Tag Archives: google

Google Chrome: Sergey Glazunov och Pinkie Pie tog priser i Pwnium

Som jag skrev för en dryg vecka sedan så har Google övergivit hackertävlingen Pwn2Own på CanSecWest-mässan för att de nya reglerna inte passade dem. Istället lade man en miljon dollar i prispotten på en ny tävling, Pwnium, som helt går ut på att hitta svagheter i Chromium, det vill säga källkoden till Google Chrome. 

Google Chrome kan nog sägas vara den säkraste av de stora webbläsarna, tack vare sandlådetekniken. Vissa processer körs alltså i en form av virtuell miljö som gör att angriparen begränsas ganska kraftigt i vad han eller hon kan göra med datorn genom webbläsaren.

I år delades prispengar faktiskt ut, tidigare år har det varit ganska skralt med hittade svagheter. Sergey Glazunov och Pinkie Pie, av allt att döma en rosa plasthäst, tog hem 60 000 dollar var ur prissumman på en miljon dollar. Glazunov tog sig runt sandlådan.

Google visar sig i undersökningar vara den arbetsplats där unga helst av allt vill jobba och Pwnium blir ytterligare en del i deras makalösa employer branding-arbete – tävlingen är avslutad och nu delas resten av prispengarna, 880 000  dollar, ut till teamet på Google som jobbar med att hålla Chrome säkert.

Google dumpar Pwn2Own

Hackartävlingen Pwn2Own blir utan Googles sponsorpengar i år, skriver PC för alla. Orsaken är en regeländring, deltagarna behöver inte längre redovisa säkerhetproblemen de hittar. Inte bra tycker Google, av förklarliga skäl.

Google har tidigare sponsrat tävlingen med en stor prissumma till den som lyckas hacka webbläsaren Google Chrome, pengar som mig veterligen inte har tagits hem av någon deltagare än. Nu ska man istället ha en egen tävling.

300 000 Googlekonton förmodligen hackade

Den 5 september utfärdade IT-säkerhetsföretaget Fox-IT en rapport om infiltreringen av holländska DigiNotars servrar, där över 500 SSL-certifikat blev fabricerade av inkräktare. Rapporten visar att cirka 300 000 IP-adresser (där var och en representerar minst en användare) har haft tillträde till hemsidor med falska Googlecertifikat mellan den 27 juli och 29 augusti. 99 % av IP-adresserna verkade härstamma från Iran.

Bland de falska certifikaten finns en stor del som kan användas för att framställa sidor identiska med Googles sidor och tjänster. Alltså har nästan 300 000 iranier fått sina Gmail-konton infiltrerade, vilket har gjort det möjligt för hackare att bland annat läsa användarnas lösenord och e-post. Säkerhetsforskare misstänker att den iranska regeringen ligger bakom attacken, eftersom flera kopplingar tidigare har gjorts mellan regeringen och försök till att avlyssna kommunikation mellan aktivister och demonstranter.

Diskussionen kring DigiNotar och deras ansvar för det som har hänt kommer knappast att vara till företagets fördel efter rapporterna som visar att DigiNotar har varit omedvetna om att hackare har kontrollerat deras servrar i veckor. Förutom bristen av en uppdaterad serverprogramvara saknade DigiNotar dessutom skyddet från ett antivirusprogram – ett enkelt sätt att förhindra att just denna typ av attacker lyckas.

Mozilla planerar gömma versionsnummer i Firefox

Efter att ha ökat versionsnumren i Firefox i väldigt snabb takt, något som uppmärksammats av bland annat IDG, planerar Mozilla nu att helt dölja versionsnumren i Firefox, och istället bara visa något i stil med ”Firefox sökte efter uppdateringar för 20 minuter sedan, du har den senaste versionen”.

I en kommentar på bugzilla finns följande att läsa, skrivet av Asa Dotzler, Community Manager för Firefox:

Remove version from About window
When a user opens the About window for Firefox, the window should say something like ”Firefox checked for updates 20 minutes ago, you are running the latest release.”

It is important to say when the last check happened and ideally to do the check when the dialog is launched so that time is very near and to drop the version and simply tell them they’re on the latest or not.

If a user needs the full version information they can get it from about:support.

På ett sätt kan det vara bra att försöka få bort fokus från ”vilken version man har installerad”, men då är det viktigt att de automatiska uppdateringarna fungerar bra och smidigt för användarna.

För en hemanvändare spelar det oftast ingen roll vilken version man använder, utan kan man alltid lätt ha den senaste versionen installerad så är det troligtvis det smidigaste. I ett företagsnätverk kan det dock vara svårare. Först och främst måste användaren ha rättighet att uppdatera programmet, antingen genom att ha skrivrättigheter till programmet, eller att användaren kan autenticera sig som en administratör/någon som har rättigheter. Sedan är det oftare väldigt viktigt att man har kontroll över vilka versioner som körs på klienterna.

Både Google och Mozilla vill att användarna ska strunta i versionsnumren. Istället så ska man köra t.ex. antingen Stable, eller Nightly. Oavsett exakt version.

Asa Dotzler fortsätter:

This feature is a priority of the Firefox UX lead and the Firefox Product lead. It is part of the phasing out of version numbers in Firefox that’s already well under way (though still incomplete.)

Om man gör en koppling till säkerhetsprogram så är det första jag kommer att tänka på att man måste verkligen veta att programmet söker efter uppdateringar, eller att det varnar om det misslyckas (i alla fall efter ett par gånger).

Viss skadlig kod försöker förhindra olika antivirusprogram från att uppdatera. Det är viktigt att de inte lätt kan luras att säga att ”Allt är lugnt! Du har senaste versionen!” fastän det inte stämmer.

Fransk firma går runt sandlådan i Google Chrome

Den franska säkerhetsfirman Vupen har hittat hittills okända säkerhetshål i webbläsaren Google Chrome och har lyckats ta sig förbi sandlådan i programmet. Företaget har gjort en video som visar hur hacket går till.

Företag som Vupen hittar säkerhetshål för sina kunders räkning, det är helt enkelt information som företag och regeringar med riktigt små marginaler behöver. De kommer alltså inte att släppa ut detta på öppna marknaden och Google kommer snabbt att hitta hålen själva och täppa till dem.

Computer Sweden skriver: ”En talesman för Google uppger att företaget ännu inte kunnat verifiera om Vupens uppgifter stämmer. Skulle det visa sig att uppgifterna stämmer så kommer Google släppa en uppdatering så snart den är färdig.”

Lyssna på vår podcast om Chrome 10, som var den första versionen av Chrome med sandboxingfunktion: Säkerhetsradion: Chrome 10 kör Flash i sandlåda.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Google fixar Flashbugg före Adobe

Säkerhetshål i Flash har varit ganska vanliga under åren. I måndags avslöjade Adobe att det fanns ett nytt och allvarligt säkerhetshål i Flash och tack vare sitt  samarbete med Adobe har Google lyckats presentera en lösning i Chrome innan Adobe hunnit släppa en uppdaterad version av Flash.

Veckans podcast handlar för övrigt om just Chrome och Flash, den tål att lyssnas på.

Säkerhetsradion – Chrome 10 kör Flash i sandlåda

Veckans podcast handlar om webbläsare och säkerhet, ett ämne som nog borde diskuteras oftare än det gör. Det går inte att komma ifrån att man tillbringar mycket tid i sällskap med webbläsare.

Nyheterna i detta ämne förra veckan. Google kom med en skarp version av Chrome 10, väldigt tätt inpå att Chrome 9 kom ut – den största nyheten är att Flash numera körs i en sandbox – lyssna på podcasten om du vill veta mer.

Ungefär samtidigt gick hackartävlingen Pwn2Own av stapeln i Kanada, och bland andra SvD rapporterar om att Chrome klarade sig oskatt, kanske på grund av att Google patchade en hel del brister strax innan tävlingen.

Chrome överlevde Pwn2Own – Safari och IE föll

Jag nämnde Googles förberedelser för Pwn2Own förra veckan och nu är tävlingen färdig. Intressant nog klarade sig Googles webbläsare Chrome, medan Microsoft Internet Explorer 8 och Safari 5 på OS X 10.6.6 hade säkerhetshål som gjorde att attackeraren kunde ta över systemet.

Den som hackade IE var säkerhetsforskaren Stephen Fewer, som lyckades ta sig runt Protected mode, Microsofts sandlådeteknik. Den pratar vi förresten om en smula i veckans podcast som dyker upp imorgon här på bloggen.

Läs PC För allas artikel om tävlingen här.

Kul att även SvD tar upp nyheterna från Pwn2Own. Det är är ju faktiskt inte information som bara angår nördar och specialister, de flesta människor tillbringar idag ganska mycket av sin tid med sina webbläsare. SvD-artikeln kan du läsa här.