Google, Apple, Microsoft en Adobe hebben de afgelopen week de kolen overgehaald omdat hun nieuwste producten allemaal werden gehackt op Pwnfest 2016 in Seoul. Windows 10, Android 7.1 en MacOS Sierra vielen allemaal in slechts enkele ogenblikken uit browsergebaseerde exploits, waardoor leden van het Chinese Qihoo 360-team volledige toegang kregen tot alle admin-functies en een gezonde premie voor de mensen die binnenkwamen. En Flash, Nou, het was gewoon Flash en werd sneller gehackt dan het zichzelf op een webpagina kan laden.
Natuurlijk waren ze dat. Dat zijn ze bijna altijd. En dat zullen ze bijna altijd blijven.
Ik was hierover met een vriend aan het chatten. Ze is geen nerd en was verrast dat dit kon gebeuren. Ze was meer verrast toen ze ontdekte dat deze producten elk jaar worden gehackt. Deze bedrijven staan tenslotte ergens op een podium en vertellen je hoeveel geld en tijd ze spenderen om dit product de veiligste versie ooit te maken, dus denken dat ze onkwetsbaar zijn, is logisch. Maar geen software is onkwetsbaar omdat dat gewoon niet mogelijk is.
Hoe snel het wordt opgelost - en niet hoe snel het wordt gehackt - is waar het echt om gaat.
Deze exploits werden allemaal ethisch gerapporteerd. Dat betekent dat het team Google (en alle anderen met een product dat kapot is gegaan) heeft verteld hoe ze het hebben gedaan en het aan niemand anders hebben verteld. Maar door te zien hoe ze zijn geïnitieerd, lijkt het erop dat zoiets als Javascript (of een ander gemeenschappelijk webplatform) is uitgebuit. Deze uitbuiting bestond niet toen Android 7.1 of Windows 10 of MacOS Sierra (en ik mis OS X al) werden ontwikkeld, dus het is zeker dat er geen code is ingevoerd om af te handelen wat er zou gebeuren. Je kunt gewoon niet in veilige fallbacks schrijven voor alles wat er zou kunnen gebeuren en als je zou kunnen zou de software miljarden dollars waard zijn. Hackers weten dit en de mensen die de code schrijven die wordt aangevallen, weten het. De enige mensen die het zouden moeten weten, maar het niet lijken te zijn, zijn de media die het melden als iets ongehoords en sensationeels wanneer het echt alledaags en verwacht is.
Uw telefoon met Android 7.1 (of uw computer met Windows 10 of MacOS Sierra) is waarschijnlijk de veiligste versie van het besturingssysteem dat ooit is gebouwd. Maar het is alleen beveiligd tegen dingen die de mensen die het bouwden wisten, en tegen zichzelf. Mensen zijn al bezig met het vinden van een bug of misbruik in iets anders en kijken hoe ze het kunnen gebruiken om alles te laten crashen en op de grond te verbranden. Sommige van die mensen doen het om de juiste redenen - een kwart miljoen contant geld om het te vinden en de betrokken bedrijven te vertellen is de beste en meest juiste reden aller tijden. Anderen doen het in de hoop dat ze uw creditcardnummer kunnen krijgen. Beide soorten mensen zullen succesvol zijn en alles wat je gebruikt zal worden gehackt omdat het vol zit met bugs en gaten.
Zelfs mijn BlackBerry Priv, die door sommigen als onaantastbaar wordt beschouwd, is waarschijnlijk al ergens gehackt door iemand, die weet dat het "verspillen" van een exploit tegen een telefoon die bijna niemand gebruikt, niet de manier is om een aantal kaartnummers te krijgen. Het is beter om erop te gaan zitten en hopen dat je een beter doelwit kunt vinden, omdat het eenmaal is opgelost. Het eerste wat je doet als je een Linux-exploit vindt, is om te zien hoe je het tegen een Windows-computer kunt gebruiken, omdat het doel is om het op zoveel mogelijk machines te krijgen.
Uw telefoon gebruikt software die wordt gehackt. De mensen die het schrijven hebben zich erop voorbereid.
Kijk naar de telefoon in je handen. Er staat software op die zal worden gehackt. Weet dit. Maar weet ook dat er waarschijnlijk andere factoren zijn die mogelijke schade beperken en het bedrijf dat die software heeft geschreven, heeft een methode waarmee ze het kunnen repareren en proberen het zo snel mogelijk bij u te krijgen. Dat is het ding om al dit hacknieuws weg te nemen. Het gaat erom hoe snel de bugs worden opgelost, want bugs zitten in elk stukje software dat ooit is geschreven. Zo wordt software elke keer dat deze wordt bijgewerkt, beter.
Het is altijd zo geweest en het enige dat is veranderd, is hoeveel aandacht het krijgt.
