image

Google Chrome weer gekraakt door tiener

woensdag 10 oktober 2012, 10:03 door Redactie, 25 reacties

Voor de tweede keer in één jaar tijd is de tiener met het alias 'PinkiePie' erin geslaagd om Google Chrome te kraken en daar 60.000 dollar mee te verdienen. De hack is onderdeel van Pwnium 2, een door Google georganiseerd evenement waar beveiligingsonderzoekers en hackers in totaal 2 miljoen dollar kunnen verdienen door Google Chrome te kraken. PinkiePie was echter de enige die aan de wedstrijd deelnam. Pwnium 1 vond begin maart plaats.

De identiteit van PinkiePie is nog altijd een geheim, aangezien hij tijdens de eerste editie geen toestemming van zijn werkgever had om aan Pwnium mee te doen.

De hacker die gisteren nog liet weten dat zijn exploit voor Google Chrome door Adobe was gepatcht, stelt nu via Twitter dat hij nog steeds kans op de 40.000 dollar maakt die de exploit waard is. In het overzicht van ingezonden Pwnium exploits staat echter alleen de exploit van PinkiePie.

Reacties (25)
10-10-2012, 10:27 door majestic
komisch, ik dacht dat Chrome altijd beter was als IE kwa beveiliging. Hoezo is het wel de browser met de meeste berichten dat het gekraakt word? ~.~
10-10-2012, 10:41 door Anoniem
@majestic

Omdat Google het meeste moeite doet om lekken te vinden. Als Microsoft 2 miljoen uit zou loven voor lekken in IE zouden er heel wat gevonden worden.
10-10-2012, 10:55 door Anoniem
@majestic

De (on)betrouwbaarheid van software komt niet alleen voort uit de hoeveelheid lekken maar ook hoe ernstig deze zijn en vooral hoe snel ze opgelost worden. MTTR is in deze erg belangrijk.
10-10-2012, 10:58 door Anoniem
Omdat google zelf wedstrijden organiseert om de browser te laten hacken en zo de meeste gaten er uit haalt?
10-10-2012, 11:00 door KoalaBear
Ik geloof ook dat het beter is qua beveilging. Maar er is altijd een weg om er doorheen te gaan. Anders hadden we geen security.nl wel? :)

Bij Google Chrome wordt je beloond als je wat vindt. Dan kan ook een aanleiding zijn. Ook omdat de browser een steeds groter marktaandeel heeft wordt het interessanter.

Het probleem dat er beveiligingslekken is zitten is ook een probleem, maar niet zo erg omdat ze zeer snel opgelost worden en binnen 2 weken altijd bij 99% van de mensen al gepatched is, zonder dat de gebruiker dat in te gaten heeft en ermee lastig gevallen wordt.
10-10-2012, 11:06 door majestic
MS heeft dat al langer van die hacking competities, nog voor Chrome uit was (was alleen niet IE only).
En updates... Chrome heeft meermaals serieuse lekken gehad waar erg lang niets mee gedaan werd. Die IE exploit van een week of 2 terug was door MS ook binnen 2 dagen gefixed.
Chrome is echt niet 'beter' hoor als IE als het aankomt op de beveiliging. Zelfs slechter. Chrome loopt altijd achter de feiten aan met hun sandbox en dergelijke. Duurde 2 jaar voordag Chrome's sandbox uberhaupt in de buurt kwam van de sandbox van IE8. En na IE9 duurde het bijna een jaar voordat Chrome's sandbox minstens net zo goed was.
En ik vraag me af hoe lang het gaat duren voordat Chrome in de buurt gaat komen van de sandbox en beveiligingen in IE10 (64bit).

Maar goed, iedereen zijn eigen keus kwa browsers, is alleen belachelijk dat er word gedaan dat Chrome vele malen veiliger is terwijl dit niet het geval is. Zelfs Google's zelf gesponsoorde onderzoek eerder dit jaar kwam uit naar voren dat IE het een stuk beter deed als Chrome.
10-10-2012, 11:25 door ernie
Door majestic: komisch, ik dacht dat Chrome altijd beter was als IE kwa beveiliging. Hoezo is het wel de browser met de meeste berichten dat het gekraakt word? ~.~
Dan snap je iets niet. Google organiseert zelf Pwnium o.a. om Chrome zoveel mogelijk dicht te kunnen timmeren, door de hulp van getalenteerde hackers in te schakelen. Op deze manier zijn ze mogelijk misbruik van die beveiligingslekken VOOR. Er is een groot verschil tussen een browser waarin een beveiligingslek is gevonden en een browser waarvan een gevonden beveiligingslek actief op het wijde web geexploiteerd wordt door kwaadwillenden.

De reden dat Chrome hacks meer in het nieuws komen is dus door die zelf-georganiseerde wedstrijden (Pwnium) en door Chrome's sandbox, die het vele malen moeilijker maakt voor een aanvaller om een exploit te vinden die daaruit kan breken en het onderliggende systeem kan overnemen.

We beginnen op een punt te komen dat geen enkele browser nog 100% van de tijd 100% veilig is (dan is Chrome weer sneller gepatched, dan weer IE), zelfs met extra's als Flash en Java (en zelfs javascript) uitgeschakeld. Wat je ook doet (Sandboxie gebruiken, browsen in een VM, tig beveiligingsplugins, dure antivirussoftware, malware firewalls), de exploit kits en malware-technieken evolueren vrolijk mee.

Zucht.

apt-get install links
10-10-2012, 11:26 door Spiff has left the building
Door majestic, 11:06:
Zelfs Google's zelf gesponsoorde onderzoek eerder dit jaar kwam uit naar voren dat IE het een stuk beter deed als Chrome.
Um, welk bedoel je precies?
Ik ken dit, van eind vorig jaar:
http://www.security.nl/artikel/39497/1/Google_Chrome_veiligste_browser,_Firefox_onveiligste.html
Dat gaf aan dat Google Chrome is de veiligste browser van dat moment was, terwijl Firefox de gebruikers de minste bescherming bood, met IE op een middenpositie.
Bedoelde je dat, of een andere rapportage, die me even is ontschoten?
10-10-2012, 11:32 door Anoniem
@ernie rofl, it's Lynx :D
10-10-2012, 12:09 door Security Scene Team
Door majestic: komisch, ik dacht dat Chrome altijd beter was als IE kwa beveiliging. Hoezo is het wel de browser met de meeste berichten dat het gekraakt word? ~.~

en als je nóg wat beter had opgelet had je het wel geweten. Google is de enige die prijzen uitkeert voor het kraken van zijn eigen product(en) en ja dat is relatief 'nieuw' dus ja logich dat je hierover meer hoort, en ja Chrome is wel degelijk veiliger dan IE.
10-10-2012, 12:26 door Anoniem
Door Anoniem: @ernie rofl, it's Lynx :D
Niet als je van frames houdt ;)
10-10-2012, 12:27 door Spiff has left the building
Majestic roept nogal wat op aan reacties, in diverse threads.
Majestic is net nieuw, heeft pas vanochtend een profiel aangemaakt, en tot op dit moment acht reacties geplaatst, maar hij/zij zet al een vrij irritant beeld neer: in een groot deel van de reacties een ronduit vervelende toon, in de helft van de reacties inhoudelijke onjuistheden, en hij/zij neigt ook tot opvallend Microsoft 'fan-gedrag' met een verontwaardigd toontje, als ik dat niet verkeerd beoordeel.
Dus kom op Majestic, doe alsjeblieft wat aan de toon en aan het niveau van je bijdragen, anders ga je vlot ergeren.
10-10-2012, 12:32 door ernie
Door Anoniem: @ernie rofl, it's Lynx :D
https://en.wikipedia.org/wiki/Links_%28web_browser%29

Wikipedia:Not to be confused with Lynx (web browser).
Roffel (:
10-10-2012, 12:32 door Anoniem
wat kan je niet voor 60 duizend kopen , jemig..
10-10-2012, 12:59 door eMilt
Door Anoniem:
Als Microsoft 2 miljoen uit zou loven voor lekken in IE zouden er heel wat gevonden worden.
En jij dacht dat er geen good- en bad-guys dagelijks bezig waren om Microsoft software onder vuur te nemen? Een onbekende exploit in IE die voor een maand gebruikt kan worden is waarschijnlijk vele malen meer waard dan 60.000 euro als je hem weet te verkopen in daarvoor geïnteresseerde kringen.
10-10-2012, 12:59 door ernie
Door Security Scene Team: Google is de enige die prijzen uitkeert voor het kraken van zijn eigen product(en) en ja dat is relatief 'nieuw'
Waar haal jij die wijsheid vandaan? https://www.google.nl/search?q=looft+uit+kraken+-chrome

Ik wil niet op elke slak zout leggen maar wat je nu beweert is gewoon pertinent onwaar.
10-10-2012, 13:22 door Anoniem
@ernie: Gelieve het artikel te lezen?
10-10-2012, 14:09 door WhizzMan
Door majestic: MS heeft dat al langer van die hacking competities, nog voor Chrome uit was (was alleen niet IE only).


Daar kan je een jaar lang toegang tot MSDN winnen of zo. Dat is nogal nutteloos als prijs voor de meesten die op dit niveau hacken, want dat hebben ze toch al wel via hun werkgever of studie. Het feit dat je dat soort prijzen ter beschikking stelt is voor mensen die op dit niveau opereren vaak iets wat als een belediging wordt gezien, want mensen iets geven wat ze toch al hebben terwijl de concurrentie of Vupen er (halve) jaarsalarissen cash voor over heeft, betekent meestal dat de exploit of "gratis" gemeldt wordt buiten zo'n wedstijd om, of verkocht wordt aan de hoogstbiedende.
10-10-2012, 15:28 door Anoniem
Ik ben benieuwd wanneer de volgende browser beveiliging vergelijking komt. Het liefst met zo veel mogelijk details met daarin waarom/wat (het) onveilig is.
10-10-2012, 15:58 door Boxsecure
Door ernie:
Door Security Scene Team: Google is de enige die prijzen uitkeert voor het kraken van zijn eigen product(en) en ja dat is relatief 'nieuw'
Waar haal jij die wijsheid vandaan? https://www.google.nl/search?q=looft+uit+kraken+-chrome

Ik wil niet op elke slak zout leggen maar wat je nu beweert is gewoon pertinent onwaar.

https://www.google.nl/search?q=Google+chrome+vulnerabilty+reward=1536&bih=764

Goh, je zou toch van een bezoekr van security.nl verwachten dat ze basisvaardigheid slim google'en beheersen.
Maargoed.
10-10-2012, 18:19 door ernie
Hooooo, even een misverstand rechtzetten!!

"Security Scene Team" zei om 12:09 dat Google de enige is die prijzen uitkeert voor het kraken van zijn eigen product(en). Ik bedoelde alleen maar te zeggen dat NIET ALLEEN Google prijzen uitlooft voor het kraken van hun technologieën, maar ook andere partijen, zoals bijvoorbeeld Via een tijd geleden: https://secure.security.nl/artikel/11891/Via_looft_5000_dollar_uit_voor_beste_hacker.html.

Misschien had ik het wat duidelijker kunnen formuleren.
10-10-2012, 19:07 door [Account Verwijderd]
[Verwijderd]
10-10-2012, 19:28 door Anoniem
Dus wat was dan de toegevoegde waarde van deze link:https://www.google.nl/search?q=looft+uit+kraken+-chrome ?
10-10-2012, 19:53 door Anoniem
Met dank aan Pinkie Pie :)
Die tiener kan lekker een jaartje feest vieren van al de Google $rewards.
11-10-2012, 09:12 door Mysterio
Door ernie: Hooooo, even een misverstand rechtzetten!!

"Security Scene Team" zei om 12:09 dat Google de enige is die prijzen uitkeert voor het kraken van zijn eigen product(en). Ik bedoelde alleen maar te zeggen dat NIET ALLEEN Google prijzen uitlooft voor het kraken van hun technologieën, maar ook andere partijen, zoals bijvoorbeeld Via een tijd geleden: https://secure.security.nl/artikel/11891/Via_looft_5000_dollar_uit_voor_beste_hacker.html.

Misschien had ik het wat duidelijker kunnen formuleren.
Ja, een Google zoekresultaat posten is niet de meest heldere manier om je punt te maken.

Ik denk wel dat het vernieuwend is hoe serieus Google hackers neemt. Want bij een groot aantal grote jongens vinden ze gebruikers die bugs en lekken melden alleen maar irritant. Stel je voor dat bijvoorbeeld Microsoft vanaf het begin der dagen stevige beloningen uitloofde voor het melden van bugs en lekken! Dat zou zo veel tijd gescheeld hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.