsoft slechte reclame bezorgt vinden ze ook heel erg waarschijnlijk.

Vanwege die verbeteringen van de kwaliteit kunnen we binnenkort natuurlijk ook een publicatie verwachten met alle veiligheidsfouten en exploits van de niet meer ondersteunde maar nog steeds door zo'n 60% van de mensen gebruikte Android versies. Moeten al die fabrikanten van telefoons met Android maar een beetje beter hun best doen!

En waarom daar stoppen? Veel gebruikers van bijvoorbeeld Gmail hebben zwakke of makkelijk te kraken wachtwoorden. Binnenkort een mailtje van Google: binnen 90 dagen uw wachtwoord veranderen anders publiceren we uw mailadres en wachtwoord! Alles natuurlijk voor uw eigen bestwil en de veiligheid van internet!

En of bedrijven fouten binnen 90 dagen kunnen repareren is voor Google geen punt. Of het 90 of 10 dagen is maakt Google wel uit waarbij ze echt, heus op hun erewoord alleen maar kijken naar de belangen van ons gebruikers. Do no evil!

Godzijdank doen andere grote bedrijven niet mee aan dit soort pesterijen door allerlei veiligheidsfouten van Android te publiceren. 1 onaangenaam bedrijf als Google is al ruim voldoende.
Godzijdank doen andere grote bedrijven niet mee aan dit soort pesterijen door allerlei veiligheidsfouten van Android te publiceren..
Metasploit? Mitnick security? BeyondTrust,.. moet ik doorgaan? Er zijn echt plenty bedrijven die dit ook doen.
Ik denk dat CharlesND Apple, Microsoft en andere ťcht grote bedrijven bedoeld...

Wat jij noemt zijn bedrijven gericht op security, ook daar is het 90 dagen beleid vast discutabel, maar het is in ieder geval niet de concurrent die het doet.

[Reactie gewijzigd door curumir op 23 januari 2015 15:03]

Voor die niet meer onderteunde Android versies moet je bij de fabrikanten zijn en niet bij Google. Google kan er niets aan doen als fabrikanten een update naar een nieuwe Android versie niet naar hun klanten doorstuurt. Google zie je toch ook geen veiligheidslekken publiceren van bv Windows XP.

Dit soort dingen kan je enkel maar aanmoedigen aangezien het voor de gebruiker enkel veiligere software oplevert. Zie niet in wat hier pesten aan is, als ze echt wouden pesten zouden ze deze lekken wel gelijk openbaar maken en niet na een kwartjaar pas.

En ik ben zeker geen grote fan van Google, vind het eerder net zoals MS en Apple een eng bedrijf maar hier heb ik totaal geen problemen mee.
Denk je nu werkelijk dat dat zo is?
Ik zie het anders, gewoon puur de concurrentie irriteren zodat ze hun crappy chrome os wat meer op de markt kwijt kunnen.

Het is helemaal niet aan Google om te bepalen binnen hoeveel dagen de boel gefixed moet worden. Niet te vergeten in Android ook nog flink wat gedrocht technieken zitten waarvan ik nog tot hedendaags niet kan bevatten dat men zoiets onnozels kon bedenken.
Laat Google gewoon op hun eigen core business richten en laat MS dat voor Windows doen en Apple voor OSX/iOS.
tja, maar niet reageren/uitstellen als je een verzoek krijgt van de leverancier omdat ze gewoonweg het niet halen is dan toch wel heel erg arrogant en is helemaal niemand bij gebaat, behalve zij als team dan, aangezien ze weer hun zoveelste 15-minutes of fame krijgen...
Dit is helemaal gedacht vanuit het perspectief van een techie.

Natuurlijk is dat niet enige reden van Google. Dat het negatieve backslash heeft op concurrenten is mooi meegenomen.

Ik vind de laatste regel van je quote wel interessant:
We're happy to say that initial results have shown that the majority of the bugs that we have reported under the disclosure deadline get fixed under deadline, which is a testament to the hard work of the vendors.
De vendors werken dus prima mee, ze werken zelfs hard. Waarom is het dan toch nodig om dit soort publicatie te doen? Is de 90 dagen regel in steen gehouwen?

Het argument dat een bug die Google kan ontdekken ook ontdekt kan worden door iemand anders is natuurlijk in de kern correct. Om daar echter een tijdslimiet aan te hangen die (blijkbaar) in steen gehouwen is gaat voorbij aan het punt dat de kans ook groot is dat dit nog niet gebeurd is. Sterker nog, het enige wat je 100% zeker weet is dat de bug na publicatie zeker bekend is, en zeker niet gepatcht is.

Tenslotte, en dan komen we weer bij de techie opmerking - hoeveel eindgebruikers die geen techneut zijn zullen zelf dit soort meldingen bijhouden en zich er tegen beschermen. Je hebt het over gebruikers die je al bijna moet dwingen om reguliere patches te installeren... Wat een non-argument!

Je laatste alinea ben ik het helemaal mee eens. Een externe partij die je producten voor je test en het dan ook nog eens meldt... Heel fijn.
Als ze echter gaan afdwingen dat je met hun bugs binnen een bepaalde tijd iets gedaan moet hebben, or else... Not so much.
Hiermee bied je iig de kans aan de eindgebruiker om zich te wapenen tegen de kwetsbaarheid. Bovendien kan men druk zetten op de leverancier om met een oplossing te komen.
Dus je hebt net een handleiding gepubliceerd hoe een kwetsbaarheid exact te misbruiken (het PoC) en vanaf het moment dat je die handleiding geplaatst hebt heeft de gebruiker de tijd om zich te wapenen en druk op de leverancier uit te oefenen?

Wellicht handig om eerst de melding te doen zodat de gebruiker zich kan wapenen en druk kan zetten en daarna pas de daadwerkelijke handleiding uit te geven?
Het is eerder om deze bedrijven minder lui te maken om iets te patchen vanaf het gekend is, maar nog niet publiek.

3 maanden om een patch uit te brengen lijkt me ruim voldoende.
Ik denk dat jij geen besef hebt over een complex proces als een OS, ja je kunt misschien iets wel simpel patchen, maar je zult toch ook moeten uitzoeken wat dat patchen tot gevolg heeft. En misschien is het niet eens simpel te patchen omdat het een designprobleem is (tja, je kunt niet overal rekening mee houden, zeker niet met dingen die je gewoonweg niet verwacht omdat JIJ er echt niet aan denkt. Je moest eens weten hoe mensen dingen gebruiken waar je zelfs als je het ziet denkt, huh? wat? hoe doe je dat?
Ja sommige lekken zijn makkelijk te patchen, maar lang niet alle... en vergeet niet dat het 90 KALENDERdagen zijn, en niet WERKdagen..
en vergeet niet dat het 90 KALENDERdagen zijn, en niet WERKdagen..
Als het belangrijk genoeg is, kan er heus wel in het weekend gewerkt worden. Ernstige linux-bugs worden meestal binnen een paar uur gefixet.
door nerds die na hun reguliere werk als hobby code kloppen. Benieuwd of jij je weekend plannen zou opgeven omdat je baas ineens een nieuwe prioriteit heeft (gekregen) en je nog even 30 uur weekendwerk mag oplegt.
maar als er binnen enkele uren het probleem gefixt is, dan kan er nooit goed getest zijn mbt compatibiliteit van reeds uitstaande systemen..

Enuh, tuurlijk kan er wel in het weekend gewerkt worden, maar dan moet het wel heel HEEL erg noodzakelijk zijn (en daarbij dus ook heel heel erg vet betaald gaan worden)..
Dit zorgt er wel voor dat bijvoorbeeld eindelijk wel aandacht geeft aan problemen die ze hebben, als google de kwetsbaarheden kan vinden, dan kunnen hackers dat ook.
Door de 90 dagen grzce tijd te geven proberen ze MS en Apple er toe te zetten dat ze ook wat aan deze kwetsbaarheden doen.
Niets dan hulde hier dus voor Google!
of om te zorgen dat niet ook nog al je data bij de chinese overheid ligt door giga lekken in software.
de NSA 100% van onze data geven is al genoeg hoor!
Zoals andere reacties ook al zeggen, het is om consumenten te beschermen.
Alleen is dat natuurlijk niet de enigste reden dat ze dit doen, dat ze hiermee concurrenten in een slecht daglicht zetten is mooi meegenomen.

En nee, er is helemaal niets illegaals/slechts aan, geen enkel zichzelf respecterende overheid zal hier een rechtzaak van maken, dit gebeurd namelijk al op grote schaal (white hackers die problemen vinden, en uit noodzaak een tijdslimiet opleggen aan de bugfixers, omdat er anders maar gewoon laks over word gedaan/de boel niet word gerepareerd)

Het is alleen omdat Google nu meedoet dat er opeens zoveel aandacht en drama rond ontstaat.
Omgekeerd kunnen al die bedrijven toch ook ongepatchte android problemen opnoemen ?
(ja misschien fxied in nieuwste android versie, maarja 80% van de telefoons krijgt die update nooit...)
Het feit dat Android een open-source platform is waar iedereen shit op mag installeren en doen, is het vrijwel moeilijk om dit als tegen argument te gebruiken. Stel er zit een lek in de skin van een fabrikant dan heb je meteen al kritiek terwijl Google er niks aan kan doen.
Of ze moeten elke fabrikant doorlopen op de nieuwe skin en daarna een oordeel geven of het wel of niet op hun OS mag.

Dan zou je beter moeten doelen op de Google Chromebooks die misschien beveiligingslek hebben.

Maar met Zero-campagne kunnen ze dit altijd doen? Het publiceren van lekken in het systeem?
Dus in principe heeft Apple ook de lek niet binnen 90 dagen opgelost, dus zijn ze even erg als Microsoft?

[Reactie gewijzigd door theduke1989 op 23 januari 2015 12:03]

De AOSP versie van android is inderdaad opensource, maar groten dele van android die op een HTC of Samsung is te vinden is dat niet volledig (alle geleverde Google diensten). Op dit moment zie ik totaal geen voordelen dat Google beveiligingsproblemen zo op straat gaat gooien.

Ze creŽren hiermee een sitatue dit niet alleen wenselijk is voor de gebruikers van het platform, maar ook een situatie dat bedrijven nu ook 0-day exploits van android op straat gaan gooien en dat zijn er flink wat als men alle android toestellen mee gaan tellen. Grotendeels van de gebruikers zitten op android 4.2 en lager en die krijgen geen updates meer. Resultaat? Scripts kiddies kunnen zo heel gemakkelijk flink wat gebruikers aanvallen.
Alle Google toestellen 9/10 keer krijgen allemaal gewoon netjes een software update binnen die beveiligingslekken moeten dichten.

Het feit dat 90% misschien niet op een Google Nexus device zitten, betekend niet dat Android meteen slecht is, of wat dan ook. Maar daarop heeft Google minder zicht op als het toch allemaal via fabrikanten gaat ipv Google zelf. Dus dan zouden ze bij Samsung/ HTC/ Sony/ LG de lekken moeten online zetten ipv hun eigen Google Nexus updates.

Als je goed bekijkt, zie je dat er vrijwel om de zoveel 2/3 weken Google producten worden ge-update in de playstore. Ik krijg dan altijd te zien maps/gmail of wat dan ook wordt keurig ge-update, dus in het OS ook.

Enige wat ik me kan voorstellen is, in hoeverre de Google Chromebooks beveiligd zijn.

[Reactie gewijzigd door theduke1989 op 23 januari 2015 12:16]

Het feit dat 90% misschien niet op een Google Nexus device zitten, betekend niet dat Android meteen slecht is, of wat dan ook. Maar daarop heeft Google minder zicht op als het toch allemaal via fabrikanten gaat ipv Google zelf. Dus dan zouden ze bij Samsung/ HTC/ Sony/ LG de lekken moeten online zetten ipv hun eigen Google Nexus updates.
Zo dat zou makkelijk zijn als Google dat als argument kan gebruiken. Zou Microsoft dat ook maar doen bij al die verschillende Windows laptops en desktop? Dan zou de wereld te klein zijn.

Nee, Google heeft er zelf voor gezorgd dat de updates door de fabrikanten doorgevoerd moeten worden. Het is op dit moment niet realistisch dat 9 van de 10 google Android toestellen een update krijgen. Koop een toestel rond de 200 euro met android 4.2 erop en je men kan er al 100% vanuit gaan dat die nooit android 5.0 gaat krijgen.

[Reactie gewijzigd door vali op 23 januari 2015 12:20]

Omgekeerd kunnen al die bedrijven toch ook ongepatchte android problemen opnoemen ?
Ja natuurlijk. Maar met welk nut? Om Google op een kinderachtige manier terug te pakken? Daar schiet helemaal niemand iets mee op.

[Reactie gewijzigd door Eagle Creek op 23 januari 2015 12:02]

Het is voor Google, de telefoonfabrikant en de eindgebruiker te hopen dat ze het ook doen! Uiteraard weer met een redelijke termijn van kennisgeving. Op die manier kan men zich tegen kwetsbaarheden beschermen. Zelfs al betreft het oude versies, kan Google of de fabrikant nog een patch uitbrengen of de eindgebruiker zijn instellingen/gedrag wijzigen.

Sommige mensen lijken er hier van overtuigd dat het een soort vorm van pesterij is, maar dan heb je er naar mijn mening weinig van gesnapt. Google zou erg blij moeten zijn als andere goedwillende partijen op zoek gaan naar kwetsbaarheden in hun software. Andersom ook, maar Microsoft leek het ook nog niet te snappen.
Daarom hebben ze nu ook GP services, die wordt automatisch geupdate.
Dit is een actie van Google om bedrijven te forceren beveiligings problemen snel op te lossen. Als een bedrijf geen actie onderneemt dan kan ik me voorstellen dat ze het lek na 90 dagen publiceren. Als een bedrijf echter wel reageert en aangeeft de deadline bijvoorbeeld met 20 dagen te overschrijden moeten ze dat gewoon weergeven. Als het bedrijf zijn woord niet nakomt kunnen ze het alsnog publiceren. Echter op deze manier komt het wel erg onsympathiek over.
Het risico voor consumenten van publicatie van lekken na 90 dagen is echter waarschijnlijk wel100 keer groter dan gewoon wat langer wachten.
Het gebeurt maar hoogst zelden dat privately discovered lekken leiden tot malware terwijl malware juist wel heel vaak gebruik maakt van publicily disclosed lekken.

Het publiceren van een Proof of Concept voor een ongepatch lek is sowieso altijd een belachelijke actie. Daar zitten echt alleen maar nadelen voor consumenten aan.
Daar mag van mij wel een wettelijk verbod op komen.

[Reactie gewijzigd door 80466 op 23 januari 2015 12:10]

Ja en wie forceert google om hun lekker en bugs op te lossen?

Juist ja, als google een lek of bug in Android heeft dan moet iedereen plots zwijgen.
Dat ze het openbaren is nog wel wat voor te zeggen, geen idee wat ze ervoor aangedaan hebben. Echter zelf een proof of concept maken gaat te ver.
Hoezo ? een POC is niet meer dan degelijk aantonen dat het kan. Kun je meteen in je test mee gebruiken. Beveiliging staat altijd op een laag pitje, omdat het, een zware kost is die niks opbrengt, daarnaast is/was een trend om zo snel mogelijk software te maken en als het genoeg in het laadje brengt kijken we dan wel of er bugs eruit kunnen halen. (eg. games)

Door deze zero groep ga je een beetje als klos staan als je er niet optijd op reageert.
Zonder een PoC is het vaak lastig om aan te tonen dat het kan. Je kan dan je eigen poc weer abstract gaan beginnen neerpennen waarna anderen hem weer moeten gaan implementeren of je kan hem gewoon meeleveren waardoor anderen direct kunnen zien dat het systeem inderdaad kwetsbaar is.
De tactiek van project zero is best prima om op deze wijze meer focus te krijgen op het snel oplossen van lekken. Het blijft tegelijkertijd vrij ironisch dat Android een zeer gefragmenteerd systeem is, vrij lastig van een update te voorzien is en heeft Google daar het minst vat op.
Google zorgt er voor zijn eigen toestellen voor dat deze gefixed worden.

en de sandbox is opzich best wel solide in elke versie. Anders zouden alle telefoons ter wereld wel gehacked worden
Google speelt het brave jongetje uit de klas...

Ik vraag me af wat voor hun echt de toegevoegde waarde is om dit te doen.
Hun imago verbeteren ze er in ieder geval niet mee.

[Reactie gewijzigd door twilex op 23 januari 2015 12:24]

Zeker wel voor hun imago. "Kijk ons eens een goed bezig zijn met security en privacy!"
Als er nu in de toekomst weer eens, al dan niet terechte, kritiek komt op Google omdat ze zo veel data verzamelen kunnen zij mooi zeggen "Ja maar kijk we zijn heel bewust bezig met security en privacy, kijk we hebben al deze bugs bij anderen gevonden!"

Overigens, was benieuwt of Google transparantie rapporten publiceert, dit lijkt wel zo te zijn, alleen ze zijn al meer dan een jaar niet geupdate.......
Overheidverzoeken
Als je vooral 'weet hoe anderen het zouden moeten doen' maar zelf lang niet altijd het goede voorbeeld geeft zal dat weinig bevorderend zijn voor je imago.

Google is 'een van de meest gevreesde bedrijven' als het om privacy van persoonsgegevens gaat. Android is het minst veilig van t.o.v. iOS en Windows Phone.
Heb je zelf zůveel vertrouwen in Google en zů weinig vertrouwen in anderen dat dit anderen meer vertrouwen in Google zou geven?

De gemiddelde consument krijgt er trouwens helemaal niets van mee.
Het wordt interessant om te zien hoe Apple met deze publicatie om gaat.

Hoe snel en voor welke OSEn lost Apple het op? Gaat Apple klagen tegen Google dat dit niet een goed idee is?
De laatste van deze drie vulnerabilities die nog open staat blijkt al gefixt in 10.10.2 beta die binnen niet al te lange tijd uitkomt.

De kans is groot, aangezien het feitelijke risico op misbruik van de exploit beperkt is (je moet al toegang tot het systeem hebben, ze zijn niet remote-exploitable), dat Apple voor 10.10 geen aparte security patch uitbrengt aangezien 10.10.2 toch al bijna uitgerold wordt. Voor 10.9 (en wellicht 10.8) kun je wel een aparte security fix verwachten.

[Reactie gewijzigd door Maurits van Baerle op 23 januari 2015 20:14]

Waarom wordt er in het nieuws toch altijd gesproken van een zero-day exploit, terwijl dat expliciet niet aan de orde is? Bij een 0-day exploit gaat het om een exploit waar de developers niet van op de hoogte zijn die wel wordt misbruikt. Daar komt immers ook het "0-day" vandaan. Dit is eerder een 90-day exploit.
Het verschil is dat het zero-days worden zodra Google ze wereldkundig maakt, omdat Apple (of Microsoft of ...) ze niet binnen de gestelde 90 dagen periode heeft verholpen.
Dat is toch wat anders, na Google's publicatie zijn het 'public exploits' geworden. Zero-day exploits zijn doorgaans niet algemeen bekend.
Google doet dit om een bedrijf 90 dagen de tijd te geven om het te fixen. Zo niet dan maken ze het publiek bekend dat je systeem mogelijk zwak is zodat je zelf maatregelen kan treffen.

In die 90 dagen kunnen boze personen dit al misbruiken. Dus van mij mogen ze het al eerder publiceren.
Punt is alleen dat als ze het openbaar maken ineens iedereen het weet en niet een select groepje.
Het is niet aan Google om zwakke plekken in de beveiliging van andere bedrijven te publiceren.

Moet je voorstellen dat je gaat publiceren bij welke bedrijven het alarm niet werkt of hoe je dat makkelijk kunt uitschakelen, of waar de reservesleutel ligt om binnen te komen...
Dat zou nog wel eens strafbaar kunnen zijn omdat je aanzet geeft tot misbruik van dergelijke situaties.
Ik vindt dat een ieder zich zelf respecterend bedrijf de software en applicties die hij gebruikt controleerd op gebreken zodat je hiermee rekening kan houden. Zeker als je die software gebruikt om diensten aan anderen aan te bieden.
En als je dan wat vindt kun je dat voor je zelf houden of melden aan anderen.

Je stelling over aanzetten tot misbruik gaat niet op. Zeggen tegen iemand dat iemand anders zijn deur niet op slot is, betekend in Nederland nog steeds niet dat je die ander uitnodigd om daar dan maar in te breken. Mag ik hopen. ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True