In het kort stelt Google dat vanwege de sandbox functionaliteit, het auto-herstel proces bij opstart EN het feit dat alle data in de cloud is opgeslagen, een Chromebook geen Anti-Virus nodig heeft. Dapper, en deels misschien ook nog wel waar, maar voor mensen waarvoor Endpoint Security ophoudt bij Anti-Virus betekent een dergelijke stelling waarschijnlijk zoveel als dat je met een Chromebook gegarandeerd veilig bent. FOUT.
Maar goed, voor security-correspondent Andy Greenberg van Forbes was dit blogartikel voldoende om zich af te vragen of het nu gedaan is met Anti-Virus producenten in zijn eigen Blog...
... wat vervolgens weer leidde tot een overhaaste reactie van George Kurtz (CTO, McAfee) dat Anti-Virus misschien niet meer nodig is, maar dat andere vormen van Security (bijv. Application Whitelisting) nog steeds heel bruikbaar zijn...
... wat daarna weer leidde tot een artikel op Security.nl getiteld "Chromebook betekent einde virusscanner"...
Ik ben natuurlijk hierover gaan nadenken en wilde vandaag een reactie schrijven om aan te geven dat volgens mij de sessie van een gebruiker op een Chromebook toch echt gecompromiteerd kan worden. En dat die sessie voldoende kan bieden aan een hacker (passwords, creditcard nrs, etc.) om schade toe te brengen. En ook al draait Chromebook zijn apps op het internet, er zijn altijd lokale applicaties, zoals de browser. Deze discussie komt ook enigszins overeen met de vraag of een Virtual Desktop die telkens terugkeert naar een Golden Image nog Anti-Virus nodig heeft. NEE!, want alle data wordt verwijderd bij terugkeer naar het Golden Image, zeiden de tegenstanders. JA!, want die data kan genoeg schade toebrengen gedurende de sessie van de gebruiker, zeiden de voorstanders.
Het verschil tussen de Chromebook en VDI discussies is dat er evenveel (zo niet meer) vulnerabilities in een Virtual (Windows-based) Desktop bestaan als in een Fysieke (Windows-based) Desktop en dat die dus even actief worden misbruikt. Maar de stelling dat een Chromebook geen vulnerabilties bevat, durft Google denk ik niet aan. Waarom zouden ze anders een auto-herstel functie maken?
Dus ik ging nog eens teruglezen wat de verschillende meningen zijn over deze stelling van Chromebook en kwam daarmee nog even op het artikel van Andy Greenberg, Forbes. En wat blijkt: na publicatie van het artikel heeft meneer Greenberg even een kleine update gedaan (wanneer is niet duidelijk) omdat zijn beweringen toch op wat verweer stuitte. De update:
A critical response post at Tom’s Tech Blog points out a few issues I missed here. Google is releasing a software development kit for native applications, which could potentially introduce security vulnerabilities. And with regard to Charlie Miller’s quote above, even a hijacked browser could potentially steal a user’s credentials, which could allow access to his or her cloud-stored data. (Though the point remains that this isn’t an issue that necessarily can be fixed by antivirus software.) Apologies for these oversights.
Fijne nuance is dat. Jammer dat een dergelijke update niet uiteindelijk ook beland bij Security.nl en dat mensen die niet verder lezen dus nog steeds in de veronderstelling zijn dat hun Chromebook onbreekbaar is.
Google valt niets te verwijten, hun stelling is juist: een Chromebook heeft geen Anti-Virus nodig. George Kurtz heeft echter ook gelijk: om ook gedurende de gebruikerssessie misbruik te voorkomen, is Whitelisting nog steeds wel van absolute toegevoegde waarde.
En oh ja dan nog iets: we willen toch niet serieus beweren dat zakelijke gebruikers bewust hun data bij Google gaan opslaan? Als je naar de reacties op Security.nl kijkt in elk geval niet. Ik ben benieuwd hoe IT afdelingen in zakelijke omgevingen voorbereid zijn op de eerste hippe manager die straks aan komt wandelen met zijn Chromebook om even te laten syncen met Exchange. Veel succes daarmee...
