¿Puede ser hackeado Google?

¿Quién hizo qué a quién?

En situaciones como ésta, sólo se da información suficiente para asustarnos un poco. Palabras de moda como "información comprometida" o "cuentas hackeadas" se lanzan sobre, pero rara vez profundizar en el cómo y el por qué. Este secreto es otra medida de seguridad, ya que nos deja saber cómo se ha hecho únicamente de más hacking. Hay, sin embargo, un hilo singular corriendo a través de todo este tejido de la actividad de la piratería reciente.

Gorjeo

Cuando 250.000 cuentas de usuario están en peligro, la gente tome nota. Cuando una empresa no puede revelar la información para poner la mente en la facilidad, la gente se preocupa. A través de una entrada del blog, nos enteramos de que Twitter respondió en cuestión de horas, va a decir que ellos no eran los únicos comprometidos por la piratería. Si bien no se identificó ningún defecto directa, Twitter parecía dispuesto a hablar de Java y otra vez, que apunta a un Departamento de Seguridad Nacional de advertencia sobre Java.

Facebook

Otro objetivo reciente para los hackers era Facebook, que se adelantó a reconocer ser hackeado después de Twitter, aunque su ataque ocurrió un mes antes. Facebook afirma "no hay evidencia de que Facebook usuario de datos se ve comprometida" a la vez que señala que fueron violados a través de una vulnerabilidad de seguridad en Java. Estamos empezando a ver una tendencia, aquí.

Microsoft

Tal vez la boca cerrada de los tres más, Microsoft se limitó a decir que experimentaron una instancia de hacking similar. Iban a decir que algunos equipos eran "Infectado por software malicioso utilizando técnicas similares a las documentadas por organizaciones similares." Microsoft también dijo que no hay datos de usuario se ve comprometida. Es decir, tres grandes empresas de tecnología, y un lío de Java.

Los demás

Apple, el New York Times, The Wall Street Journal, el diario The Washington Post. Todo supuestamente hackeado, y todos aluden a Java como la cuestión. Esa nota vulnerabilidad Departamento de Defensa se mencionó anteriormente señala lo siguiente:

Convenciendo a un usuario para que visite un documento HTML especialmente diseñado, un atacante remoto podría ejecutar código arbitrario en un sistema vulnerable. Tenga en cuenta que las aplicaciones que utilizan los componentes de representación de contenido web de Internet Explorer, como Microsoft Office o Windows Desktop Search, también se pueden utilizar como un vector de ataque para esta vulnerabilidad.

El informe pasa a señalar que el gerente de seguridad en Java tiene un defecto que permite una excepción de seguridad, permitiendo a los usuarios y programas maliciosos. Esto permitiría código Java sin privilegios para acceder a clases restringidas. También vamos a estar claro que este fallo de seguridad afecta a la máquina, no toda la red, per se.

¿Estamos todos en peligro?

Para determinar la respuesta, primero vamos a definir lo que la "seguridad" y "riesgo" son. Si usted tiene acceso a información de alto valor, que están en riesgo. Cuando escuchamos cosas como un cuarto de millón de cuentas de Twitter han sido comprometidos, eso es probablemente debido a un "aplastar y agarrar" trabajo de los hackers más que la información de 250.000 personas que están siendo dirigidos. Consiguen todo lo posible antes de que sean bloqueados, lo que conduce a un alto número de cuentas "comprometidas". En un sentido más amplio, todos estamos en riesgo. Si un hacker quiere información, van a encontrar una manera de conseguirlo.

La seguridad es un poco más difícil de definir. Si bien es claro que Java es un problema, se puede apagar. ¿Eso repente hacen su máquina segura? Alivia la amenaza de Java, pero eso no significa que de repente te has convertido seguro. Apple ha deshabilitado Java por defecto en sus productos, así que estamos prudente tomar en serio los problemas de seguridad de Java. Puede que no sea la panacea, pero los acontecimientos recientes sugieren incapacitante Java es una opción sólida hasta que haya una solución satisfactoria para esa cuestión.

Google está haciendo lo suficiente?

Chrome, y en virtud de Chrome OS, fueron construido desde cero para ser seguro. El foco principal de la seguridad es lo que Google le gusta referirse como "caja de arena". En pocas palabras, esto significa que todas sus acciones son acciones separadas, y se llevaron a cabo como tal. Esto evita que cualquier maldad generalizada, y Chrome está construido a cerrar y la acción que amenaza una vez que su sido identificados.

Gran parte de lo que hacemos en Chrome implica una extensión, de una forma u otra. ¿Cómo se logra la seguridad con tantas extensiones que vuelan alrededor? Desde el Blog de Google Cromo:

Para ayudar a proteger contra vulnerabilidades en extensiones benignos, pero-con errores, empleamos los principios probados por el tiempo de privilegios mínimos y separación de privilegios. Cada extensión declara los privilegios necesarios en su manifiesto. Si la extensión está comprometida más tarde, el atacante se limitará a esos privilegios. Por ejemplo, la extensión de Gmail inspector declara su deseo de interactuar con Gmail. Si la extensión está en peligro de alguna manera, el atacante no se concederá el privilegio de acceder a su banco.

 Para lograr la separación de privilegios, cada extensión se divide en dos partes, una página de fondo guiones andcontent. El fondo de la página tiene la parte del león de los privilegios de las extensiones, pero está aislado del contacto directo con las páginas web. Guiones de contenido pueden interactuar directamente con las páginas web, pero se concedió unos privilegios adicionales. Por supuesto, los dos pueden comunicarse, pero dividiendo extensiones en estos componentes significa una vulnerabilidad en un guión de contenido no se escapa necesariamente todos los privilegios de la extensión para el atacante.

Para lograr la separación de privilegios, cada extensión se divide en dos partes, una página de fondo guiones andcontent. El fondo de la página tiene la parte del león de los privilegios de las extensiones, pero está aislado del contacto directo con las páginas web. Guiones de contenido pueden interactuar directamente con las páginas web, pero se concedió unos privilegios adicionales. Por supuesto, los dos pueden comunicarse, pero dividiendo extensiones en estos componentes significa una vulnerabilidad en un guión de contenido no se escapa necesariamente todos los privilegios de la extensión para el atacante.

Para ilustrar mejor los beneficios de la caja de arena, aquí está un video Google hizo:

¿Hay que preocuparse?

Si usted tiene información sensible que pueda ser de algún valor, sí ... usted debe preocuparse. Si alguien quiere lo que tiene tan mal que están dispuestos a robar, entonces usted está en riesgo. Si usted tiene la información usted mismo, del acceso a la misma, que son un riesgo de seguridad y un objetivo para el compromiso.

Asegurar la información no es una tarea fácil, y hay la misma cantidad de personas que tratan de conseguirlo, ya que están tratando de asegurarla. Hacks y brechas de seguridad se producen constantemente, y que ni siquiera lo sepan. Un buen ejemplo de ello es el blog de Microsoft con respecto a su violación de la seguridad, que señaló que "De acuerdo con nuestras prácticas de respuesta de seguridad, decidimos no hacer una declaración durante el proceso de recopilación de información inicial." Podemos suponer de que la declaración de que los problemas de seguridad ocurren regularmente , y no es necesario informar a cada uno. Esto también sugiere que no todos los problemas de seguridad son los ataques masivos con información comprometida. Esto nos lleva a preguntarse acerca de las concesiones de seguridad Google a gran escala. ¿Eso significa que no sucedan, o simplemente no se discutieron?

Conclusión

Su información es vulnerable a un hacker, pero probablemente no a través de Google. La seguridad era y es uno de los conceptos centrales de Chrome, ya sea el navegador o sistema operativo. ¿Será que el cambio a través del tiempo? Absolutamente. Como algo se vuelve más ampliamente utilizado, se convierte en un objetivo. Si bien la utilización de una función de caja de arena es un gran movimiento, que se basa un poco en el sistema de honor. Google confía a los desarrolladores crear aplicaciones y extensiones Web segura, no de software malicioso diseñado para penetrar en los muros de recinto de seguridad. Hasta ahora, todo bien ... pero que la marea puede cambiar rápidamente, por lo que Google tendrá que cambiar con él.

Servicios como Google + no han tenido los problemas que Twitter o Facebook han tenido, por lo que Google está haciendo algo (o muchas cosas) mejor que su competencia. Como usuarios, no podemos controlar los piratas informáticos. Van a seguir tratando de conseguir lo que sea información que van después, y todos los expertos en seguridad brillantes tratarán de detenerlos. Todo lo que podemos hacer es ser inteligentes acerca de lo que hacemos y cómo lo hacemos. Nuestro trabajo consiste en navegar por la web con prudencia, y descargar aplicaciones de fuentes confiables. Puede que no seamos capaces de detener los problemas de seguridad, pero todos podemos hacer nuestra parte para mitigarlos.