Beveiliging Chrome voor derde keer binnen korte tijd gekraakt

Googles browser Chrome is voor de derde keer in korte tijd gekraakt. Een tiener vond een manier om via drie exploits uit de sandbox te breken. Details van de kwetsbaarheid zijn niet bekendgemaakt, maar het lek is al gedicht.

Een tiener met nickname Pinkie Pie heeft de kwetsbaarheid ingediend bij Pwnium, een wedstrijd die Google zelf uitschreef om kwetsbaarheden in Chrome te vinden. Een ontwikkelaar die de beveiliging van Chrome volledig kraakt, wint 60.000 dollar en een Chromebook. De wedstrijd is inmiddels afgelopen.

Details over de drie lekken die Pinkie Pie heeft gevonden zijn niet bekendgemaakt. Dankzij de exploit had een kwaadwillende aan de sandbox waarin Chrome draait kunnen ontsnappen, waardoor schade kon worden aangericht aan een computer. De exploit vroeg geen actie van een gebruiker, schrijft ZDNet, die Pinkie Pie sprak.

Met de exploit van Pinkie Pie komt het aantal keren dat Chrome gekraakt is afgelopen weken op drie: twee keer via Pwnium en een keer via hackwedstrijd Pwn2Own. De lekken die in Pwnium zijn blootgelegd, zijn inmiddels gerepareerd. De details van het lek op Pwn2Own zijn in bezit van Vupen, een bedrijf dat exploits verkoopt aan overheden. Daardoor beschikt Google niet over de details en kan het lek dus niet worden gedicht. De details van hacks op Pwn2Own hoeven sinds dit jaar niet te worden geopenbaard. Daarom besloot Google Pwn2Own niet meer te sponsoren, maar hield het met Pwnium een eigen evenement.

Door Arnoud Wokke

Redacteur

Feedback • 12-03-2012 08:03
84 • submitter: Anoniem: 80466

12-03-2012 • 08:03

84 Linkedin

Submitter: Anoniem: 80466

Lees meer

Google gaat Pwnium-beloningsprogramma gehele jaar openstellen Nieuws van 25 februari 2015
Onderzoeker vindt browser-exploit met root-toegang op Nexus 4 en Galaxy S4 Nieuws van 14 november 2013
Chrome OS overleeft Pwnium 3-aanvallen Nieuws van 9 maart 2013
Google patcht recent Chrome-lek in tien uur tijd Nieuws van 11 oktober 2012
'Acer en Lenovo komen met nieuwe Chromebooks' Nieuws van 18 september 2012
Google brengt Chrome-browser en Drive naar iPhone en iPad Nieuws van 28 juni 2012
Chrome 19 synchroniseert tabs tussen verschillende apparaten Nieuws van 16 mei 2012
Google voegt vensterbeheer toe aan Chrome OS Nieuws van 10 april 2012
Pwn2Own-valstrik in Chrome laat browser crashen Nieuws van 13 maart 2012
IE9 bezwijkt voor Pwn2Own-deelnemers Nieuws van 9 maart 2012
Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld Nieuws van 8 maart 2012
Google looft 1 miljoen dollar uit voor Chrome-exploits Nieuws van 28 februari 2012
Ontwikkelaar haalt apk-downloader voor Android Market offline - update Nieuws van 26 februari 2012
Meer producten en artikelen
Browsers Google Beveiliging

Reacties (84)

-Moderatie-faq
84
82
61
11
0
11
Wijzig sortering
subcultural
12 maart 2012 08:21
Nogal suggestieve titel die doet uitschijnen dat Chrome zo lek als een mandje is, terwijl dit in wezen niet is.

Leuk verhaal over Vupen en hoe Google hun exploit heeft kunnen ontmaskeren, of op zijn minst hun werkwijze en route.
http://www.zdnet.com/blog...utm_content=Google+Reader
IJsbeer
@subcultural12 maart 2012 08:30
Ik ben het met je eens dat de titel nogal suggistief is.
Maar wat ik wel apart vindt is dat er in Chrome 3 lekken zijn gevonden in IE6-10Beta ook 1 (ook door Vupen) en over Firefox niets gehoord..

Laat maar, dat ligt aan de berichtgeving op tweakers.:
http://www.geek-news.net/...-and-ie9-all-fall-at.html
http://www.gratissoftware...irefox-gehackt-op-pwn2own

[Reactie gewijzigd door IJsbeer op 12 maart 2012 08:32]

Anoniem: 80466
@IJsbeer12 maart 2012 09:17
Firefox 10.2 is ook gehackt op Pwn2own

Researchers hack into newest Firefox with zero-day flaw
BeosBeing
@IJsbeer12 maart 2012 09:47
Wel typisch dat Opera en Safari ook daar niet genoemd worden. Hebben die te weinig gebruikers waardoor ze voor hackers niet interessant zijn (vooral black hats, spammers en andere criminelen willen zoveel mogelijk systemen kunnen binnendringen met zo weinig mogelijk moeite omdat het geld verdiend wordt met de grote aantallen). Is het omdat ze geen geld ter beschikking stellen voor gevonden lekken of zijn ze echt veiliger.
Het eerste is natuurlijk een voordeel voor de huidige gebruikers maar valt weg als deze browsers te populair worden. Ook in een niche zitten kan voordelen hebben.

Zelf vind ik Opera de fijnste browser, behalve als je een pagina wilt printen, dat werkt vaak niet goed of niet. Met IE wordt wer wel afgedrukt maar is het resultaat meestal ook om te huilen.
resma
@BeosBeing12 maart 2012 11:07
Het artikel op geek-news meldt dat Safari niet is 'aangevallen'. Niet aangevallen = niet gehacked...
WTFuzz
@BeosBeing12 maart 2012 19:52
Wegens het geringe marktaandeel is Opera geen onderdeel van de wedstrijd.

Dat Safari ongeschonden uit de strijd is gekomen is helaas geen bewijs van de veiligheid van Safari.
Xantios
@IJsbeer12 maart 2012 08:35
Vermoedelijk omdat Firefox ook niet direct relevant was voor het Google evenement,
en IE altijd interessant is door de mensen die het gebruiken ( geen flame naar Internet Explorer gebruikers, maar een stereotype beeld leert ons dat ze een acer laptop en een VMBO Basis diploma op zak hebben, en helaas daarmee niet het licht uitgevonden hebben)

Firefox heeft daarbij het voordeel dat ze tegenwoordig wel een stuk sneller met updates kunnen komen, en ze hun veiligheidszaken voor mijn gevoel altijd wel goed op pijl hadden?

Edit: Ah verrek ! dan zit het daar ja!

[Reactie gewijzigd door Xantios op 12 maart 2012 08:38]

humbug
@subcultural12 maart 2012 08:56
Men weet (mogelijk) waar het lek kan zitten. Tegelijkertijd werkt het lek wel gewoon. De patch heeft dus niet gewerkt. Er zullen wel meer debug messages in een browser zitten waarmee je een probleem kan lokaliseren.

Een leuk verhaal waarmee Google vooral aangeeft dat 10 maanden na dato een bepaald probleem nog niet structureel is opgelost.
Brummetje
@subcultural12 maart 2012 09:07
Titels op Tweakers.net beginnen steeds meer op nu.nl en de kranten te lijken.... Titel laat denken dat het iets ergs is en als je dan verder leest valt het altijd wel mee.... Beetje jammer vind ik dat.
SuperDre
@subcultural12 maart 2012 09:31
Tja, het bewijst maar gewoon dat Chrome net zo lek als een mandje is als dat de chromeliefhebbers IE verwijten.. en dat is ook gewoon, beide browsers zijn net zo (on)veilig..
ZesPak
12 maart 2012 09:29
Al met al is dit een prachtig initiatief, en nu google het zelf organiseert is het voor alle partijen zéér goed:

1) Google; organiseert een evenement wat de "hacking community" kan appreciëren, bovendien gegeven ze toe "we zijn niet onhackbaar maar willen er wel iets aan doen".

2) Hackers; kunnen een bom geld verdienen voor wat misschien vaak hun hobby is. 60k is niet niets, voor veel mensen zelfs 3 jaar werken!

3) Gebruikers: Die hebben nut bij het vinden van zulke exploits.

Wat "pwn2own" eigenlijk nu wordt, door het niet vrijgeven van de bugs, is een reclamestunt voor bedrijven als Vupen.

Ik vind de titel van dit artikel dan ook zeer misleidend, het geeft de indruk dat Chrome een gatenkaas is, terwijl men net een evenement heeft georganiseerd om de gaten te zoeken, dus logisch dat hij 3x op korte tijd gekraakt is.

[Reactie gewijzigd door ZesPak op 12 maart 2012 09:52]

Brilsmurfffje
@ZesPak12 maart 2012 10:15
Vergeet ook niet dat het schrijven van de exploits ruim 6 weken geduurd heeft. Het uitvoeren van de code duurde daarna maar 5 minuten:
nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld

De tijd die het koste om de code te schrijven zegt imho wel iets over hoe diep ze moesten graven.
Makkelijk
12 maart 2012 09:06
Veel exploits in chrome komen uit de Flash plug-in. Doordat Flash meegeleverd is met Chrome zijn ze verantwoordelijk voor de veiligheid van de flash plug-in. Hierdoor komt Chrome er al snel slecht vanaf. De flash plug-ins in andere browsers zijn namelijk ook vrij lek, zo niet lekker, maar op dat moment ligt het niet meer aan de browser.

[Reactie gewijzigd door Makkelijk op 12 maart 2012 09:07]

Dreamvoid
@Makkelijk12 maart 2012 13:18
Tis ook logisch dat exploits voornamelijk uit de Flash en JavaScript engines komen, dat zijn nou eenmaal de interpreters.

Google heeft ervoor gekozen om de Flash plugin in Chrome in te bouwen en niet de losse plugin van Adobe zelf te gebruiken. Dat is een bewuste design keuze van Google geweest, dus de negatieve consequenties van die (blijkbaar buggy) integratie mag je wel degelijk aan Google toewijzen.

[Reactie gewijzigd door Dreamvoid op 12 maart 2012 13:21]

WTFuzz
@Dreamvoid12 maart 2012 19:53
Voordeel van de methode van Google is dat ze het mogelijk maken om de flash code grotendeels binnen de sandbox van de browser te draaien. Het kost ze veel werk, maar het eind resultaat is een stuk veiliger dan een 'externe' flash plugin
Elohsa
12 maart 2012 08:07
Ik blijf het debiel vinden dat de details van het lek van Pwn2Own geheim blijven...
Het was toch juist het hele punt van die wedstrijden om er vervolgens voor te zorgen dat de gevonden lekken gedicht worden?

Ik zou het bijna illegaal willen noemen dat vupen dit voor eigen gewin geheim houdt.
humbug
@Elohsa12 maart 2012 08:49
Een partij als Vupen heeft niets aan het openbaar maken van de door hun gebruikte methode. Zij zouden dus niet meewerken aan een wedstrijd waarin ze de gegevens openbaar moeten maken.

Door de wedstrijd zo in te richten dat (een deel van) de methode geheim kan blijven komen er dus meer bugs naar boven. Anderen kunnen dan weer die bugs gaan reproduceren en oplossen of (zoals bij Pwn2Own de bedoeling is) firewall ontwikkelaars kunnen hun producten aanpassen zodat de kwaadaardige code de firewall niet door komt.

Niet iedereen heeft er belang bij dat alle bugs worden opgelost en voor een bepaalde categorie deelnemers/sponsers werkt dit gewoon beter.

Vupen moet vooral doen wat men wil. Mensen dwingen om kennis gratis beschikbaar te stellen klinkt mij niet echt positief in de oren. Ik neem aan dat je een zin als "Ik zou het bijna illegaal willen noemen dat Google voor eigen gewin hun algoritmes geheim houdt" niet logisch zou vinden. (En zo wel. Vul maar een ander bedrijf in met een succesvol product. Voor maximaal effect, het product waar je zelf net een jaar van je leven in gestoken hebt)
Thundy
@humbug12 maart 2012 08:57
het geheimhouden van informatie mag dan legaal zijn. Ik denk echter dat hier vooral gaat of het faciliteren van hacken (door overheden) legaal is. Vaak zie je dat rechters niet alleen het "doen" maar ook het "faciliteren" van illegale praktijken als illegaal bestempelen.
Iblies
@Thundy12 maart 2012 09:13
Ik heb rechters nog niet horen uitspreken dat een bedrijf zijn software snel moet patchen. Zolang een rechter een ontwikkelaar niet verplicht om snel zijn software te patchen of uit de handel te halen, is er terdege wel een reden om dergelijke exploits niet publiekelijk kenbaar te maken.

Dat ze er wel zijn, en dat er misschien gebruik van wordt gemaakt is een ander, en misschien eng, verhaal. Maar ik ben huiveriger voor de mantel van liefde waarbij je vervolgens als groot bedrijf achteraan mag vissen omdat je andermans software gebruikt en vervolgens (inter)net niet ten volle kunt benutten,

dan voor een grote enge overheid.
Anoniem: 55563
@humbug12 maart 2012 09:48
Een partij als Vupen heeft niets aan het openbaar maken van de door hun gebruikte methode.
Correctie: ze hebben daardoor geen commercieel gewin. De hele wereld heeft er wat aan als exploits bekend worden gemaakt namelijk veiligere software en dus een veiliger internet. Vupen is inderdaad tot niets verplicht maar er bestaat ook nog zoiets als etiquette. Financieel gewin uit lekken in software buiten de softwaremaker om vind ik verre van eervolle business.

[Reactie gewijzigd door Anoniem: 55563 op 12 maart 2012 09:49]

EnigmA-X
@humbug12 maart 2012 10:08
Vupen moet vooral doen wat men wil. Mensen dwingen om kennis gratis beschikbaar te stellen klinkt mij niet echt positief in de oren. Ik neem aan dat je een zin als "Ik zou het bijna illegaal willen noemen dat Google voor eigen gewin hun algoritmes geheim houdt" niet logisch zou vinden. (En zo wel. Vul maar een ander bedrijf in met een succesvol product. Voor maximaal effect, het product waar je zelf net een jaar van je leven in gestoken hebt)
Dwingen lijkt mij ook niet goed. Maar vergeet niet dat er ook andere modellen zijn om het 'economische belang te bevredigen'.

Open/gesloten kennis goed of slecht, dat lijkt me keer op keer verschillend. Een voorbeeldje hiervan is het ontstaan van het internet en de gebruikte open standaarden.
Vaan Banaan
@Elohsa12 maart 2012 19:37
Het is door een grappige foutcode (0xABAD1DEA) in Chrome aannemelijk geworden dat de exploit in de meegeleverde flash zit. http://www.security.nl/ar..._voor_Chrome-hackers.html
Dit zit in de standaard installatie van Chrome.
-edit- note to self: Beter de reacties lezen, subcultural heeft dat vanmorgen (verder naar onderen) al gemeld.

[Reactie gewijzigd door Vaan Banaan op 12 maart 2012 20:10]

LopendeVogel
@Elohsa12 maart 2012 08:15
Nou komt neer als wat anonymous doet, maar dan legaal... Omdat het van de overheid mag.. Zeer krom, komkommer tijd..
Ben benieuwd of er ook gegevens zijn gejat, dit zullen ze natuurlijk niet vertellen..

Zo ga je de bak in voor het hacken, en zo mag je legaal op een evenement hacken, waarbij de gevolgen hetzelfde zijn.. Slaat toch even nergens op ..
bwerg
@LopendeVogel12 maart 2012 08:42
Nou komt neer als wat anonymous doet, maar dan legaal
Ik vraag me af of het legaal is. In welk land wordt Pwn2Own georganiseerd? Ik kan er niets over vinden, maar ik kan me voorstellen dat dit niet bij voorbaat legaal is.

Ik ben in principe niet voor het straffen van hackers van websites (o.a. omdat dit niet te controleren en handhaven is en je zo de verantwoordelijkheid weghaalt bij de beheerder) maar het organiseren en belonen van hacks op een black-hat manier is weer een hele andere categorie. Het verbaasde mij ook nogal dat de details niet hoeven te worden vrijgegeven.
brainball
@bwerg12 maart 2012 09:14
Pwn2Own wordt georganiseerd in amerika, en is onderdeel van de beurs CanSecWest. Deze beurs heeft grote sponsors waaronder Microsoft, adobe en vele anderen. De wedstrijd zelf wordt door onder andere Google en HP gesponsord. Dus legaal is het wel.

Sterker nog hacken is gewoon legaal, het is wat je met het eind resultaat doet dat er toe doet. Hierbij hebben we het over exploits en lekken vinden in apparatuur/programmas, niet het inbreken in netwerken of websites.

Daarnaast moet je niet vergeten dat er ook zoiets bestaat als bedrijven die met security hun geld verdienen. Deze bedrijven verkopen of exploits aan overheden en andere geïnteresseerde bedrijven of gebruiken exploits om in opdracht beveiligingen te testen of te verbeteren.
Cybergamer
@brainball12 maart 2012 09:39
Persoonlijk heb ik er ook wel moeite mee dat exploits geheim gehouden worden.

Geld verdienen heb ik geen moeite mee, iedereen moet eten, maar verkopen aan overheden en andere bedrijven? Nee, daar zit toch wel een luchtje aan.
pkuppens
@Cybergamer12 maart 2012 11:02
Tegenhanger in real life:
Slotenmaker S. schrijft een wedstrijd uit om een sleutel te maken.
Sleutelmaker K. wint de wedstrijd, en gaat vervolgens de sleutels verkopen, niet aan S, maar aan iedereen die 'm wil hebben?
Remco Kramer
@brainball12 maart 2012 09:43
Sorry hoor, maar als het als een geheim aan overheden verkocht word, dan word het niet gebruikt om te testen. In dat geval is de logische conclusie dat het word gebruikt om andere overheden / bedrijven mee te hacken (waarschijnlijk voor spionage doeleinden).
TENZIJ de overheid de exploits daarna bekent maakt.. maar geloof jij dat? :P
WTFuzz
@brainball12 maart 2012 19:49
CanSecWest is in Canada, Vancouver om exact te zijn.

Tevens is het niet zo dat alle lekker geheim gehouden worden. ZDI heeft momenteel 3 0days in 3 verschillende browsers en zal vandaag deze informatie met de betrokken vendors delen.

Het enige wat niet verplicht vrij geven hoefde te worden is de gebruikte sandbox escapes. De reden hiervoor staan beschreven in http://dvlabs.tippingpoin.../02/29/pwn2own-and-pwnium
Switchie
@bwerg12 maart 2012 09:15
Zolang het niet misbruikt wordt lijkt mij er weinig illegaals aan.
Men gaat lokaal op zoek naar bugs, zonder daar verdere schade mee aan te richten.
Als dat illegaal zou zijn, zouden stresstools e.d. dat ook zijn.
mrdemc
@Switchie12 maart 2012 09:27
stresstools zijn illegaal als je ze gebruikt op app. waarvoor je geen permissie hebt gekregen. dan hoeft het niet perse misbruik te zijn...
EnigmA-X
@mrdemc12 maart 2012 10:00
Ik denk dat je in de war bent met onrechtmatig, dat is niet hetzelfde als illegaal. In het laatste geval moet het gaan om een strafbaar feit en dat is het niet. Zie de auteurswet art. 29.

Als er iets van een rechter aan te pas komt, gaat het in zulke gevallen om civiel recht en niet om strafrecht.

[Reactie gewijzigd door EnigmA-X op 12 maart 2012 20:10]

mrdemc
@EnigmA-X13 maart 2012 15:36
aangezien je met een stresstool een server onderuit zou kunnen halen bij teveel verzoeken kun je de server beschadigen. Dergelijke acties zijn wel degelijk strafbaar :)
Jasper Janssen
@mrdemc12 maart 2012 13:37
Op apparaten van een ander, ja. Maar Op applicaties die jij mag gebruiken (die je een licentie voor hebt) die je op je eigen hardware draait mag je prima stresstools draaien. Dat is noch illegaal noch onrechtmatig.

En dat is wat er gebeurt bij dit soort events.
blouweKip
@bwerg12 maart 2012 13:52
hacken ansich is gewoon creatief softwaregebruik/development, dus niet illegaal...

vergelijk het met tools van een loodgieter, je kunt er iets mee aanleggen maar je kunt ook iemands hoofd inslaan met een lode pijp: dat betekend niet dat die pijp "illegaal" is..
Masterlans
@Elohsa12 maart 2012 08:18
Dat zal ook de reden zijn dat Google sponsoring ervan heeft stop gezet. Ik denk dat ze weinig sponsors overhouden als ze op deze manier "zaken" doen.
Rembert
@Elohsa12 maart 2012 11:14
Ik vind het uitstekend dat die details geheim blijven. Het alternatief is dat het lek helemaal niet boven water komt maar tegelijkertijd wel door Vupen wordt gebruikt. De bakkers van Chrome weten nu dat er zo'n lek is en zullen ongetwijfeld van hogerhand enorme druk opgelegd krijgen om de oorzaak van dat lek op te sporen en te dichten.

Dat Vupen zo'n lek bekend maakt kan eigenlijk maar een doel hebben: naamsbekendheid krijgen en daardoor klanten werven. Vupen weet dat hiermee ook de aandacht van de Chrome programmeurs te winnen: zij zullen het lek proberen te dichten. Het kan eigenlijk niet anders zijn dan dat Vupen nog een batterij lekken voor haar werkzaamheden ter beschikking heeft.
freedzed6
@Elohsa12 maart 2012 12:05
Uiteraard willen ze er eerst geld voor zien en kijken wie er de meeste poen voor wil betalen. Google of iemand anders. Je gaat natuurlijk niet de beer verkopen voordat deze geschoten is.
harrydg
12 maart 2012 10:03
even kort antwoorden op veel voorkomende "vragen" hier:
vupen verkoopt lekken aan bedrijven. Dat is gewoon een "business" gelijk een andere. Waarom? omdat dat geld opbrengt. Problemen analyseren. Nu kan iedereen die de exploit koopt, zich beveiligen tegen die exploit. De rest, die dat niet doet, kan dat niet. De enige manier waarop je je kan beveiligen is door te kopen van Vupen.

Bekijk het gewoon als: betalen voor "bugfixes". Ja, je kan er ook illegale dingen mee doen, maar dat kan je ook als je keukenmessen koopt. Je kan er nuttige dingen mee doen, of slechte dingen.

Dus stop met kakken op vupen, zij zorgen er tenminste voor dat je jaar onderzoekswerk naar een bug, niet op 2 minuten onbruikbaar is door een patch. Maar je hackt iets... je verkoopt het daarna en na x tijd maak je het publiek. Op die manier heb je een economie waar je als hacker van kan leven
MadEgg
@harrydg12 maart 2012 12:01
Mja, maar zij werken dus niet on request, en dat vind ik er wel dubieus aan. Als zij als security bedrijf zich zouden laten inhuren door bijvoorbeeld Google om Chrome te analyseren, fouten op te sporen en te rapporteren dan kunnen ze voor een vooraf afgesproken tarief dit afhandelen.

Nu heb je een bedrijf als Vupen die de exploit vanuit eigen initiatief onderzoekt, daar ook nog eens geld voor opstrijkt vanuit Pwn2Own en vervolgens de details niet verstrekt. En ondertussen het wel verkoopt aan vage overheden en waarschijnlijk ook aan het criminele circuit, waar halen ze anders hun geld vandaan.

Ik ben benieuwd hoe men zou reageren als een bedrijf exploits voor het beveiliginssysteem van de Nederlandsche Bank ontwikkeld, bekend maakt dat ze ze hebben en te koop aanbieden, maar vervolgens weigert de details aan de bank zelf over te dragen. Ondanks dat ze al een aardige compensatie gekregen hebben.
TijmenK
12 maart 2012 08:07
Hoe groot is de kans dat dit hetzelfde lek als dat van Vupen is? In dat geval zou Google er gemakkelijk vanaf komen...
Titan_Fox
@TijmenK12 maart 2012 11:20
En toch geloven mensen er heilig in dat Chrome de veiligste browser is. Ondanks dat werd Chrome als eerste gehacked, gevolgd door Internet Explorer en Firefox als laatste.

Bron : http://en.wikipedia.org/wiki/Pwn2Own#Contest_2012
Stevie-P
@Titan_Fox12 maart 2012 13:17
"Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft."
uit: nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld
Chaouki Bekrar is mede-oprichter van VUPEN, het bedrijf dat Chrome wist te hacken tijdens Pwn2Own.
Slurpgeit
@Titan_Fox12 maart 2012 11:25
Na 6 maanden voorbereiding, inderdaad. Zegt wat mij betreft weinig.
Titan_Fox
@Slurpgeit12 maart 2012 11:29
Die voorbereiding hadden ze in feite ook voor de overige browsers. In mijn ogen heeft Chrome geen unieke behandeling gekregen tegenover de competitie.
Slurpgeit
@Titan_Fox12 maart 2012 14:13
In dat geval zegt het nog steeds niet veel meer welke browser eerst gekraakt is, maar meer welk team eerder ingepland stond.
Niosus
@Titan_Fox12 maart 2012 19:38
Chrome was voor zover ik weet de vorige keer niet gekraakt, natuurlijk gaan ze dan meer focussen op Chrome de volgende keer. Zo een hackwedstrijd zegt op zich weinig.
Eypo
@Titan_Fox12 maart 2012 11:56
Google schrijft een goed geldbedrag uit als je een exploit vindt. Dan is het ook wel lucratief om een exploit te vinden, ik denk dat dat ook wel meespeelt.
Titan_Fox
@Eypo12 maart 2012 13:16
Door een flink geldbedrag uit te loven voor exploits zal je product op den duur wel beter worden ja. Echter trek je zo ook bewust de aandacht van bepaalde hackers die deze nieuwe exploits zullen misbruiken.

Zolang er nog geen patches beschikbaar zijn Chrome-gebruikers potentieel doelwit voor cybercriminelen.

Het mes snijdt in dit geval aan twee kanten... Persoonlijk zou ik de voorkeur geven aan een "low-profile" instelling. Je verwacht toch dat diegene die een browser maakt zelf goed in staat is om exploits op te lossen. Externe bronnen inwinnen kan profitabel zijn, echter brengt dit soort aandachttrekkerij ook potentiële risico's met zich mee.

[Reactie gewijzigd door Titan_Fox op 12 maart 2012 13:23]

Wouter.S
@Titan_Fox12 maart 2012 14:00
Het low profile gebeuren neigt wel een beetje naar 'security door obscurity'. Ik heb veel liever dat exploits gevonden worden op een hackwedstrijd dan dat ze niet aan het licht komen en niet gedicht worden.
Je gelooft toch niet dat kwaadwillige hackers een browser meer gaan targetten omdat er eventjes enkele exploits in het nieuws gekomen zijn...die vallen gewoon aan wat ze willen en gaan dat natuurlijk niet aan de grote klok hangen.
Gwaihir
@Titan_Fox12 maart 2012 19:57
(Reactie op Titan_Fox) Zo lang de exploits aan Google bekend gemaakt worden en (nog) niet aan het grote publiek, is er voor die hackers niets te misbruiken. Zij horen er pas van nádat het lek is gedicht. (Kennelijk i.t.t. bepaalde overheden die Vupen grof geld voor exploits betalen.)

[Reactie gewijzigd door Gwaihir op 12 maart 2012 19:57]

Titan_Fox
@Gwaihir13 maart 2012 00:00
Sorry, maar dat vind ik een tikje naïef. Hackers hebben een onderlinge reputatie. Indien er een exploit aan Google gemeld wordt, is er zeker een kans dat deze bij meerdere hackers bekend is. Met alle gevolgen van dien.
mkools24
@Titan_Fox12 maart 2012 12:32
En toch geloven mensen er heilig in dat Chrome de veiligste browser is. Ondanks dat werd Chrome als eerste gehacked, gevolgd door Internet Explorer en Firefox als laatste.
Als MS 120.000 dollar had uitgeschreven was IE waarschijnlijk als eerste gehackt. Dit zegt mij dus echt weinig.

100% veilige software bestaat niet, als je maar genoeg geld uitlooft voor het vinden van een lek gaan er altijd wel een hoop mensen op los en is het een kwestie van tijd, en dan nog heeft de voorbereiding erg lang geduurd.

Bovendien is mijn motivitaite (en die van heel veel anderen) om Chrome te gebruiken niet vanwege de veiligheid, maar omdat de browser gewoon veel fijner werkt dan andere browsers zoals IE en Firefox.
Toettoetdaan
@Titan_Fox12 maart 2012 14:09
Die hackers zegen anders wel zelf dat Chrome de veiligste sandbox heeft....
Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft.
Bron: nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld
moorscode
@Titan_Fox12 maart 2012 14:36
Dat ze Chrome als eerste hebben gedaan is juist omdat hij het veiligste/moeilijkste te hacken is.

Het zou wat suf zijn als ze 'weer een lek' in Internet Explorer als eerste laten zien, niet echt een goede binnenkomer. Binnenkomen met het meest nieuwswaardige item levert de meeste aandacht op.

Vooral voor het bedrijf dat het heeft gehackt, wat zelf in beveiliging zit is dat natuurlijk de beste reclame.
Traumasystems
@Titan_Fox12 maart 2012 19:15
Ja nieuwe software dan duurt het even voor dat men de fouten vind maar dan komen ze uit eindelijk toch te voorschijn. ik blijf vertrouwen of firefox is naar mijn idee toch een vrijer en opener platform dan Chroom
Texamicz
@BoringDay12 maart 2012 17:18
Je kan hem zelf aanpassen hoor... Dus je kan hem ook gewoon mooi maken :)
haifisch
12 maart 2012 08:10
Ik ben niet echt bekend in de wereld van de exploits, en verbeter mij alstublieft als ik het fout heb.

" De details van het lek op Pwn2Own is in bezit van Vupen, een bedrijf dat exploits verkoopt aan overheden. "

Het verkopen van exploits aan overheden, wat bedoelen ze daar mee?
Gebruiken ze deze informatie om systemen van overheden te verbeteren en dus veiliger te maken, of gebruiken ze dit om spyware gemaakt door de overheid op systemen van mogelijke daders te zetten?
Teckna
@haifisch12 maart 2012 08:15
Nee, zodat overheden computers kunnen hacken. Vooral de Nederlandse politie lijkt hier heel erg mee bezig de afgelopen tijd ;)
Xantios
@haifisch12 maart 2012 08:15
Dat laatste, de overheid begint een soort van Soviet Russia
waar de computer zegt wat je moet doen vrees ik :(
Brilsmurfffje
@haifisch12 maart 2012 10:11
Ook landen uit het middenoosten zijn geïntereseerd, het tereur van aller dag verplaatst zich van fysiek geweld met wapens naar cybercrime.
Op het internet is steeds meer te halen, belangrijke geld transacties verlopen allemaal virtueel. Maar ook steeds meer persoonlijke gegevens staan op computers. Kortom interessant voor meerdere partijen ;)
SuperDre
12 maart 2012 09:32
De details van het lek op Pwn2Own zijn in bezit van Vupen, een bedrijf dat exploits verkoopt aan overheden

en wat belet Google om ook die informatie te kopen?
Brilsmurfffje
@SuperDre12 maart 2012 10:17
Een exploit kopen is heel duur, zoals in het bericht staat is dit lek nog niet gedicht. Het lek geeft de eigenaar dus heel veel macht. Hij/Zij kan immers bij alle google chrome gebruikers inbreken op de computer.

Ik vraag mij alleen af of een virusscanner je kan beschermen tegen exploits.
watercoolertje
@Brilsmurfffje12 maart 2012 10:48
Hij/Zij kan immers bij alle google chrome gebruikers inbreken op de computer.
Misschien moet je de praktijk niet met de theorie verwisselen. Immers moet je wel bepaalde acties doen (een bepaalde site bezoeken bijv). Oftewel nee niet iedereen is vatbaar en je kan niet zeggen, vandaag wil ik jantje ze computer zien dus activeer ik het lek even... Zo werkt het dus helemaal niet!
Brilsmurfffje
@watercoolertje12 maart 2012 11:05
Bij het gros van de mensen wel, zet de site die je moet bezoeken in een email en maskeer de link met een hyperlink uit de tekst. Genoeg mensen die daarop klikken
watercoolertje
@Brilsmurfffje12 maart 2012 11:26
Moet die mail wel eerst door de spamfilter heenkomen. Zelfs hotmail en gmail hebben uitstekende spam-filters.

Je mailtje komt dus niet bij het gros van de mensen aan. Maar bij een gedeelte waarvan ook maar een gedeelte er daadwerkelijk op klikt, wat dus een klein percentage blijft van dat 'gros van de mensen' waar jij het over hebt.

Als het allemaal zo makkelijk was hadden we elke dag een link in de inbox die iets vergelijkbaars deed... Maar gelukkig is dat dus totaal niet zo :)
Jasper Janssen
@watercoolertje12 maart 2012 13:41
Gewoon een advertentie kopen en die voorzien van exploitable code. Presto, je code komt binnen bij de halve wereld.
zvbhvb
@watercoolertje12 maart 2012 11:26
Hoeft niet de site zijn die in de adresbalk staat. Veel reclame wordt via andere sites geladen. Er hoeft maar eentje een exploit te sturen en je bent het haasje.

Verstandig is het om niet zomaar te clicken op links in een e-mail. En bovendien is het de moeite waard om html berichten niet te accepteren.
zvbhvb
@SuperDre12 maart 2012 10:02
VUPEN verdient waarschijnlijk meer als zij juist niet aan Google verkopen.
Want dan verdienen zijn eenmalig terwijl zij wie weet aan hoeveel andere partijen de exploit kunnen verkopen.
dj.verhulst
12 maart 2012 08:28
ik vind het goed dat men op deze manier gaten probeert te vinden, en dan snel dichten.
er zullen altijd lekken zijn maar hoe meer je er vind en dicht hoe moeilijker het word voor kwaad willende .......

maar dat die andere knuppel alleen tegen betaling dingen prijs geeft ,, vraagt ie dan zoveel meer dan die 60 K ??

als die knuppel het verkoopt aan wie maar betaald zou die gast eigenlijk een bad standing moeten krijgen :(
Makkelijk
@dj.verhulst12 maart 2012 09:08
Het is geen gast, het is een vrij groot bedrijf. Ze zijn begonnen met het verkopen van details over exploits nadat een Franse rechter had bepaald dat ze ze niet meer mochten publiceren.
GeneralX
12 maart 2012 08:49
Off topic: Weet iemand misschien of Opera ook gehacked/exploit is?

On topic: Dat de details over een zero-day exploit niet uit worden gebracht, wil toch niet zeggen dat ze de exploit niet kunnen dichten? Dat vind ik wel een beetje kort door de bocht, vooral gezien de link die subcultural ook al stuurde. Blijkbaar is google wel in staat om uit te vinden waar de exploit gebruik van maakt.
Brilsmurfffje
@GeneralX12 maart 2012 10:13
In iedere code zitten fouten en lekker, Opera valt daar ook onder:
nieuws: Zero day-exploit voor Opera gepubliceerd - update

De enigste manier om er onderuit te komen is een browser gebruiken welke maar door een klein groepje mensen gebruikt wordt zodat het voor de hackers niet loont om er exploits voor te schrijven.
Rubix
@Brilsmurfffje12 maart 2012 14:05
Dat is dan toch Opera?
GeneralX
@Brilsmurfffje12 maart 2012 18:13
Dat lek is inmiddels gedicht (zoeken op Opera binnen tweakers.net had ik al gedaan). Ik bedoel specifiek tijdens deze hacker contests. Blijkbaar is dat niet gebeurd, anders had iemand dat inmiddels wel gezegd...

EDIT: na zelf even rond gekeken te hebben, kwam ik tot de ontdekking dat Opera sowieso buitengesloten is van het event, omdat het te weinig gebruikt zou worden.
Link

[Reactie gewijzigd door GeneralX op 12 maart 2012 18:17]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee