Zo willen Google-hackers internet veiliger maken

Zo willen Google-hackers internet veiliger maken

09-04-2017 10:01 Laatste update: 26-04-2018 22:20

De hackers van de geheimzinnige Google-afdeling Project Zero zijn op een missie om internet veiliger te maken.

Androids en iPhones die te hacken zijn via de wifi-chip. Je LastPass-account dat wachtwoorden lekt. Of een lek bij Cloudflare waardoor miljoenen logins op straat lagen. Het zijn ernstige kwetsbaarheden die effect hebben op honderden miljoenen mensen. Eén ding hebben ze gemeen: ze zijn ontdekt door hackers van Googles Project Zero.

Google richtte de Project Zero-divisie in juli 2014 op. De naam is afgeleid van zeroday, de term die wordt gebruikt voor een nog niet bekende kwetsbaarheid. Zerodays zijn gewild door inlichtingendiensten en cybercriminelen, die deze lekken misbruiken om in te breken in onder andere laptops en smartphones.

Google hoopt met Project Zero zoveel mogelijk van deze zeroday-lekken op te sporen en te dichten. "Mensen moeten het internet kunnen gebruiken zonder bang te zijn dat hun privacy wordt geruïneerd door een verkeerde website te bezoeken", zei de voormalig Project Zero-baas Chris Evans in 2014 tegen Wired.

Openbare database

Hoeveel medewerkers er inmiddels in Project Zero-team zitten, weten we niet. Google reageerde niet op een verzoek om commentaar. Maar, een van die medewerkers is Gal Beniamini, de onderzoeker die het kwetsbaarheid in de wifi-chip van miljoenen smartphones ontdekte. Hij werkte voordat hij bij Project Zero aan de slag ging bij het Israëlische cyberleger.

Bekendere namen zijn de Nieuw-Zeelandse Ben Hawkes, die kwetsbaarheden in Flash en Office ontdekte, en de Britse Tavis Ormandy, die onder andere LastPass de laatste maanden flink onder de loep nam. Door Ormandy's bevindingen is één van de populairste wachtwoordbeheerders veel veiliger geworden.

Ook de Britse Project Zero-hacker Ian Beer is geen onbekende in de cybersecuritywereld: hij heeft een reeks kwetsbaarheden in onder andere iOS en OS X gevonden. En met succes: de gemiddelde update voor iOS dicht een reeks lekken die door Project Zero-onderzoekers zijn ontdekt. Alle kwetsbaarheden die door Project Zero zijn ontdekt worden in een openbare database bijgehouden. De kwetsbaarheid wordt pas gepubliceerd als deze is verholpen of als een bedrijf na negentig dagen nog steeds geen fix heeft uitgebracht.

Vooral altruïstisch

De vraag dringt op: waarom betaalt Google flinke salarissen om fouten in andermans hard- en software te vinden? Volgens Evans is het idee achter Project Zero 'vooral altruïstisch', maar Google heeft er indirect ook profijt van. Mensen die zich veilig voelen tijdens het surfen zijn sneller geneigd om op advertenties te klikken en lang te browsen. Ergo: meer geld voor Google.

Daarnaast werkt Google regelmatig met hard- en software van andere partijen. Neem bijvoorbeeld de wifi-chip in Android-telefoons. Het is natuurlijk niet handig om alleen de beveiliging van Android te verbeteren als een aanvaller ook via de wifi-chip het Android-systeem kan hacken.

NSA hackte Gmail

Het is niet geheel toevallig dat Project Zero een jaar na de NSA-onthullingen door Edward Snowden is opgericht. Daarin kwam Google regelmatig voor. Volgens de door Edward Snowden gelekte documenten had de NSA ingebroken bij Google om de communicatie van Gmail-gebruikers te lezen.

Brandon Downey, één van Googles techneuten die het netwerk veilig houdt, schreef destijds een welgemeende 'fuck deze gasten' op zijn Google+ pagina: "Terwijl ik dit eigenlijk verwachtte, maakt het me nog steeds enorm verdrietig." Die 'fuck deze gasten'-mentaliteit is mogelijk ook een reden waarom Google zijn Project Zero-divisie is gestart. "Googles beveiligingsteam is boos over de surveillance door de NSA", zei de Amerikaanse privacyonderzoeker Chris Soghoian tegen Wired. "En daar proberen ze nu iets aan te doen."

Zoveel mogelijk zerodays ontdekken

Omdat onze apparaten steeds beter worden beveiligd, worden kwetsbaarheden aan elkaar gekoppeld om een apparaat over te nemen. De Google-hackers richten zich voornamelijk op dit soort hacks die zerodays aan elkaar koppelen.

Stel: je wilt de iPhone hacken. Dan kan dat bijvoorbeeld via een malafide webpagina. Daarvoor moet je wel eerst een gat in de Safari-browser vinden dat je kunt misbruiken, om via de browser toegang te krijgen tot de smartphone. Dicht het gat en de aanvalsmethode werkt niet meer.

Dat is het doel van Project Zero: het internet en jouw apparaten veiliger maken door zoveel mogelijk zerodays te ontdekken. En ze zijn goed op weg.