3 Raisons pour lesquelles chromebook ne résout pas les problèmes de sécurité numérique
ChromeOS de Google, à première vue, est quelque chose d`un touché pour la sécurité du système d`exploitation. Il est probablement le système d`exploitation le plus sûr dans le monde (au prix de des fonctionnalités limitées
Contenu
Mais d`abord, les bonnes nouvelles:
ChromeOS (le système d`exploitation linux stripped-down qui fonctionne sur netbooks de marque-chrome bon marché) A un tas de fonctionnalités vraiment agréable pour les utilisateurs soucieux de la sécurité. Le code bootloader est stocké dans la mémoire en lecture seule, et vérifie la signature numérique du noyau du système d`exploitation avant démarrage (la fonction « démarrage vérifié »). Parce que le bootloader est en ROM, les pirates ne peuvent pas modifier éventuellement sans altération physique avec la puce. Si les fichiers système ne le chèque, le bootloader simplement réinitialiser l`ensemble de la machine aux réglages d`usine, détruisant tout code malveillant qui aurait été inséré.
La sécurité de la plate-forme est encore renforcée, car il est basé sur des applications web, qui sont exécutés dans un bac à sable: leurs fils et la mémoire sont maintenus séparés, ce qui empêche théoriquement une application web malveillant d`accéder aux informations ou prendre le contrôle d`autres applications. Mises à jour système correctifs de sécurité sont appliquées automatiquement et invisiblement lorsque l`ordinateur est connecté au réseau, afin d`assurer que les Chromebooks sont toujours à jour. Il y a même quelques options de sécurité vous pouvez activer pour protéger l`appareil contre les pirates avec un accès physique au dispositif. Essayer d`obtenir des logiciels malveillants sur une machine ChromeOS est pas une tâche enviable. Vous pouvez en savoir plus sur la sécurité de la plate-forme ChromeOS ici.Sécurisation de votre Chromebook avec deux facile TweaksSécurisation de votre Chromebook avec deux facile TweaksL`un des avantages les plus vantés d`un Chromebook est sa sécurité. Mais y at-il des mesures que les propriétaires peuvent prendre qui permettront d`améliorer et d`améliorer le niveau actuel de protection?Lire la suite
Donc quel est le problème?
Video: Episode 7 : Google Chrome problème de connection
Vous ne pouvez pas confiance à la Sandbox
Malheureusement, la sécurité offerte par Internet sandboxing est en grande partie informelle et non prouvée. Beaucoup de bacs à sable, y compris Java, ont eu des bugs découverts qui ont permis aux applications de sortir d`eux et d`exécuter des instructions arbitraires sur la machine. Chrome lui-même a eu des attaques sans précédent contre sandbox démontré par des pirates chapeau noir. Ces exploits spécifiques sont maintenant fixés, mais il n`y a aucune garantie qu`il n`y a pas plus. Rik Ferguson, un chercheur en sécurité, il met comme ceci:
« Exploits qui éclatent de sandboxing ont déjà été démontrées pour Internet Explorer, pour Java, pour Google Android et bien sûr pour le navigateur Chrome (pour ne citer que quelques-uns), tandis que le bac à sable Google est efficace, il est impénétrable et de compter sur 100 pour la sécurité pour cent serait à courte vue « .
Le pire délinquant est le web interactif ici, en particulier WebGL, une implémentation d`OpenGL (une bibliothèque graphique commune) destinés à être utilisés dans les navigateurs Web. WebGL vous permet d`exécuter graphiquement impressionnantes démos 3D à partir de votre navigateur, ce qui est vraiment cool (comme ces exemples), mais, malheureusement, il est aussi un cauchemar pour la sécurité. WebGL permet aux applications web d`envoyer des instructions de shader arbitraires à la carte vidéo de la machine, qui permet à un ensemble arc-en-imagination de peut-être des exploits révolutionnaire bac à sable. la position officielle de Microsoft est que WebGL est trop précaire pour un usage interne:
«La sécurité de WebGL dans son ensemble dépend des niveaux inférieurs du système, y compris les pilotes OEM, le maintien de la sécurité garantit qu`ils jamais vraiment besoin de se soucier avant. Les attaques qui peuvent avoir déjà donné lieu seulement en élévation locale des privilèges peut entraîner maintenant la compromission à distance. Bien qu`il puisse être possible d`atténuer ces risques dans une certaine mesure, la grande surface d`attaque exposée par WebGL demeure une préoccupation. Nous nous attendons à des bugs qui existent uniquement sur certaines plateformes ou avec certaines cartes vidéo, potentiellement faciliter les attaques ciblées « .
Vous ne pouvez pas faire confiance Cloud
Pire encore que les menaces possibles contre le bac à sable, cependant, est la nature de la plate-forme elle-même. Chromebooks, par la conception, dépendent en grande partie sur le nuage. Si vous accidentellement votre Chromebook détruire (par, par exemple, en marchant sur ou tomber dans un lac de la roche en fusion), vos données ne sont pas disparu. Vous pouvez simplement acheter un nouveau, connectez-vous et obtenir toutes vos données et paramètres sur.
Malheureusement, ce qui expose les utilisateurs à des risques considérables sur le côté nuage de l`équation. Sean Gallagher d`Ars Technica souligne dans son éditorial: « Pourquoi la NSA aime Chromebook de Google, » nous savons que la NSA a eu (et peut-être encore) backdoors envahissantes dans le stockage en nuage de Google, et peut l`utiliser pour espionner tous les fichiers des utilisateurs Drive, y compris ceux utilisant Chromebooks. Comme le dit Gallagher,
«Rien de tout cela est nécessairement la faute de Google. Mais il est une faiblesse du navigateur comme plate-forme en appuyant sur presque toutes les ressources informatiques pour les applications, en plus de la présentation, sauvegardez dans le nuage, le modèle Chromebook crée un guichet unique pour les attaquants ou les observateurs de s`injecter dans votre monde informatique. »
Il est non seulement la NSA, que ce soit. Alors que le bootloader de confiance peut vous protéger contre les modifications malveillantes persistantes, au système d`exploitation qui rendent compte de vos faits et gestes, même une seule violation de la sécurité par une application web pourrait être suffisant pour voler vos clés et les détails d`authentification, ce qui pourrait alors utiliser pour accéder vos données de nuages et parcourir à loisir.
Applications natives ARRIVENT
Pour aggraver les choses, le bac à sable de ChromeOS n`est pas un paradigme particulièrement pur: les extensions du navigateur qui fonctionnent sur des pages web, comme Adblock Plus et Google Translate sont du code natif en cours d`exécution sur la machine, et ils peuvent faire toutes sortes de choses désagréables ( y compris l`affichage publicitaire et d`espionnage sur vos mots de passe). Il y a même des extensions que vous pouvez télécharger que détecter et supprimer d`autres extensions malicieuses - une forme du logiciel anti-virus qui ChromeOS n`est pas censé avoir besoin. Au crédit de Google, ChromeOS n`installer des applications à partir du magasin d`extension Chrome qui ont déjà obtenu par le processus d`approbation de Google. Malheureusement, ce processus de vérification repose sur le jugement humain, et les garanties fournies par ce vetting sont beaucoup plus faibles que ceux fournis par une bonne sandboxing.
Video: 11 - Le NAT - Comprendre comment marche Internet?
Il y a pire: Google prévoit de mettre en œuvre des applications natives sous la forme d`applications Android, exécutez dans ChromeOS via une couche d`interface. Ceux-ci seraient des applications natives qui introduisent une largeur entière et la profondeur des problèmes de sécurité à ChromeOS, et les problèmes de sécurité sont d`autant plus grave la vulnérabilité relative du nuage au vol clé. Sont plus graves infractions quand ils sont invisibles et persistants.
Maintenant, bien sûr, toutes les applications Android sur ChromeOS permis seront vraisemblablement soigneusement sélectionnées par l`équipe de Google pour le code malveillant, mais qui est tout simplement pas assez forte garantie pour accrocher la sécurité de la machine. Même si le code est malveillant, ils vont certainement venir avec leurs propres exploits et vulnérabilités qui pourraient être utilisées pour accéder au système d`exploitation. Le code natif est dangereux, et viole les principes de sécurité qui sont destinés à maintenir ChromeOS en toute sécurité.
ChromeOS: sécurité, mais suscite des préoccupations
Il vaut la peine de prendre un moment ici pour rappeler que ChromeOS est très garantir. Si vous utilisez Windows, Linux ou Mac OS X, ChromeOS est pas de géant plus sûr. En fait, c`est vrai essentiellement tout système d`exploitation, sauf Plan 9, un système d`exploitation hyper-sécurisé si obscur qu`il évite les logiciels malveillants au moins partiellement par ne pas avoir de « articles » à proprement parler. Toutefois, ne prenez pas cela comme une excuse pour être négligent: de graves problèmes de sécurité sur ChromeOS demeurent, et il vaut la peine d`être conscient d`entre eux lorsque vous faites confiance à votre ordinateur avec des informations sensibles.