Twee gevaarlijke processorlekken in vrijwel alle computers ter wereld. Ja, ook jij hebt prijs

4 januari 2018

Er zijn twee grote bugs in chips gevonden die vrijwel in elke computer ter wereld worden gebruikt. Meltdown en Spectre zijn eigenlijk ontwerpfouten in de centrale chip van je toestel. Het eerste kan relatief eenvoudig worden verholpen, maar daardoor kan je computer tot 30% trager worden. Spectre kan voorlopig alleen goed worden gedicht door de chip te vervangen. Voor je wegklikt: besef wel dat je bijna zeker ook getroffen bent en dat kwaadwillenden, met behulp van malafide software, gegevens kunnen stelen die je computer op dat moment verwerkt. Niet alleen wachtwoorden, maar ook foto’s of documenten.

Over Meltdown schreven we eind november al. (Lees: Miljoenen laptops en pc's met Intel-chips zo lek als een mandje blijkt nu) Maar de bug is nu opnieuw in het nieuws omdat blijkt dat nog meer computers dan gedacht er het slachtoffer van zijn en omdat de oplossing voor het lek prestaties van computers kan aantasten, waardoor ze trager worden.

We weten ondertussen ook dat Meltdown zich niet beperkt tot Intel-chips: er zijn ook beveiligingsfouten gevonden in andere processors (waaronder die van producenten AMD en ARM). Deze andere variant wordt Spectre genoemd. Hiervoor is nog geen oplossing gevonden.

Wat en hoe?

Meltdown en Spectre zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers. Daarin worden onder meer wachtwoorden en andere gevoelige informatie bewaard. Spectre treft niet alleen computers, maar ook smartphones en bijvoorbeeld slimme thuisapparaten.

Meltdown en Spectre hebben vergelijkbare effecten maar werken op een andere manier. Meltdown treft in ieder geval chips van Intel, die populair zijn in laptops en computers met Windows, maar ook Mac-computers. Ook clouddiensten, bijvoorbeeld voor het aanbieden van webruimte, zijn kwetsbaar. Chips in smartphones en tablets komen er mogelijk beter van af, maar daar is nog veel onduidelijkheid over.

Normaliter is het geheugen van een computer zo beschermd dat een programma niet zomaar bij ander geheugen kan. Door een ontwerp in de Intel-chips kan een aanvaller echter doorbreken tot een speciaal, beschermd stuk van de computer. Vanuit daar kan een aanvaller bijvoorbeeld wachtwoorden onderscheppen en verder inbreken op het systeem.

Het beveiligingslek komt doordat computerprogramma's soms bij dat beschermde stuk van de computer, de kernel dus, moeten kunnen om stukken computercode uit te voeren. Nu blijkt echter dat die verzoeken niet voldoende waren afgeschermd.

Oplossing

Doordat die fout in de computerchip zit, kan hij eigenlijk alleen worden opgelost door een nieuwe chip te maken. Een tijdelijke oplossing zorgt ervoor dat computers tot 30% trager worden, omdat het besturingssysteem zoals Windows, OS X of Linux zelf moet gaan controleren of een computerprogramma inderdaad bij het beschermde stuk computer mag komen.

Meltdown is ontdekt door drie groepen onderzoekers: van de TU Graz in Oostenrijk, het Duitse beveiligingsbedrijf Cerberus Security en het team dat bij Google grote lekken onderzoekt: Project Zero.

Voor normale gebruikers is Meltdown een probleem als iemand met slechte bedoelingen er in slaagt computercode uit te voeren op hun computer of laptop. Dat is heus niet zo ingewikkeld: dat kan gebeuren door een phishingmail met malafide software te versturen, of websites te hacken en hun bezoekers te infecteren.

Microsoft en Apple hebben voor hun computers inmiddels software-updates uitgebracht. Ook Linux, een besturingssysteem dat op veel servers van clouddiensten wordt gebruikt, heeft een update gekregen.

Wie op oudere toestellen denkt te ontsnappen aan Meltdown: onderzoekers testten het lek en vonden ook kwetsbaarheden in chips uit 2011. Zelfs processors uit 1995 zouden getroffen kunnen zijn. De problemen maken geen onderscheid in het soort apparaat. Besturingssystemen als Windows, macOS en Android lopen trouwens evenveel risico.

Spectre: een ander paar mouwen

Spectre is een ander paar mouwen. Het werd ontdekt door Project Zero en beveiligingsonderzoeker Paul Kocher. De naam Spectre zegt veel: het is een verwijzing naar een criminele organisatie in James Bond-films, en de ontdekkers van de bug hebben 'm zo genoemd omdat er geen makkelijke oplossing voor bestaat. Het probleem zal onderzoekers de komende jaren blijven achtervolgen.

Spectre werkt op een iets andere manier dan Meltdown, en geeft kwaadwillenden toegang tot het geheugen dat door andere computerprogramma's wordt gebruikt. Daardoor zouden wachtwoorden van e-maildiensten, gevoelige documenten en andere privégegevens kunnen worden achterhaald.

Het Spectre-lek heeft niet alleen gevolgen voor laptops en computers, maar ook voor smartphones en tablets. Dat komt doordat ook de chips in die apparaten kwetsbaar zijn voor het lek.

Om misbruik te maken van dit probleem moeten wel meer stappen worden gezet dan bij het Meltdown-lek: misbruik is dus moeilijker. Maar tegelijkertijd is het lek moeilijker op te lossen: op dit moment is er geen goede, breed werkende oplossing.

Bijkomend probleem is dat het voor gebruikers niet mogelijk is om te ontdekken of iemand misbruik heeft gemaakt van het probleem, omdat er geen sporen achterblijven als iemand binnen is gekomen.

Omdat het om technisch erg ingewikkelde beveiligingsproblemen gaat, is de kans klein dat er op grotere schaal misbruik is gemaakt. Wel kunnen bijvoorbeeld inlichtingendiensten de lekken hebben misbruikt om doelwitten te bespioneren. Plus: nu de lekken naar buiten zijn gebracht, is de kans groot dat ook andere hackers de lekken wel gaan misbruiken.

Lees meer

Dit al gelezen?