Einige Googler haben selbst Erweiterungen für Chrome entwickelt. Eine Übersicht liefert Google hier. Eine der Erweiterungen heißt Secbrowsing und informiert über Sicherheitsupdate bei Plugins. Nun gab der Entwickler bekannt, dass seine Erweiterung fest in Google Chrome integriert wird.

Es ist Teil der Sicherheitsstrategie von Google Chrome im Umgang mit Plugins. Mittelfristig will Google die Ausführung von alten Pluginversionen unterbinden und so die Sicherheit der Nutzer deutlich erhöhen. In Google Chrome 6.0.466.0 ist die Erweiterung schon teilweise integriert. In der Übersicht wird bei alten Plugins neben einer Warnung auch ein Link zum Update angezeigt.

Diese Änderungen, die den Umgang mit Plugins verbessern werden in Google Chrome integriert bzw. sind schon:
-Bessere Einstellungen für Plugins
-Flash-Plugin aktualisiert sich automatisch
-PDFs werden in einer Sandbox mit einem von Google entwickelten Plugin angezeigt.
-Schutz vor veralteten Plugins
-Warnung, wenn selten genutzte Plugins ausgeführt werden sollen
-eine ”next generation plug-in API”

Wer schon jetzt mal testen möchte, ob seine Plugins aktuell sind, kann dies auf der Webseite des Googlers testen.

PS: Die Erweiterung ist nicht integriert, eher die Funktionen des Addons. 

Google hat die Version 5.0.375.99 von Google Chrome veröffentlicht. Neue Funktionen bringt das Update nicht mit, schließt aber insgesamt neun Sicherheitslücken.

Vier dieser Löcher sind als “High” eingestuft, eine als “Medium” und vier weitere als “low”. Das Sicherheitsupdate installiert sich wie immer in den nächsten Tagen automatisch bei alle Nutzern von Google Chrome 5. Wer das Update sofort auslösen möchte, klickt einfach auf den Schraubenschlüssel und wählt Info zu Google Chrome aus. Im Dialog wird ihm dann gezeigt, ob ein Update zur Verfügung steht und er kann es sofort installieren.

Für die vier als “high” eingestuften Lücken zahlt Google an die Entdecker insgesamt 2500$ (dreimal 500$ und einmal 1000$). Nicht alle Lücken sind auf Chrome direkt zurückzuführen sondern wurden zum Teil auch Third Party gefunden. (Memory corruption with invalid PNG (libpng bug))

Seit einiger Zeit gibt es bei Google Mail eine Alarmanlage. Wird Google Mail von zwei Orten geöffnet, die man binnen kurzer Zeit als normaler Mensch nicht erreichen kann, erscheint oben eine rote Leiste, die man übrigens nicht einfach ausblenden kann.

Wenn zum Beispiel ein Account in den USA genutzt wird und zwei Stunden später, greift jemand aus Frankreich darauf zu, ist es sehr unwahrscheinlich, dass dies der Nutzer ist. Der Hinweis soll es dem Nutzer klar machen, dass möglicherweise ein Eindringling auf sein Konto zugreift. Desweiteren sollte er so schnell es geht sein Passwort ändern.

Nun gibt es die Warnung auch für Nutzer ohne Google Mail, also eines normalen Google Accounts. Dass Google solche Warnungen anbietet finden wir sehr gut, weil es zur Sicherheit der Nutzer beiträgt. Doch die Art wie Google die Warnungen für Nicht-Google Mail-Nutzer zeigt, sollte überarbeitet werden. Derzeit findet man die rote Leiste nämlich nur auf dem Google Dashboard, das eine Auflistung aller Daten, die Google hat, anzeigt. 

Das Google Dashboard wird sicherlich nur von sehr, sehr, sehr wenigen Nutzer täglich besucht. Wünschenswert wäre es hier, dass man diese Warnungen auch in Google Docs, Google Calendar, Google Reader und Co sehen könnte. Dies wäre dann ein weiterer Schritt zu mehr Sicherheit für die Nutzer.

» Google Dashboard

Was nützt ein sicherer Browser mit Funktionen wie Sandboxing und automatischen Updates sowohl für Erweiterungen als auch die eigentliche Software, wenn in zahlreichen Plugins dennoch große Sicherheitslücken stecken.

Google möchte mittelfristig die Sicherheit der Nutzer erhöhen und veralte Plugin-Versionen nicht mehr ausführen. Um die Sicherheit zur erhöhen hat Google in Chrome 5 das Flash-Plugin integriert. Dieses wird dann automatisch aktualisiert. Mit Google Chrome 6 wird vermutlich auch ein einfaches PDF-Plugin mit dem Browser ausgeliefert. In den aktuelle Dev-Versionen ist es bereits drin. Es verfügt über Sandboxing und soll es so Angreifer möglichst schwer machen, Zugriff auf das gesamte System erschweren soll.

Besondere Hoffnung legt Google in die Plugin-APi Pepper, die NPAPI ablösen soll. Pepper wird gemeinsam mit Mozilla entwickelt.

Google hat mit der Veröffentlichung der Chrome Version 5.0.375.70 insgesamt zehn Lücken geschlossen. Neun dieser Lücken hat Google als High eingestuft, eine wurde mit Medium markiert.

Für eine der Lücken zahlt Google 2000$, ein anderer Reporter einer Lücke, erhält 500$ von Google. Zwei Lücken hat Apple gemeldet und die restlichen Löcher wurden vom Chrome Security Team entdeckt. Chrome aktualisiert sich automatisch auf die neue Version. Wer das Update sofort ausführen möchte, klickt auf den Schraubenschlüssel und dann auf Infos zu Google Chrome. Im Dialog kann man dann das Update auslösen, falls es noch nicht installiert wurde.

Details zu den Lücken

Google hat nun seine Sicherheitsrichtlinien zu Google Apps in einem Whitepaper veröffentlicht. Dabei geht es in erster Linie darum, die Transparenz von Google zu erhöhen und die Offenheit des Unternehmens zu stärken.

Was speichert Google? Wie speichert Google? Wie sind die Sicherheitsbedingungen vor Ort? Wie sieht die Rechtevergabe aus? Etc etc. stellt Google in seinem neuen Sicherheitskatalog fest. Dabei setzt das Unternehmen das Whitepaper dafür ein, dass das Kundenvertrauen gefestigt wird und Google besser in Sachen Datenschutz und Sicherheit in der Öffentlichkeit steht.

Was Google genau tut, um seine Server, Daten und Services abzusichern, kann man ab sofort nachlesen. Dies dürfte auch interessant für die Konkurrenz sein, die Google immer wieder vorwirft, dass Daten in der Cloud unsicher seien. Dies widerlegt Google mit diesem Dokument ganz klar.

» Blogeintrag (EN)
» Whitepaper: Sicherheit bei Google (EN, pdf)

Das lässt sich Microsoft nicht gefallen. Auf dem offiziellem Team-Blog schildert ein Microsoft-Mitarbeiter, warum Windows nicht unsicher ist. Gestern hatte ein Mitarbeiter von Google der FT gesagt, dass es bei Windows an der Sicherheit hängt und daher Google in Zukunft auf das Betriebssystem verzichten wird. 

Gestern berichteten wir, dass Google bald kein Windows Betriebssystem mehr einsetzen möchte. Heute meldet sich der Angestellte Brandon LeBlanc im Windows-Blog zu Wort. Ihm gefällt gar nicht, wie die Öffentlichkeit mit dem Thema Sicherheit in Windows umgeht. Schließlich hat Microsoft einen Ruf zu verlieren. 

“Wenn’s um das Thema Sicherheit geht, bestätigen uns selbst Hacker, dass wir einen besseren Job machen und unsere Produkte sicherer machen als jeder sonst. Und nicht nur die Hacker; Einflussreiche Dritte und Industriegrößen, wie Cisco, erzählen uns dass unser Fokus und die Investitionen weit über den anderer hinausgehen“, so LeBlanc.

Außerdem übt er scharfe Kritik an der Konkurrenz von Mac OS, die auch bei Google eingesetzt wird, und erwähnt einen Artikel der InfoWorld in dem es um die Sicherheit bei Mac geht und wie es in Zukunft aussehen wird, wenn das Betriebssystem auch bei Hackern beliebter wird. Auch Google selbst wird in die Kritik genommen: Immerhin hätte die Yale University aus Sicherheitsbedenken von Google Apps Abstand genommen.

Zuletzt fasst LeBlanc noch zusammen, was Sicherheit bei Windows bedeutet, wie etwa der Auto-Update-Mechanismus, Windows 7 ASLR (welches Daten im RAM zufällig verteilt), Windows 7 ansich mit der User-Account-Verwaltung und Internet Explorer 8 mit SmartScreen Filter.

Google möchte Sicherheit ins Unternehmen bringen. Dazu soll kein Mitarbeiter mehr das Microsoft-Betriebssystem Windows nutzen. Grund ist die Sicherheitslücke im Internet Explorer, die einen Hacker in das Google-System Einlass gewährte und chinesische Google-Accounts übernahmen.

Aus für Windows – Google stellt um 

Nach dem Hacker-Angriff im Januar auf chinesische Google-Accounts konzentriert sich jetzt Google darauf, dass keine weiteren Pannen passieren können. Dazu soll zunächst das Windows-Betriebssystem abgeschafft werden. Wie einige Google-Mitarbeiter im britischen “Financial Times” verlauten lassen gilt bald für die 20.000 Beschäftigten stricktes Windows-Verbot: “Wir nutzen kein Windows mehr. Das ist eine Sicherheitsmaßnahme. [...] Viele Leute sind nach den China-Hacking-Attacken weg von einem [Windows] PC, meistens hin zu einem Mac OS, gewechselt.“, auch seien viele zu Linux übergesiedelt.

Windows-Verbot – und dann?

Für viele Mitarbeiter ist Windows wichtig, besonders für Programmierer, die für Windows entwickeln und optimieren. Nicht aber jeder kann jetzt bei Google sich einen Windows-PC besorgen: Das benötigt die Zustimmung einer “höheren Ebene”, wie ein Software-Entwickler sagt: “Einen neuer Windows-Rechner benötigt ab jetzt die Zustimmung eines CIO“. Der CIO ist der IT-Chef und der überwacht genau, was seine Angestellten treiben.

Google steckt viel Arbeit in sein eigenes OS, Google Chrome OS, und das soll auch intern genutzt werden, “Viel davon ist eine Anstrengung, Dinge auf dem Google Produkt auszuführen [...] Sie wollen Dinge auf Chrome ausführen“, so ein Mitarbeiter. Fertig ist Das aber noch nicht und so will Google bis Ende 2010 alle Mitarbeiter mit Chrome OS versorgen.

Der erste Finale Kandidat für Chrome OS ist für Juli angesetzt, jedoch geht schon vorab eine Version an die Hersteller. Daher kann man davon ausgehen, dass einige Mitarbeiter schon vorher vom “Browser OS” nutzen machen.

Auslöser Hacker-Angriff in China

Ursprünglich war Googles Plan eigentlich der, dass man langsam von Windows wegkomme. Jedoch wurde Google Anfang 2010 Opfer eines Hacker-Angriff, der höchstwahrscheinlich von der chinesischen Regierung geplant war. DIe Sicherheitslücke bestand darin, dass ein Mitarbeiter mit dem Internet Explorer auf einen Link mit manipuliertem Inhalt geklickt hatte und sich dadurch ein Virus in das Google-System einschleichen konnte. 

Jetzt geht aber Google davon aus, dass Windows mehr Sicherheitslücken mit sich trägt, die noch nicht offen gelegt wurden und steigt so – so schnell wie möglich – auf Mac OS oder Linux um. 

Laut der New York Times (NYT) wurde im Januar angeblich beim Angriff auf Google das Authentifizierungssystem “Gaia” gehackt. Bislang hat man zu den Vorfällen geschwiegen. Das Gaia-System dient als zentrale Anlaufstelle für Logins von Google-Nutzern und -Mitarbeitern.

Langsam kommen die Details zum Hacker-Angriff im Januar zu Tage. Zunächst sprach man davon, dass Googler den Angriff herbeigeführt haben könnten, später wurde über Datenmanipulation gesprochen. Doch es könnte noch viel schlimmer kommen: Angeblich sei das Passwort-System “Gaia” gehackt worden. Dabei sei Code vom System auf fremde Rechner kopiert worden. Damit könnten die Angreifer Lücken ausfindig machen und Google gezielt angreifen und Benutzerdaten ausspähen.

Lücke sei ein Google-Mitarbeiter
Ein Google-Mitarbeiter hätte mit dem Angreifer gechattet und dabei einen Link im Internet Explorer geöffnet, wobei der Internet Explorer vermutlich eine Lücke hatte und dadurch der Angreifer auf das System des Mitarbeiters und später auch in das Google-eigene System vordringen konnte.

Google hat schnell reagiert
Google hat schnell nachgebessert und die Sicherheit von Gaia nochmals erhöht. Dabei sollen Sicherheitsmechanismen in unbekannten Umfang eingebaut worden sein.

Gaia-System als Single-Sign-On
Das Account-System ist aber schon soweit ausgreift, dass Eindringlinge kaum eine Chance hätten. Wäre aber dazu jemand in der Lage, hängen Millionen von Accounts am seidenen Faden. Weil Google den Angreifer bei der chinesischen Regierung vermutet, hat Google die Beziehungen abgebrochen und Google China offiziell geschlossen. 

» Chip

Google hat einen Web-Security-Scanner entwickelt, welcher Webseiten nach Lücken absuchen kann. In Tests kam Google auf 2000 Anfragen pro Sekunde. Das in C geschriebene Programm soll bei den Google-Anwendungen für Sicherheit sorgen, der Code ist aber schon frei verfügbar.

Durch die Verwendung der C-Sprache ist das Tool sehr schnell unterwegs. In lokalen Tests bei Google (im LAN) sollen schon 7000 Anfragen / Sekunde erreicht wurden sein, und die CPU soll dabei Cool geblieben sein.

Doch was ist Skipfish eigentlich? 
Skipfish nennt sich ein neues Tool, welches Sicherheitslücken in Webseiten aufspüren kann. Es arbeitet, ähnlich wie Nmap oder Nessus – es durchsucht die Webseiten nach XSS-Lücken, SQL- und XML-Injektions und zeigt in einem umfassenden Bericht, ob die Webseite sicher ist und an welcher Stelle man noch nachbessern muss. Es ist ein kleines Commandline-Tool für Unix (auch Mac OS) und ist ebenso schnell geladen wie es durchgegangen ist.

Man findet das Tool auf der Google Code-Plattform und kann es natürlich für eigene Zwecke nutzen. Es steht unter der Apache Lizenz 2.0, ist daher frei und kompatibel zur GPL.

Sicherheitsexperten der USA wollen den chinesischen Programmierer identifiziert haben, der bei den Angriffen auf Google und andere Unternehmen beteiligt gewesen sein soll. Das berichtet die Financial Times, die sich auf Sicherheitsexperten der US-Regierung beruft.

Ein circa 30-jähriger Sicherheitsberater soll den Code geschrieben und einige Teile in einem Crackerforum veröffentlicht haben. Die Zeitung schreibt weiter, dass die Regierung Chinas über Zugriff auf die Arbeiten verfüge. Der Mann arbeitete nicht ständig für die Regierung und soll nur widerwillig beim Hack geholfen haben. Beim Angriff auf Google soll er aber nicht beteiligt gewesen. “Er würde lieber ohne Militärs im Rücken arbeiten, doch jemand mit seinen Fähigkeiten hat keine Chance, da herauszukommen”, sagte der US-Sicherheitsexperte.

Gemeinsam mit dem Geheimdienst NSA will Google seine Sicherheitsstruktur überarbeiten und weitere Angriffe verhindern.

Google hat einen Safety Mode für YouTube vorgestellt. Am Ende jeder Seite auf YouTube findet man nun den Link „Sicherer Modus ist deaktiviert“ bzw. „Safety Mode is off“. Je nachdem ob er Nutzer angemeldet ist oder nicht, wird ein Cookie erstellt oder der sicherere Modus mit dem Account Passwort geschützt.

Mit „Verwende den sicheren Modus von YouTube, wenn du keine Videos sehen möchtest, die möglicherweise anstößigen Content enthalten. Da dieser Modus nicht zu 100 Prozent genau ist, nutzen wir Meldungen der Community sowie andere Content-Signale, um unangemessenen Content zu identifizieren und herauszufiltern,“ beschreibt Google die Funktion.

Ist der sichere Modus aktiviert, so findet man oben neben der Suche einen entsprechenden Hinweis.

Google will nach dem Hackerangriff mit dem Geheimdienst NSA (National Security Agency) zusammenarbeiten. Die Behörde erhält keine Zugriff auf Nutzerdaten, sondern soll helfen in Zukunft besser gegen Angriffe geschützt zu sein. 

Google möchte gemeinsam mit der NSA die Systemstruktur zu verbessern und diese so besser gegen Angriffe zu schützen. Laut Washington Post habe das NSA auch das FBI und das Heimatschutzministerium um Hilfe geben. Bis ein Vertrag beschlossen ist, kann es allerdings noch einige Zeit dauern. Die Verhandlungen können sich über mehrere Wochen hinziehen.

Wer Google eine Sicherheitslücke in Chrome bzw. Chromium meldet, kann unter Umständen bis zu 1337$ verdienen. Diese Prämie kann jeder Freiwillige bekommen. Als gefährlich eingestufte Lücken honoriert Google mit 500$. Etwas ähnliches gibt es auch bei Mozilla.

Sollte eine Lücke etwas Besonderes aufweisen, entscheidet eine Jury darüber ob die 1337$ ausgezahlt werden. Die Prämie gibt es allerdings nicht wenn es sich um eine Lücke in einem Plugin (Quicktime, Flash…) handelt.

Details gibt es hier.

Möglicherweise waren auch Googler beim Angriff auf Google im Dezember beteiligt. Reuters meldet, dass man derzeit prüfe, ob Google Mitarbeiter beim Hack geholfen haben. Die Nachrichten Agentur gibt an, dass man dies aus mit der Angelegenheit vertrauten Kreisen erfahren hat.

Eine Sprecherin lehnte einen Kommentar zu “Gerüchten und Spekulationen” ab. Weiter ist es noch nicht entschieden ob, sich Google wirklich aus China zurückzieht. Vor allem in China gab es Meldungen, dass die Entscheidung bereits gefallen ist. 

In den kommenden Tagen werden die Gespräche zwischen Google und der chinesischen Regierung beginnen. Berichten, dass Google seinen chinesischen Mitarbeitern den Zugriff auf das interne Netz entzogen hat, widersprach das Unternehmen. Man habe den Googlern lediglich einen Tag freigeben, um Tests und Scans durchzuführen um sicherzustellen, dass das Netzwerk sicher und gut abgesichert ist.

[Spiegel]