De Google-hackers die internet veiliger maken | Bright Ideas

advertisement
De Google-hackers die internet veiliger maken
door Daniël Verlaan
leestijd: 7 min
De hackers van de geheimzinnige Google-afdeling Project Zero zijn op een missie om
internet veiliger te maken.
Androids en iPhones die te hacken zijn via de wifi-chip. Je LastPass-account dat
wachtwoorden lekt. Of een lek bij Cloudflare waardoor miljoenen logins op straat lagen. Het
zijn ernstige kwetsbaarheden die effect hebben op honderden miljoenen mensen. Eén ding
hebben ze gemeen: ze zijn ontdekt door hackers van Googles Project Zero.
Google richtte de Project Zero-divisie in juli 2014 op. De naam is afgeleid van zeroday, de term
die wordt gebruikt voor een nog niet bekende kwetsbaarheid. Zerodays zijn gewild door
inlichtingendiensten en cybercriminelen, die deze lekken misbruiken om in te breken in onder
andere laptops en smartphones.
Google hoopt met Project Zero zoveel mogelijk van deze zeroday-lekken op te sporen en te
dichten. "Mensen moeten het internet kunnen gebruiken zonder bang te zijn dat hun privacy
wordt geruïneerd door een verkeerde website te bezoeken", zei de voormalig Project Zero-baas
Chris Evans in 2014 tegen Wired.
Openbare database
Hoeveel medewerkers er inmiddels in Project Zero-team zitten, weten we niet. Google
reageerde niet op een verzoek om commentaar. Maar, een van die medewerkers is Gal
Beniamini, de onderzoeker die het kwetsbaarheid in de wifi-chip van miljoenen smartphones
ontdekte. Hij werkte voordat hij bij Project Zero aan de slag ging bij het Israëlische cyberleger.
Bekendere namen zijn de Nieuw-Zeelandse Ben Hawkes, die kwetsbaarheden in Flash en
Office ontdekte, en de Britse Tavis Ormandy, die onder andere LastPass de laatste maanden
flink onder de loep nam. Door Ormandy's bevindingen is één van de populairste
wachtwoordbeheerders veel veiliger geworden.
Ook de Britse Project Zero-hacker Ian Beer is geen onbekende in de cybersecuritywereld: hij
heeft een reeks kwetsbaarheden in onder andere iOS en OS X gevonden. En met succes: de
gemiddelde update voor iOS dicht een reeks lekken die door Project Zero-onderzoekers zijn
ontdekt. Alle kwetsbaarheden die door Project Zero zijn ontdekt worden in een openbare
database bijgehouden. De kwetsbaarheid wordt pas gepubliceerd als deze is verholpen of als
een bedrijf na negentig dagen nog steeds geen fix heeft uitgebracht.
Vooral altruïstisch
De vraag dringt op: waarom betaalt Google flinke salarissen om fouten in andermans hard- en
software te vinden? Volgens Evans is het idee achter Project Zero 'vooral altruïstisch', maar
Google heeft er indirect ook profijt van. Mensen die zich veilig voelen tijdens het surfen zijn
sneller geneigd om op advertenties te klikken en lang te browsen. Ergo: meer geld voor Google.
Daarnaast werkt Google regelmatig met hard- en software van andere partijen. Neem
bijvoorbeeld de wifi-chip in Android-telefoons. Het is natuurlijk niet handig om alleen de
beveiliging van Android te verbeteren als een aanvaller ook via de wifi-chip het Androidsysteem kan hacken.
NSA hackte Gmail
Het is niet geheel toevallig dat Project Zero een jaar na de NSA-onthullingen door Edward
Snowden is opgericht. Daarin kwam Google regelmatig voor. Volgens de door Edward
Snowden gelekte documenten had de NSA ingebroken bij Google om de communicatie van
Gmail-gebruikers te lezen.
Brandon Downey, één van Googles techneuten die het netwerk veilig houdt, schreef destijds
een welgemeende 'fuck deze gasten' op zijn Google+ pagina: "Terwijl ik dit eigenlijk
verwachtte, maakt het me nog steeds enorm verdrietig." Die 'fuck deze gasten'-mentaliteit is
mogelijk ook een reden waarom Google zijn Project Zero-divisie is gestart. "Googles
beveiligingsteam is boos over de surveillance door de NSA", zei de Amerikaanse
privacyonderzoeker Chris Soghoian tegen Wired. "En daar proberen ze nu iets aan te doen."
Zoveel mogelijk zerodays ontdekken
Omdat onze apparaten steeds beter worden beveiligd, worden kwetsbaarheden aan elkaar
gekoppeld om een apparaat over te nemen. De Google-hackers richten zich voornamelijk op dit
soort hacks die zerodays aan elkaar koppelen.
Stel: je wilt de iPhone hacken. Dan kan dat bijvoorbeeld via een malafide webpagina. Daarvoor
moet je wel eerst een gat in de Safari-browser vinden dat je kunt misbruiken, om via de
browser toegang te krijgen tot de smartphone. Dicht het gat en de aanvalsmethode werkt niet
meer.
Dat is het doel van Project Zero: het internet en jouw apparaten veiliger maken door zoveel
mogelijk zerodays te ontdekken. En ze zijn goed op weg.
AUTEUR
Daniël Verlaan (@danielverlaan) is techredacteur bij RTL Z en Bright. Houdt van de
middeleeuwen en terabytes. Fietst heel snel korte afstanden. En is in het echt (en op Twitter)
véél knapper.
© 2017 RTL Nederland BV · Gebruikersvoorwaarden · Privacy- en cookie-statement · FAQ · Bright Ideas v1.3 · [email protected]
Download