image

Google beschermt Linux-gebruikers met sandbox

dinsdag 20 november 2012, 17:03 door Redactie, 14 reacties

Om Linux-gebruikers beter tegen aanvallen vanaf het web te beschermen, heeft Google de sandbox van Chrome versterkt. De sandbox vormt een extra laag die Chrome tussen de aanvaller en de computer van de gebruiker plaatst. Een aanvaller die een lek in de browser vindt moet eerst nog eens uit de sandbox ontsnappen voordat hij de computer kan overnemen. Het afgelopen jaar is de sandbox van Google Chrome verschillende keren gekraakt.

"Het is onze taak om de sandbox zo sterk en ondoordringbaar als mogelijk te maken", zegt software engineer Julien Tinnes. Volgens Tinnes is de kernel van een besturingssysteem een geliefd doelwit voor een aanvaller. De kernel bestaat uit vele regels complexe code. De nieuwste versie van Chrome introduceert daarom voor de 64-bit versies van Linux een nieuwe feature genaamd seccomp-bpf.

Filter
Via seccomp-bpf installeert Google een klein filter in de kernel die aanvallen moet weerstaan. Zo kan het filter bepaalde 'system calls' weigeren waarvan het weet dat Google Chrome niet nodig heeft. "Het installeren van dit filter in de kernel verbetert de veiligheid van onze gebruikers", merkt Tinnes op.

Gebruikers kunnen via chrome://sandbox kijken of ze over de nieuwe feature beschikken. Als dit zo is staat er 'Seccomp-BPF sandbox Yes'. Is dit niet het geval, dan stelt Tinnes dat gebruikers bij hun Linux-distributie vragen om seccomp-bpf toe te voegen. Bij Ubuntu zou dit al sinds versie 12.04 het geval zijn.

Reacties (14)
20-11-2012, 17:40 door Anoniem
Dus dit betekent dat Google een kernel module (met uiteraard alle administrator rechten op het systeem !) gaat installeren om je systeem "veiliger" te maken ? Lijkt een beetje op "Fighting for peace" of "Fucking for virginity" ...

Wie kan voorkomen dat Google daar veel interessantere zaken mee gaat doen dan alleen een leuke sandbox creeren :? Daarmee heeft Google in potentie immers de volledige controle over het hele systeem en kan alles naar hartelust bekijken en besnuffelen ! Lekker veilig !

Ik vond Chrome al niks, maar nu komt het zeker niet meer op mijn systeem !
20-11-2012, 18:18 door Anoniem
@Anoniem 17:40 die kernel extensie bestond al voordat Google besloot 'm te gebruiken om haar producten veiliger te maken; https://lwn.net/Articles/475043/.
20-11-2012, 18:22 door Anoniem
Google heeft veels te veel te verliezen om zoiets te misbruiken. Het is goed om kritisch te blijven, maar sommige mensen doen wel heel erg paranoide als het om google gaat.
20-11-2012, 18:25 door Joep Lunaar
@Anoniem
Aannemend dat de implementatie van de sandbox open source is, net als de rest van Chrome, dan is het gevaar op google-achterdeurtjes dat je veronderstelt zeer onwaarschijnlijk. Gerenommeerde Linux distributies als Debian (+ derivaten) en Fedora, screenen de progammacode en wijzigingen daarop volgens stringente regels. Het is de distributie die de code compileert en omzet in uitvoerbare code. Het afbraakrisico dat Google loopt indien zij iets onwelvoegelijks in hun code stopt maakt wangedrag van Google in de zin die je bedoelt dus nauwelijks denkbaar. Kijk maar eens op debian.org.
20-11-2012, 20:14 door Gebruiker30037
google denkt tenminste aan zijn afnemers.
kan microsoft een voorbeeld aan nemen

ik blijf erbij, een OS wordt door een gespecialiseert bedijf gemaakt en een brower ook,
die twee gaan niet samen
20-11-2012, 20:38 door Anoniem
Door ??: google denkt tenminste aan zijn afnemers.
kan microsoft een voorbeeld aan nemen

ik blijf erbij, een OS wordt door een gespecialiseert bedijf gemaakt en een brower ook,
die twee gaan niet samen

En nu is er een browser met kernel-extensie (OS software!), gemaakt door een bedrijf wat in geen van beiden is gespecialiseerd.
20-11-2012, 20:45 door Anoniem
Door Joep Lunaar: @Anoniem
Aannemend dat de implementatie van de sandbox open source is, net als de rest van Chrome

Incorrect; Chrome is closed source. Chromium is 100% open, en men zegt dat Chrome daarvan is afgeleid, maar je weet nooit wat er precies anders aan is.

dan is het gevaar op google-achterdeurtjes dat je veronderstelt zeer onwaarschijnlijk. Gerenommeerde Linux distributies als Debian (+ derivaten) en Fedora, screenen de progammacode en wijzigingen daarop volgens stringente regels. Het is de distributie die de code compileert en omzet in uitvoerbare code. Het afbraakrisico dat Google loopt indien zij iets onwelvoegelijks in hun code stopt maakt wangedrag van Google in de zin die je bedoelt dus nauwelijks denkbaar. Kijk maar eens op debian.org.

Google probeert altijd de slimste jongetjes in de klas aan te nemen. Het soort jongetjes wat ook zou meedoen aan de Underhanded C Contest... https://en.wikipedia.org/wiki/Underhanded_C_Contest
20-11-2012, 21:18 door Martijn2
Door ??: google denkt tenminste aan zijn afnemers.
kan microsoft een voorbeeld aan nemen

ik blijf erbij, een OS wordt door een gespecialiseert bedijf gemaakt en een brower ook,
die twee gaan niet samen
En een Search Engine/advertentie bedrijf en een browser gaan wel samen?
20-11-2012, 21:57 door Rasalom
Door Anoniem: Lijkt een beetje op "Fighting for peace" of "Fucking for virginity"
Of 'Searching for nails on low tide'. De code wordt ingediend ter beoordeling, dus achterdeurtjes lijken me zo goed als onmogelijk.

Dit lijkt me de standaard knee jerk reactie. Google? ... Oh, EVIL!
20-11-2012, 22:01 door Rasalom
google denkt tenminste aan zijn afnemers.
Natuurlijk niet. Google denkt vooral aan zijn winst. Hoe groter Chrome, hoe beter de kansen op een goed winstpercentage.
20-11-2012, 22:16 door Gebruiker30037
Rasalom,

ok, maar chrome doet wel wat het moet doen

Martijn2
geen idee, ik vindt gewoon dat een kwalitatief goede producten alleen door dedicated bedrijven gemaakt kan worden
MS is goed in het bouwen van een OS, maar totaal niet in het bouwen van een browser, laat staan een antivirus
21-11-2012, 11:03 door svenvandewege
Als ik de gemiddelde reacties op deze site lees, hebben Linux gebruikers toch helemaal geen bescherming nodig?
Beetje zonde van Google dus.
21-11-2012, 11:37 door Anoniem
Voor de mensen die geen browser hebben met "sandboxing". Veel linux distributies zijn uitgerust met een mandatory access control systeem, zoals SELinux/AppArmor. Je kan dan een stricter profiel instellen voor je browser.

@svenvandewege:
zie http://www.linuxmag.nl/xtra "dossier linux security" voor meer informatie waarom het wel noodzakelijk is.
21-11-2012, 14:59 door Eerde
@Vandaag,11:37 doorAnoniem
Correct !

Quote:
"Het afgelopen jaar is de sandbox van Google Chrome verschillende keren gekraakt."
En dat zou het sandboxen veiliger maken voor Linux ? SELinux/AppArmor lijkt mij beter !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.