Robert Hansen forklarer i greie begrep at han ble lei av at Google ikke tettet hullet han rapporterte og som de fortsatt ikke har rettet.

Annonse


Defcon-eksperter: – Google lyver!

LAS VEGAS (ITavisen): Sikkerhetseksperter går til frontalangrep på Google.

Google sliter med gamle hull

Årets Defcon er godt i gang og ITavisen var på foredraget om sikkerheten til Google. Foredraget ble holdt av sikkerhetsekspertene/hackerne Tom Stracener og Robert Hansen og ble avsluttet for få minutter siden.

Det ekspertene hadde å avsløre var ikke småtterier. Kort fortalt har Google enda ikke tettet et fem år gammelt hull som andre store selskaper for lengst har ordnet opp i.

Visa og eBay kjappe

Kortselskapet Visa brukte noen timer, mens eBay brukte noen uker ifølge Hansen. Hullet Google fortsatt ikke har tettet kan ifølge ekspertene kan brukes til å lure surfere fra sikre til farlige nettsider med phishing.

Annonse


På denne måten kan man lure brukere til nettsider som er farlige og som kan snappe opp både brukernavn og passord. Dette helt uten at brukerne vet noe om hva som foregår.

Pengemaskin?

– Google, hvorfor fikser dere ikke dette, spurte Hansen. Svaret hans er at selskapet tjener penger på hullet. Pengene kommer i form av at hullet gjør det mulig å følge med på hva brukeren foretar seg på nett.

I tillegg ville feeling-lucky-knappen forsvinne. Skal vi tro hackerne på årets Defcon ville ikke denne funksjonen være et savn. Kun en person rakk opp hånda når det ble spurt om hvor mange som brukte den.

Mange møtte opp for å høre på foredraget til Tom Stracener og Robert Hansen.
(Ill.: Trond Bie/ITavisen)

Hansen gikk hardt ut mot giganten og sa i sin presentasjon at Google lyver til sine kunder og til sikkerhetsekspertene som rapporterer hullene til dem. Ifølge Stracener har ikke Google rettet hull de påstår de har rettet. Hansen fortalte at han satt på hullet i 2 år før han ble lei og avslørte hvordan det kunne utnyttes.

– Google Gadgets er farlig

Det stopper ikke med vanlige nettsider. Ifølge de to kan Google Gadgets bli et stort problem i fremtiden.

Også Google har humor. Inne i Google Gadgets-koden fant ekspertene følgende tekst.
(Ill.: Trond Bie/ITavisen)

Hovedsakelig fordi disse små-programmene installeres på maskinen og er laget av tredjepartspersoner man overhodet ikke kan vite om vil deg eller maskinen din godt. Man kan derfor ikke vite hva programmene inneholder av kode.

Ekspertene demonstrerte flere forskjellige måter å utnytte Google Gadgets til å lure uvitende surfere over på farlige nettsider. Google tar heller ikke noe ansvar for Gadgets og spørsmål man måtte ha om en Gadget må ifølge søkegiganten rettes mot utvikler.

Hansen listet opp en rekke ting som Google Gadgets i fremtiden kan brukes til: DDOS-angrep, spyware og stjele cookies. I tillegg tror Hansen at det vil være en stor mulighet for at hackere vil misbruke Gadgets til å lage phishing-sider.

Vi beklager den dårlige kvaliteten på bildene som skyldes dårlige lysforhold.

Annonse