Google houdt spywareleveranciers verantwoordelijk voor bijna 70 zerodays
Bijna zeventig zerodaylekken in software van Adobe, Apple, Google, Microsoft en Mozilla, die sinds 2016 zijn ontdekt en gebruikt voor het aanvallen van gebruikers zijn het werk van commerciële spywareleveranciers, zo stelt Google in een nieuw rapport (pdf). Het techbedrijf vindt dat er meer internationale inzet nodig is om het 'spyware-ecosysteem' te verstoren en gebruikers te beschermen.
De spywareleveranciers leveren spyware waarmee het mogelijk is om volledige toegang tot smartphones of systemen van slachtoffers te krijgen en hen zo te bespioneren. Om de spyware op de telefoon te krijgen maken de bedrijven, die vaak voor overheden werken, gebruik van zerodaylekken, waar op het moment van de aanval nog geen update voor beschikbaar is. De spywareleveranciers zoeken zelf naar deze zerodays of betalen onderzoekers voor het melden hiervan. De kwetsbaarheden worden echter niet gemeld bij de betreffende softwareleverancier, waardoor er ook geen update voor wordt ontwikkeld en gebruikers kwetsbaar blijven.
Google stelt dat er sinds 2016 zeker 67 van dergelijke zerodays door commerciële spywareleveranciers zijn gebruikt om systemen te infecteren. Veel van de aangevallen kwetsbaarheden bevinden zich in Android, Google Chrome, en iOS. Sinds halverwege 2014 zijn er volgens Google 72 verschillende zerodaylekken gebruikt om gebruikers van Android, Google Chrome en andere Google-producten aan te vallen.
Volgens Google zijn zeker 35 van deze kwetsbaarheden door commerciële spywareleveranciers ingezet. Daarbij stelt het techbedrijf dat dit een lage ondergrens is en het werkelijke aantal zeer waarschijnlijk veel hoger is. Dat geldt zowel voor het totaal aantal geregistreerde zerodaylekken, als de zerodays die zijn ingezet om Google-gebruikers mee aan te vallen.
In het rapport over commerciële spyware laat Google weten dat de tijd voor overheden, industrie en maatschappij is gekomen om de beloningsstructuur waardoor spyware zich kan verspreiden te veranderen. Zo is Google voorstander van het reguleren van commerciële spyware. "De schade die deze industrie veroorzaakt is meer dan duidelijk op dit moment, en we vinden dat dit zwaarder weegt dan enig voordeel om er gebruik van te blijven maken", aldus Google.
…zijn het werk van commerciële spywareleveranciers,
Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
…zijn het werk van commerciële spywareleveranciers,
Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
Misschien kun je de software wereld verblijden door te vertellen hoe je zodanig test dat deze zerodays gevonden worden ?
3 opties:
1) Krijg je een fout code/melding , dan is het goed, en doe je het nog een keer met andere binaire shit etc.
2) Het systeem gaat onderuit, dan ga je zoeken waarom het systeem GEEN foutmelding/code heeft gegeven, en corrigeer je dat, en doe het nog een keer met andere binaire shit.
3) Geeft het systeem een antwoord, dan doe je hetzelfde als bij twee. (het systeem zou geen antwoord moeten produceren, op binaire shit)
Als bovenstaande blijkt dat het systeem altijd foutmeldingen geeft op binaire shit, dan maak je een aantal test cases die de randwaarden van parameters op zoekt, of ver overschrijdt, verkeerde parameters invoert , dus cijfer als er letter verwacht worden etc. Zgn Sanity tests (heel vaak vergeten!)
Geeft het systeem nog steeds alleen foutmeldingen op bovenstaand foute use cases, dan ga je over op Stresstesten.
Bijvoorbeel een stresstest met 100% belasting gedurende een week, of maand.
Blijf het systeem overeind dan heb je een aardig systeem, maar dat is nog steeds niet 100% safe, want dat bestaat niet.
Mijn indruk is dat er vandaag de dag heel weinig getest wordt.
…zijn het werk van commerciële spywareleveranciers,
Dat klopt natuurlijk niet. Deze mensen hebben de zerodays alleen ontdekt en niet in de software gestopt. Het waren toch echt de originele programmeurs die de software gereleased hebben voordat het deugdelijk getest was.
Misschien kun je de software wereld verblijden door te vertellen hoe je zodanig test dat deze zerodays gevonden worden ?
3 opties:
1) Krijg je een fout code/melding , dan is het goed, en doe je het nog een keer met andere binaire shit etc.
2) Het systeem gaat onderuit, dan ga je zoeken waarom het systeem GEEN foutmelding/code heeft gegeven, en corrigeer je dat, en doe het nog een keer met andere binaire shit.
3) Geeft het systeem een antwoord, dan doe je hetzelfde als bij twee. (het systeem zou geen antwoord moeten produceren, op binaire shit)
Als bovenstaande blijkt dat het systeem altijd foutmeldingen geeft op binaire shit, dan maak je een aantal test cases die de randwaarden van parameters op zoekt, of ver overschrijdt, verkeerde parameters invoert , dus cijfer als er letter verwacht worden etc. Zgn Sanity tests (heel vaak vergeten!)
Geeft het systeem nog steeds alleen foutmeldingen op bovenstaand foute use cases, dan ga je over op Stresstesten.
Bijvoorbeel een stresstest met 100% belasting gedurende een week, of maand.
Blijf het systeem overeind dan heb je een aardig systeem, maar dat is nog steeds niet 100% safe, want dat bestaat niet.
Mijn indruk is dat er vandaag de dag heel weinig getest wordt.
En dat begint op subroutine niveau, dan op groupjes code etc tot het geheel getest kan worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.