WebGang/CityGang

Browsers onder vuur

Er werden nieuwe beveiligingsproblemen gevonden in browsers op Mac OS-X en Windows op Pwn2Own. Pwn2Own is de naam van een jaarlijkse wedstrijd om nieuwe beveiligingsfouten te vinden in computerapparatuur en software.
Er werd dit jaar vertrokken van volledig bijgewerkte systemen: Windows7 , Windows 8 en OS-X Mountain Lion. Na installatie en up-to-date brengen werden er geen wijzigingen gedaan die negatieve invloed zouden kunnen hebben; het zijn standaard installaties.
De bedoeling van de kraakpogingen is om op een nieuwe manier door de beveiliging te breken, met zogenaamde “zero day exploits”.
De beveiligingsmechanismen in Windows, zoals de “Data Execution Prevention”, bleken geen afdoende bescherming te geven tegen inbraken in het systeem via zwakheden in de browsers Firefox en Internet Explorer. Het idee van de “sandbox”, waarin bepaalde programma’s draaien om geen schade aan het systeem te kunnen doen, werd doorbroken met een “sandbox bypass”.
In Java werd een “heap overflow” fout gevonden. Ook Chrome viel ten prooi aan een aanval via een speciaal daarvoor gemaakte webpagina, van waaruit onderzoeker code wisten binnen te smokkelen in het Windows systeem.

De veiligheidsonderzoekers en krakers worden gemotiveerd om deel te nemen aan de wedstrijd door een aantrekkelijke prijzenpot. Voor inbreuken op Internet Explorer of Firefox op Windows, en Safari op Mac OS-X wordt rond de 60 tot 70.000 dollar uitgeloofd. Voor een inbreuk op Chrome zelfs 100.000 dollar.
De fouten worden met beschrijving doorgespeeld aan de fabrikanten.

pwn2own.zerodayinitiative.com

Ook voor Chromium

In de lijst van besturingssystemen op Pwn2Own zit enkel Windows en Apple systemen, en Google vindt hun eigen Chromium systeem belangrijk genoeg om ook dat soort aandacht te krijgen. Dus richtten ze zelf een paar jaar geleden een gelijkaardige wedstrijd in: “Pwnium”.
Ook dit jaar gaat die door, en wel vandaag, 7 maart in Vancouver.
Daarbij is het de bedoeling beveiligingsproblemen op te sporen in Chromium. En ze gooien er een symbolisch bedrag in prijzengeld tegenaan: “Pi miljoen dollar” of dus 3,14159 miljoen $. Dat wordt opgesplitst in een aantal prijzen, van 110.000 tot 150.000 dollar. Ze vinden dat hoge prijzengeld verantwoordt omdat de uitdaging om in hun systeem fouten te vinden, groter is dan in “traditionele besturingssystemen”.
Google maakt er een erezaak van om de gevonden fouten ook vliegensvlug te verbeteren. Na de Pwnium 2012 wedstrijd, werd minder dan 24 uur later een correctie uitgegeven voor de gevonden bug.

blog.chromium.org

In de ruimte

De Britse nanosatelliet Strand-1 gaat over een paar dagen een standaard Nexus One gsm met Android gebruiken. Deze speciale missie dient om de betrouwbaarheid van standaard consumententoestellen te testen in de ruimte. Daarnaast ook om te kijken of Android een waardig systeem is om te gebruiken in toekomstige goedkope ruimtetuigen.
STRaND is een afkorting voor “Surrey Training, Research and Nanosatellite Demonstration”. Het Britse programma steekt daarmee trouwens de NASA de loef af, want die gaan op hun “PhoneSat” missie in april ook twee Android toestellen lanceren: een Nexus One en een Nexus S.

Technologiegrenzen

In London ging gisteren en eergisteren de “Technology Frontiers 2013″ conferentie door. Honderden zakenmensen komen er samen om naar de toekomst te kijken, en naar een aantal inspirerende sprekers te luisteren.
De onderwerpen zijn dikwijls combinaties met technologie: technologie en de toekomst van de mens, technologie en politiek, technologie en interactie met de mens en tussen mensen, enz.
Eén van die sprekers was Eben Upton. Hij reikte het standpunt aan dat iedereen programmeur zou moeten zijn. Of toch dat onderzoekers en studenten minstens van programmeren zouden moeten geproefd hebben. Om dat doel te bereiken startte hij een organisatie en ontwierp hij een goedkoop computerbordje dat leerlingen moet aanzetten om op een creatieve manier te programmeren: de Raspberry Pi.

Hij stelde vast dat de generatie die opgroeide in de jaren 70 en begin jaren 80 beschikking had over redelijk goedkope basis computers. Typisch aan die toestellen was dat ze weinig konden en dat er programmeertalen bijzaten om zelf programma’s te maken of aan te passen. Enkele generaties later zijn computers consumenten-apparaten, afgeschermd om zo weinig mogelijk van de binnenkant te laten zien, en nog minder te laten wijzigen. Dat voelde hij bij zijn studenten, die hoe langer hoe minder over programmeren wisten, ondanks de grotere aanwezigheid van computers. Ze waren meestal al tevreden een beetje html te kennen, en hij moest de lessen aanpassen om terug elementaire basiskennis over programmeren aan te leren.

Zie ook www.gizmag.com