Google peut être piraté?

Qui a fait quoi à qui?

Dans de telles situations, nous sommes seulement donné assez d'informations pour nous effrayer un peu. Buzzwords comme "informations compromis" ou "comptes piratés" sont projetés, mais nous gagnons rarement aperçu dans le comment et le pourquoi. Ce secret est une autre mesure de sécurité, nous laisser savoir comment il a été fait uniquement invite plus piratage. Il ya, cependant, un fil unique qui traverse tout ce tissu de l'activité de piratage récente.

Gazouillement

Lorsque 250.000 comptes d'utilisateurs sont compromises, les gens prennent préavis. Quand une entreprise ne peut pas révéler des informations à mettre les esprits à l'aise, les gens craignent. Via un billet de blog, nous avons appris que Twitter a répondu en quelques heures, passe-à-dire qu'ils ne sont pas les seuls compromis par le piratage. Bien qu'aucune faille directe a été identifié, Twitter semblait désireux de parler encore et encore Java, pointant vers un Department of Homeland Security avertissement à propos de Java.

Facebook

Une autre cible pour les pirates était récente Facebook, qui est venu avant de reconnaître être piraté après Twitter, si leur attaque a eu lieu un mois avant. Facebook revendiqué "aucune preuve que Facebook des données de l'utilisateur a été compromise", tout en soulignant qu'ils ont été violés par une faille de sécurité dans Java. Nous commençons à voir une tendance, ici.

Microsoft

Peut-être le plus discret des trois, Microsoft serait seulement dire qu'ils ont vécu une instance de piratage similaire. Ils allaient en disant que certains ordinateurs étaient «Infecté par des logiciels malveillants en utilisant des techniques similaires à celles documentées par des organisations similaires." Microsoft a également affirmé que pas de données d'utilisateur a été compromise. Voilà trois grandes entreprises de haute technologie, et un gâchis Java.

Les autres

Apple, le New York Times, le Wall Street Journal, le Washington Post. Tout aurait piraté, et tout allusion à Java comme la question. Ce département de la Défense note vulnérabilité mentionné précédemment note ce qui suit:

En incitant un utilisateur à visiter un document HTML spécialement conçu, un attaquant distant peut être en mesure d'exécuter du code arbitraire sur un système vulnérable. Notez que les applications qui utilisent les contenus web composants de rendu d'Internet Explorer, tels que Microsoft Office ou Windows Desktop Search, peuvent également être utilisés comme vecteur d'attaque pour cette vulnérabilité.

Le rapport poursuit en indiquant que le responsable de la sécurité en Java a un défaut qui permet une exception de sécurité, permettant aux utilisateurs et les logiciels malveillants. Cela permettrait alors de code Java non privilégié pour accéder à des classes subalternes. Soyons clair également que cette faille de sécurité affecte la machine, et non l'ensemble du réseau, en soi.

Sommes-nous tous à risque?

Pour déterminer la réponse, nous allons définir d'abord ce «sécurité» et «risque» sont. Si vous avez accès à des informations de grande valeur, vous êtes à risque. Quand nous entendons des choses comme un quart de million de comptes Twitter ont été compromis, qui est probablement dû à une "écraser et saisir« travail par des pirates de plus que l'information de 250.000 personnes qui sont visées. Ils obtiennent tout ce qu'ils peuvent avant qu'ils ne soient en lock-out, ce qui conduit à un nombre élevé de comptes "compromis". Dans un sens plus large, nous sommes tous à risque. Si un pirate veut des informations, ils vont trouver une façon de l'obtenir.

La sécurité est un peu plus difficile à définir. Alors qu'il est clair que Java est un problème, il peut être désactivé. Cela fait-il tout d'un coup votre machine sécurisé? Il soulage la menace Java, mais cela ne signifie pas que vous avez soudainement devenir sécurisé. Apple a désactivé Java par défaut dans leurs produits, nous sommes donc sage de prendre les questions de sécurité Java sérieux. Il peut ne pas être la solution miracle, mais les événements récents suggèrent de désactiver Java est une option solide jusqu'à ce qu'il y est une solution satisfaisante pour cette question.

Google est en fait assez?

Chrome, et en vertu Chrome OS, étaient construit à partir du sol pour être sécurisé. L'objectif principal de la sécurité est ce que Google aime à qualifier de "sandboxing". En un mot, cela signifie toutes vos actions sont des actions distinctes, et réalisée en tant que telle. Cela empêche toute malice répandue, et Chrome est construit pour arrêter et menaçant de poursuites une fois que son été identifiés.

Une grande partie de ce que nous faisons dans Chrome implique une extension, sous une forme ou une autre. Comment la sécurité est accompli avec tant de nombreuses extensions qui volent autour? De le blog de Google Chrome:

Pour aider à protéger contre les vulnérabilités dans les extensions bénignes mais-Buggy, nous employons les principes éprouvés par le temps de moindre privilège et de la séparation des privilèges. Chaque extension déclare les privilèges dont il a besoin dans son manifeste. Si l'extension est compromise plus tard, l'attaquant sera limitée à ces privilèges. Par exemple, l'extension Gmail Checker déclare qu'il souhaite interagir avec Gmail. Si l'extension est en quelque sorte compromise, l'attaquant ne sera pas accordé le privilège d'accéder à votre banque.

 Pour réaliser la séparation de privilèges, chaque extension est divisée en deux morceaux, une page de fond scripts andcontent. La page de fond a la part du lion des privilèges des extensions, mais est isolé de tout contact direct avec les pages Web. Scripts contenu peuvent interagir directement avec les pages Web, mais sont accordé quelques privilèges supplémentaires. Bien sûr, les deux peuvent communiquer, mais en divisant extensions ces composants signifie une vulnérabilité dans un script de contenu ne fuit pas nécessairement tous les privilèges de l'extension à l'attaquant.

Pour réaliser la séparation de privilèges, chaque extension est divisée en deux morceaux, une page de fond scripts andcontent. La page de fond a la part du lion des privilèges des extensions, mais est isolé de tout contact direct avec les pages Web. Scripts contenu peuvent interagir directement avec les pages Web, mais sont accordé quelques privilèges supplémentaires. Bien sûr, les deux peuvent communiquer, mais en divisant extensions ces composants signifie une vulnérabilité dans un script de contenu ne fuit pas nécessairement tous les privilèges de l'extension à l'attaquant.

Pour mieux illustrer les avantages de sandboxing, voici une vidéo Google a fait:

Devrions-nous nous inquiéter?

Si vous avez des informations sensibles qui peuvent avoir une certaine valeur, oui ... vous devriez vous inquiéter. Si quelqu'un veut ce que vous avez si mauvais qu'ils sont prêts à voler, alors vous êtes à risque. Que vous ayez l'information vous-même, de l'accès à elle, vous êtes un risque de sécurité et une cible pour le compromis.

Sécurisation de l'information ne sont pas une tâche facile, et il ya autant de gens qui essaient de l'obtenir car il tentent de le fixer. Hacks et de brèches de sécurité en permanence, et nous ne pourrons jamais le savoir. Un bon exemple de cela est le billet de blog de Microsoft quant à leur violation de la sécurité, qui a noté "Conformément à nos pratiques d'intervention en matière de sécurité, nous avons choisi de ne pas faire une déclaration pendant le processus de collecte de l'information initiale." Nous pouvons présumer de cette déclaration que les questions de sécurité se produisent régulièrement , et il est pas nécessaire de déclarer chacun. Cela suggère aussi que tous les problèmes de sécurité sont ces attaques massives avec informations compromises. Cela nous amène à interroger sur les compromis de sécurité Google à grande échelle. Est-ce que cela signifie qu'ils ne se produisent pas, ou tout simplement ont pas été discutées?

Conclusion

Votre information est vulnérable à un pirate, mais probablement pas via Google. La sécurité était et est l'un des concepts de base de Chrome, que ce soit le navigateur ou OS. Que cela va changer au fil du temps? Absolument. Comme quelque chose devient plus largement utilisé, il devient une cible. Tout en utilisant une fonction de sandboxing est un grand mouvement, elle repose un peu sur le système d'honneur. Google fait confiance aux développeurs de créer des applications et des extensions Web sûrs, pas de logiciel malveillant conçu pour pénétrer dans les murs de sandbox. Jusqu'ici, tout va bien ... mais que la marée peut changer rapidement, afin que Google devra changer avec lui.

Des services tels que Google+ ont pas eu les problèmes que Twitter ou Facebook ont ​​eu, afin que Google est en train de faire quelque chose (ou beaucoup de choses) mieux que leurs concurrents. En tant qu'utilisateurs, nous ne pouvons pas contrôler les pirates. Ils vont continuer à essayer d'obtenir quelque information qu'ils vont après, et tous ces experts en sécurité vives vont essayer de les arrêter. Tout ce que nous pouvons faire est d'être intelligent sur ce que nous faisons et comment nous le faisons. Notre travail consiste à naviguer sur le Web à bon escient, et de télécharger des applications à partir de sources fiables. Nous pourrions ne pas être en mesure d'arrêter les questions de sécurité, mais nous pouvons tous faire notre part pour les atténuer.