Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 70 reacties

Google gaat een team beveiligingsonderzoekers aan het werk zetten om het internet veiliger te maken. Daarbij wordt ook software van andere bedrijven onder de loep genomen. Het project moet het aantal 'zero day'-beveiligingsproblemen doen afnemen.

googleHet technologiebedrijf heeft het onderzoeksproject, met de naam Project Zero, eerder op dinsdag aangekondigd. "Je zou het web moeten kunnen gebruiken zonder angst dat criminelen of overheden bugs misbruiken om je computer te infecteren, geheimen te ontfutselen of je communicatie in de gaten te houden", schrijft beveiligingsonderzoeker Chris Evans van Google.

Het nieuwe team aan beveiligingsonderzoekers krijgt geen specifieke opdracht mee, maar het doel is dat het aantal mensen dat te maken krijgt met gerichte, geavanceerde aanvallen 'sterk afneemt'. "We huren de beste beveiligingsonderzoekers in en laten ze honderd procent van hun tijd besteden aan het verbeteren van veiligheid op internet", aldus Evans. Het is niet direct duidelijk welk voordeel Google zelf uit het project denkt te kunnen halen.

De onderzoekers zullen zich niet alleen op Google-software richten, maar gaan ook software van andere bedrijven onder de loep nemen. Beveiligingsproblemen worden aanvankelijk vertrouwelijk gedeeld met de maker van de software, maar worden na het dichten gepubliceerd in een database. Daarnaast moeten de nieuwe beveiligingsexperts onder meer zoeken naar nieuwe manieren om beveiligingsproblemen te omzeilen. Google is nog op zoek naar onderzoekers om het team mee te vullen.

Het team zal zich vooral concentreren op gerichte, geavanceerde aanvallen op personen. Daarvoor worden vaak zero day-beveiligingsproblemen gebruikt: bugs die nog niet zijn opgelost. "We zien dat zero day-kwetsbaarheden worden ingezet tegen mensenrechtenactivisten of voor industriële spionage", schrijft Evans. "Dit moet stoppen. We denken dat we meer kunnen doen om dit probleem op te lossen."

Moderatie-faq Wijzig weergave

Reacties (70)

Ik lees alleen niet terug in dit artikel (en elders wel) dat ze ook George Hotz (geohot) aan hebben genomen voor dit project, gezien die toch altijd wel creatief bezig is ben ik benieuwd hoe snel ze er de bugs uit kunnen jagen.
Klopt, ik hoorde hetzelfde op BNR Nieuwrsadio. Kan op hun site er niets van terugvinden, maar op tomsguide staat een artikel.

Today (July 15) Google announced Project Zero, an in-house team of security researchers dedicated to finding flaws in non-Google software "across the Internet." Google says Project Zero will let the company more directly address zero-day flaws (newly discovered bugs) and other security issues in third-party software that affect Google users and Google products.

Among the members of Project Zero is George Hotz, a.k.a GeoHot, who was the first to carrier-unlock an iPhone in 2007 when he was 17, showed other how to hack a PlayStation 3 in 2010 (Sony sued him) and more recently found a Chrome OS exploit for which Google gave him a $150,000 reward -- and a job.
http://www.tomsguide.com/...ject-zero,news-19163.html

[Reactie gewijzigd door HenkEisjedies op 16 juli 2014 10:13]

Juist de afhankelijkheid van een veilig internet zorgt ervoor dat Google enorm gemotiveerd is om het te verbeteren en er flink in te investeren. Al hun diensten en hun hele businessmodel zijn ervan afhankelijk.

En als er één bedrijf is dat het meest bijgedragen aan de veiligheid op het internet dan is het Google:

- Chrome is een enorm veilige browser
- Met hun grote diensten hebben ze gebruikers gepusht om te updaten door oude browsers niet meer te ondersteunen, waardoor het IE8 tijdperk verleden tijd werd.
- Uitdelen van forse beloningen voor mensen die lekken vonden in hun producten
- Waarschuwingen bij websites die malware serveren en de webmasters informeren
- Veel artikelen beschikbaar gesteld om webmasters te helpen, een blog als http://googleonlinesecurity.blogspot.com/ is puur goud voor iedereen die ook maar iets wil weten over beveiliging.

Zonder Google zat het overgrote deel nog steeds met een brakke IE versie incl tientallen toolbars.

Een gebruikersprofiel bijhouden om ads te serveren is totaal wat anders dan creditcardgegevens buitmaken, backdoors in encryptie bouwen, malware serveren en spam versturen vanaf je computer etc etc.

[Reactie gewijzigd door BarôZZa op 15 juli 2014 17:38]

Iedereen heeft er belang bij. Niets speciaal voor Google.
Enne, je kent max IE8 en gebruikers met toolbars. En kan niet vergelijken met IE11
Kijk eens waar Chrome zijn bestanden neerzet en onder welke rechten. Dan vraag je je af:veilig voor wie ;)
En niet te vergeten Android natuurlijk.
Daarmee hebben ze het internet voor mobiele gebruikers voor heel veel mensen toegankelijk gemaakt, voor een betaalbare prijs.
Want Android is het toonbeeld van een veilig mobiel OS? Kom op zeg...

Verder zijn de punten van BarôZZa ook een beeeetje overdreven... Chrome is een populaire browser, maar zonder firefox en een deel zelfs Safari was het IE tijdperk niet doorbroken. Denk dat Firefox zelfs belangrijker was.
Verder ben ik benieuwd wat Chrome zo 'enorm' veilig maakt. Zeker met alle nieuwe toevoegingen die verband houden met Google's niet zo hidden agenda van een OS in je browser. Ik krijg af en toe toch echt deja vu's naar MS die teveel in de browser wilde doen.

Bij de andere punten, en dan vooral de laatste twee biedt Google inderdaad een zeer nuttige bijdrage.
Zonder Google zat het overgrote deel nog steeds met een brakke IE versie incl tientallen toolbars
Geef daar eens een bron voor. De enige mensen die ik ken die achterbleven bij oude(re) versies van IE waren mensen wiens werkcomputer niet geupdate werd (danwel vanwege kosten, danwel vanwege legacy software). Ik ken in persoonlijke kring niemand die bewust/uit luiheid een oude versie bleef gebruiken en ik zie dan ook niet in waarom Google daarbij geholpen zou hebben.

Bovendien gaat de ontwikkeling van Windows gewoon door en worden inmiddels al vele jaren alle nieuwe computers met Windows 7 of 8 verkocht. Die mensen gaan dus uit een natuurlijk verloop al over op nieuwe versies van IE. En ook de verkoop van nieuwe computers heeft niets met Google te maken.

Daarnaast heb ik in die zin nooit ervaren dat Google van oude browsers af wilde, maar vooral hun eigen (natuurlijk "veel modernere en snellere") browser wilde pushen. Toegegeven, dit heeft wel gezorgd voor een flinke puls in de ontwikkeling van IE, maar het was Google echt niet te doen om de gebruikers van IE8 of ouder naar IE10+ te krijgen, maar naar Chrome.

Dus nogmaals, wat is jouw bron om te concluderen dat dit te danken is aan Google?
Veel mensen uit mijn familie zijn door Chrome verlost van de toolbars die hun toen huidige XP installatie trqqg maakten. Dit zijn van die mensen die denken: als het nog werkt, waarom dan veranderen? Nu hebben ze chrome en kunnen ze sneller internetten (wel op mijn advies dat ze op moeten houden ie8 te gebruiken :P).

Ik wil Google niet de hemel in prijzen en keur het zwaar af wat ze doen ivm de privacy enzo, maar ze leveren wel goede kwaliteit producten/services. Iets wat over veel andere bedrijven niet te zeggen is.
Mijn collega gebruikt nog steeds internet explorer 7 thuis omdat hij te lui is om te updaten. Zo ken ik er nog wel een paar. Dat jij ze niet kent zegt niks.
een blog als http://googleonlinesecurity.blogspot.com/ is puur goud voor iedereen die ook maar iets wil weten over beveiliging.
Ik erger me dood aan die gewoonte van google om, als je locatie in Nederland is, je naar de .nl site te sturen als je .com intikt. Ik wil graag zelf bepalen welke site ik bezoek. Is hier niks tegen te doen?
- Met hun grote diensten hebben ze gebruikers gepusht om te updaten door oude browsers niet meer te ondersteunen, waardoor het IE8 tijdperk verleden tijd werd.
Joepie.
We gebruiken IE8 op het werk en Google Docs werkt niet. :(
Laat de overheid vooral van het internet afblijven.

Van Google weet je tenminste wat ze willen: geld verdienen via ads. Wellicht gaan ze inderdaad rondneuzen in je app om je vervolgens op een of andere manier relevante ads te serveren.

Da's nog steeds beter dan alles verbieden uit eigenbelang, zoals de typische overheid.
Ja, Google mag dan wel alles en daadwerkelijk alles van je weten, maar het verkoopt je informatie niet door omdat het de informatie gebruikt om de services te verbeteren, waardoor ze weer meer verdienen en aan een stabiele toekomst bouwen. Natuurlijk blijft het een vraagstuk vooral qua privacy, maar je weet in ieder geval dat de informatie bij Google blijft!

Twitter (om maar een voorbeeld te noemen) verkoopt je informatie letterlijk door aan bedrijven die genoeg bieden!
Je moet onafhankelijk zijn om beveiliging te onderzoeken?
Hoe is Google hier niet een onafhankelijke partij? Andere bedrijven kunnen prima hetzelfde doen zonder daarbij gesponsord te worden, om het maar zo te zeggen. Of ben je bang dat Google de lekken die het vindt doorspeelt?
Ik vraag me trouwens af of Google een extern team zou toestaan om een kijkje in de software van Google zelf te nemen. Zou dat team dan bijvoorbeeld de code van de search engine mogen inzien?
Geen idee waar dat op slaat, first post?

De meeste ontwikkelingen, en verbeteringen vinden juist plaatst door NIET onafhankelijke instantie's, maar kun jij je statement onderbouwen? eventuele referenties?
Definieer onafhankelijk.

Iemand moet de onderzoekers betalen, dus is er geld nodig. Hiermee voorkom je afhankelijkheden niet.

En als iemand het dan moet doen dan liever Google dan een overheid.
Idd. Google is ten minste nog gebaat bij mensen die vertrouwen hebben in veiligheid op het internet, overheden hebben bewezen daar alleen maar profijt van te hebben. Natuurlijk zal er een stukje PR i dit project zitten, maar ondanks dat ik Google van van alles beticht, vind ik dit wel een goed initiatief.
Definieer onafhankelijk.
Iemand die niet actief heeft samengewerkt met de NSA. Op dit moment de grootste vijand van veiligheid en privacy op internet. Het is maar een idee...
De enige reden dat Google met de NSA samenspeelt is omdat de NSA het Google onmogelijk kan maken nog zaken te doen wanneer de de poot stijf houden. Google is en blijft een Amerikaans bedrijf en heeft zich dus te houden aan de regelgeving. Je gaat mij niet wijsmaken dat Google blij is met de samenwerking met de NSA. Ze kunnen er echter niet veel tegen doen omdat de NSA nogal wat carte-blanche wetten achter zich heeft staan.

Ik denk dat dit idee daar een gevolg van is: hoe kunnen we, zonder dat we de NSA in de weg zitten, toch de spionagewoede enigszins inperken? En dan nemen we hacking en malware in één beweging mee.
Betalen betekent nog niet beteen in dienst hebben. Ze zouden ook onafhankelijk onderzoek kunnen sponsoren. Dat onderzoek wordt daarmee natuurlijk iets minder onafhankelijk, maar als het alleen om een onvoorwaardelijke zak geld gaat, valt dat dan wel mee.

Er zijn verder ook hele goede initiatieven op het gebied van intrinsieke veiligheid die absoluut under-funded zijn. Ik heb zelf bijvoorbeeld ook een open source project zonder enige funding waar ik af en toe een prive uurtje in kan steken en waarvan, als het ooit af komt, een groot aantal producten en diensten significant minder gevoelig voor zero-days zouden kunnen worden.

Als een bedrijf als Google of een ander bedrijf mij voor de duur van een sabatical zou kunnen sponsoren zodat ik er een jaar ful-time aan zou kunnen werken, dan zou ik daarmee enorme sprongen kunnen maken. Ik ken nog wel een aantal andere projecten waar exact het zelfde voor geld.
kan maar hoeft niet, In theorie kan google een bedrijf x (startup) sponseren die dit gaat doen. en dan in een land gaan zitten die niet onder de Patriot Act valt. op die manier kunnen ze dit bedrijf x niks maken.
Jonge, jonge, jonge.

Ten eerste hebben we geen 20 jaar socialisme hier gehad. De laatste 20 jaar zijn begonnen met kabinetten Kok/Zalm. Economisch gezien hardstikke rechts. PvdA en VVD hebben de grote privatisering ingezet, het tegenovergestelde van socialisme. De CDA kabinetten sindsdien zijn daar lekker in meegegaan.

Ten tweede, de reden dat we geen echte techindustrie in Nederland hebben is simpel. Nederlanders hebben schijt aan technologie. Zoals hier op Tweakers wel vaker verteld wordt: het eerste het best huppelktje met een graad in marketing, media of communicatie-dingesen wordt meer gewaardeerd en beter betaald dan ervaren technici. Nederland is een land van verkopers. Verkopers en middel-management verdien meer dan technici. En HR zal er 100% voor zorgen dat dat zo blijft.

Als je een beetje slim bent, dan stap je voor je 30e uit de techniek. Ga je middel-manager spelen. Of een beetje met klanten ouwehoeren. Maar alsjeblieft blijf geen pure techneut. Je graaft je eigen graf. Als je op je 40e nog steeds geen management of marketing of sales doet, dan is het einde carriere.

Nederland krijgt de techniek die het verdient. En dat is niet zo veel.
Maak daar maar bijna veertig jaar van. Het laatste linkse kabinet in Nederland was Kabinet Den Uyl van 73-77. Daarna hebben we afwisselend centrum en centrum-rechtse kabinetten gehad.
Wat een lariekoek, rechtspopulisme van de bovenste plank.
De grootste beveiligings problemen zitten in... de mens.
Ben benieuwd hoe ze dat software matig gaan fixen.
De grootste beveiligings problemen zitten in... de mens.
Ben benieuwd hoe ze dat software matig gaan fixen.
Maar daar is best een hoop te winnen. Bijvoorbeeld toen Windows begon te vragen om permissie om bepaalde dingen te doen was er een enorme afname van virussen. Daarna moest alle kwalijke software veel ingewikkelder dingen doen om gevaarlijk te zijn.

Type jij eens je credit card nummer in een mail en zend dat naar jezelf. Waarom moet een een eenvoudige gebruiker allemaal additionele software instaleren om een dergelijk bijzonder simpel mogelijk lek te verhinderen. Elk mail programma zou op zijn minst moeten vragen of je dat echt wel wil.

Waarom vraagt Facebook niet even of je wel echt aan de rest van de wereld wil laten weten dat je de volgende twee wekenop vakantie bent als je net je nieuwe 77 inch TV hebt laten zien?

Gmail is bijvoorbeeld ook heel goed in het ontdekken van gevaarlijke links in mails omdat Google zoveel van het internet weet. Omdat ze ook een idee hebben hoe vaak 'hun' gebruikers bij de gevaarlijke plekken komen zijn zij meer dan wie dan ook in staat om gebruikers te waarschuwen.
Een beetje intelligentie in een email client zou inderdaad een hoop ellende kunnen schelen. Zelfs passwords zou je redelijk eenvoudig moeten kunnen vinden (er van uitgaande dat mensen niet een gewoon woord gebruiken, als zou een check op bijvoorbeeld "password: xxxxx" al heel veel kunnen schelen.

Maar creditcard- of bankrekeningnummers zou geen probleem moeten zijn. Apple Mail herkend bijvoorbeeld ook tracking codes en dagen/datums. Dat kan je makkelijk uitbreiden met andere bekende patronen.

Ik denk dat het FB voorbeeld wat je noemt wel te ver gaat. Daar gaan mensen zich aan ergeren. En zeuren dat FB nog meer van ze bijhoudt dan wat ze al doen.
Dan kun je toch nogsteeds wel andere zero-day meuk fixen...
"Je zou het web moeten kunnen gebruiken zonder angst dat criminelen of overheden bugs misbruiken om je computer te infecteren, geheimen te ontfutselen of je communicatie in de gaten houden", schrijft beveiligingsonderzoeker Chris Evans van Google.
Wat een ongelofelijk hypocriete statement! Google plaatst zelf cookies/trackers, weet al je "geheimen" via de zoekmachine die waarschijnlijk is gelinked aan een ingelogged google account en leest vrolijk mee met je gmail.

Wat is dit voor grap? Puur voor de PR punten.. wat is het toch met het meten met 2 verschillende maten?
Grappig. Ze zijn wat dat betreft niet anders dan overheden, ook die beweren de burger te willen beschermen tegen de "tegenpartij" (in dat geval zijn dat grote bedrijven) terwijl ze zelf net zo schuldig zijn aan spionage en privacy inbreuk.
Google kan naar eigen zeggen niet meekijken in encrypted gmail accounts. Daarnaast is het je eigen keuze of je wel of geen cookies accepteert. Deze zijn praktisch gezien erg nuttig en aangezien bijna alle websites dit pushen heeft het niets met Google te maken.
Welke geheimen kent Google dan? Oh je bedoelt de geregisteerde zoektermen op HUN zoekengine. Niet zo vreemd toch?
Vraag me af hoe lang het duurt voor NSA dat infiltreert (als het van bij de start al niet zo is)

[Reactie gewijzigd door Entr_opy op 15 juli 2014 17:32]

Infiltreert? Google is voor NSA de beste 'legitieme' ingang naar het internet en zijn bezoekers ;)
Doel: Positieve marketing
Privacy is echt nog wel een doorn in het oog bij klantonderzoeken over Google. Elke mening die het positief veranderd brengt weer mond op mond reclame en eventueel nieuwe klanten.
Wat een goede ideeën..... Dat niemand daar nu eerder op is gekomen....
Deze "in your face" aanpak tegenover de rest van de internet gebruikers, en dus niet in de laatste plaats de cyber criminelen lijkt mij nou niet de sterkste tactiek. Groots aankondigen dat je structureel iets wil doen aan de internet veiliger te maken roept alleen maar meer tegenstand op en wordt vaak alleen maar gezien als uitdaging.

Dus ik zeg ook marketing, niet meer, niet minder.
Goed dat Google dit doet. Ik denk dat het een van de weinige partijen is dit die voorelkaar kan krijgen. Zowel mbt financiële draagkracht maar ook met kennis en reikwijdte.

Over de motieven durf ik geen uitspraak te doen. Wel is het in Google's belang dat internet geschikt blijft als shop medium.
Ik hoop echter dat dit initiatief dezelfde spinof aan veiligheid geeft wat Chrome voor de snelheid heeft gedaan.

Ps.
[aluhoedje op] Met vrienden hebben we het wel eens gehad over het scenario dat Google zou zijn opgezet door een veiligheidsdienst. Deze dienst zou vervolgens een superieure, zichzelf financierende informatievoorziening hebben waarbij door de overvloedige geldstromen diverse andere projecten konden worden gefinancierd. Android is een voorbeeld daarvan.
Uiteraard is hiervoor geen enkel bewijs, ook niet tegen maar het zou de heilige graal in de informatica zijn.
[aluhoedje terug aan de kapstok]

[Reactie gewijzigd door Floor op 15 juli 2014 17:06]

Motief lijkt me duidelijk.
1. Een onveilig internet schrikt mensen af. Of belemmert ze om ongestoord internet diensten te gebruiken.
2. Google wil dat zoveel mogelijk mensen internet(diensten) gebruiken.
3. Google wil internet veiliger maken
Motief lijkt me duidelijk.
1. Een onveilig internet schrikt mensen af. Of belemmert ze om ongestoord internet diensten te gebruiken.
2. Google wil dat zoveel mogelijk mensen internet(diensten) gebruiken.
3. Google wil internet veiliger maken
Wil dat gebruikers zoveel mogelijk advertenties zien.
Google is nochtans overduidelijk niet door de overheid opgericht.

Bewijs: ze maken GOEDE producten die de burger WIL.
Zonder op te scherpen ;Het zijn niet de eerste de beste die ik vanaf klein kind als vriend beschouw. We behoren tot de generatie die mee hebben gemaakt hoe de computer in de jaren tachtig het huis binnenkwam en zijn beroepsmatig in de ICT bezig. Ook op gebied van security en defensie.

Jij kan niet of juist wel bewijzen dat het aluhoedje klopt. Let wel: een overheidsorgaan heeft de eerste mens op de maan gezet.

[Reactie gewijzigd door Floor op 16 juli 2014 07:49]

Nee, het is een commercieel bedrijf net als vele andere bedrijven.
Maar bovenal een advertentie/gegevens-verzamelen bedrijf. Die goedkope en gratis producten levert. Waarvan menig product zo slecht is, dat de burger die NIET eens GRATIS wil gebruiken ;)

[Reactie gewijzigd door Tweaker1234 op 16 juli 2014 03:05]

Google zou extra prioriteit moeten geven aan websites die HTTPS gebruiken in plaats van HTTP. Met OCSP stapling, SPDY en caching is SSL in sommige gevallen zelfs sneller, dus dat zou geen issue meer moeten zijn.

Ik weet zeker dat veel bedrijven plotseling HTTPS als standaard gebruiken wanneer je hierdoor prioriteit krijgt in de zoekresultaten, met bijvoorbeeld een extra icoontje etc.
HTTPS is zeer waarschijnlijk al onderdeel van de ranking, Maar naar jouw (terechte) mening mag het zwaarder meetellen.
Overigens is HTTPS maar een onderdeel in de keten. En juist de volledige keten moet worden verbeterd. Tamelijk ambitieus ja, maar goed. Dat is Google met succes wel vaker geweest.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True