Google heeft een zogenaamd Advanced Protection Program geïntroduceerd, waarmee gevoelige accounts van bijvoorbeeld politici of journalisten beter beschermd kunnen worden. Tweakers sprak daarnaast met Stephan Somogyi over beveiliging en privacy bij Google.
Google schrijft dat alle gebruikers met een persoonlijk Gmail-account zich voor het programma kunnen aanmelden. Dat bestaat momenteel uit drie aanvullende beschermingsmaatregelen. Zo vereist het programma het gebruik van twee hardwaresleutels voor beveiliging van het account die dienst doen als een vorm van tweetrapsauthenticatie. Die moeten gebruikers aanschaffen. Google verwijst gebruikers op het moment van schrijven via de Nederlandstalige pagina door naar Amazon voor een aanschaf, maar die levert de bluetoothsleutel niet naar de Benelux.
Daarnaast schermt het programma de Gmail- en Drive-bestanden af van niet vertrouwde apps van derden. Ook kunnen gebruikers alleen nog de Chrome-browser voor apps als Gmail of Photos gebruiken en krijgen standaard iOS-apps geen toegang meer tot Gmail, de agenda en contacten op het mobiele besturingssysteem. De laatste maatregel bestaat uit een uitgebreidere procedure voor accountherstel, waarbij Google om meer details vraagt.
Tweakers sprak met Google-medewerker Stephan Somogyi, die werkzaam is binnen het team voor beveiliging en privacy, over het programma toen er alleen nog geruchten bekend waren. Somogyi wilde destijds niet inhoudelijk ingaan op de geruchten, maar zei: “We kunnen altijd dingen beter doen en niet alles is ook daadwerkelijk geschikt voor al onze gebruikers. Sommigen lopen meer risico dan anderen. We moeten uitzoeken op welke plaatsen we dingen makkelijker kunnen maken.”
Datzelfde zou gelden op het gebied van de waarschuwingen die Google aan al zijn gebruikers toont. “Je moet ervoor oppassen dat mensen geen waarschuwingsmoeheid ontwikkelen. Er is nog steeds een bedroevend groot aantal personen dat onze waarschuwingen negeert.” Daarmee doelt hij bijvoorbeeld op meldingen van Safe Browsing, waaraan hij zelf heeft meegewerkt. Dat moet gebruikers voornamelijk beschermen tegen kwaadaardige websites en phishing. Somogyi: “Je ziet dat tegenwoordig bijna alle veelvoorkomende aanvallen bestaan uit social engineering.”
Dat zou komen doordat criminelen er steeds op uit zijn om hun winst te maximaliseren en de gebruikers zelf nog altijd de zwakste schakel zijn. “Social engineering is een erg vaag en grijs gebied, waardoor we steeds nieuwe oplossingen moeten bedenken. Dat is een doorlopend proces waarbij we gebruikers betere beslissingen willen laten nemen zonder al te beschermend over te komen. Bovendien kunnen opvattingen in de loop van de tijd veranderen, kijk maar naar de oude NIST-richtlijnen over wachtwoorden of naar de beslissing om auto-updates in Chrome door te voeren, wat destijds als ketterij werd gezien.”
Op de vraag hoe Google omgaat met via phishing gekaapte Chrome-extensies zegt Somogyi: “Op het moment dat we vaststellen dat zoiets gebeurt moeten we kijken of we ons kunnen aanpassen. We willen bijvoorbeeld geen verandering doorvoeren waarmee we ontwikkelaars te veel beperken. Aan de andere kant is een krachtige api natuurlijk wel een tweesnijdend zwaard. Ik denk niet dat we het ooit volledig zullen perfectioneren, omdat het een afweging blijft”.
Ook sprak Tweakers Somogyi over Googles relatie tot privacy. Het bedrijf besteedt in zijn communicatie veel aandacht aan de beveiliging van zijn producten, maar brengt bijvoorbeeld geen echte privacyproducten uit. Het werkte wel aan een extensie voor end-to-endencryptie voor e-mail, maar maakte die aan het begin van het jaar opensource en stelde dat het niet meer om een Google-project ging. De Google-medewerker antwoordt daarop dat het in dat geval net zo goed om een beveiligingsproduct kan gaan en dat volgens hem privacy niet bestaat zonder beveiliging.
“Een mogelijke verklaring is dat Google heel slecht is in privacymarketing”, vervolgt hij. “Ik zou willen dat het net zo eenvoudig was om privacytechnieken uit te leggen als uitleg geven over beveiligingsmaatregelen. Onze gebruikers zouden ervan uit moeten kunnen gaan dat we net als op beveiligingsgebied ons best doen voor privacy.” Op de vraag of Google het nodige vertrouwen van gebruikers mist om privacyproducten aan te bieden, zei Somogyi alleen: “Het zou niet goed voelen om nu privacy met een enkel product te pushen. We proberen privacy in al onze producten op te nemen in plaats van een enkel product aan te bieden.”