De Black Hat cyber security-conferentie in Las Vegas.
De Black Hat cyber security-conferentie in Las Vegas. ┬ę REUTERS

Amsterdammers winnen hackersprijs, maar lopen beloning mis

Op een jaarlijkse bijeenkomst van hackers in Las Vegas hebben onderzoekers van de Vrije Universiteit in Amsterdam de prijs in de wacht gesleept voor 'meest innovatieve onderzoek'. Het resultaat van hun bevindingen kan zijn dat zelfs de veiligste computer niet meer is opgewassen tegen spionage via internet.

De onderscheiding die de Amsterdammers is toegekend is een Pwnie Award. De Pwnie Awards zijn vernoemd naar het woord 'pwn', wat hackersjargon is voor het compromitteren en controleren van een systeem. De onderscheidingen werden uitgereikt op de Black Hat USA-conferentie.

Een bijkomstigheid van hun prestatie is dat de VU-informatici een beloning mislopen die Microsoft uitdeelt aan mensen die weeffouten ontdekken in zijn software en bij het bedrijf melden. Het Amerikaanse softwarebedrijf heeft laten weten alleen geldbedragen uit te keren als de ontdekkers van een bug die eerst delen met zijn experts en pas daarna wereldkundig maken, zo zeggen de onderzoekers.

Het bezwaar van Microsoft lijkt vreemd, want de Amsterdammers hebben hun bevindingen al met het bedrijf gedeeld voor ze in mei van dit jaar in de openbaarheid traden met hun vondst.

De Amsterdamse sluipweg is technisch complex. De researchers hebben twee eerder ontdekte kwetsbaarheden in zowel hardware als software gecombineerd tot een aanvalswapen waarmee ze een computergebruiker kunnen bespieden. Het is een methode om te achterhalen waar iemand naar kijkt op zijn computer, of zelfs om de computer helemaal in de macht te krijgen. Virusbestrijders helpen niet.

Zwakke plek in geheugenchips

Het saboteren van een reeks condensatoren heet row hammering

Het eerste deel van de tweetrapsraket maakt gebruik van een zwakke plek in geheugenchips, de plek waar de computer gegevens bewaart tijdens een bewerking. Dat kan een Word-document zijn of een webpagina die wordt bezocht.

Al een jaar of vier is bekend dat het mogelijk is om geheugenchips van de wijs te brengen door ze in hoog tempo met specifieke informatie te bestoken. Daarbij worden de condensatoren in de chip die elk een bit informatie bevatten letterlijk elektrisch in de war gebracht: in het jargon heet dat een bit flip. Het saboteren van een reeks condensatoren heet row hammering.

Als een geheugenchip is verstoord ontstaat er een bres in de beveiliging van de pc: de hacker kan nu kwaadaardige programma's laten draaien. Vorig jaar liet een andere onderzoeksgroep zien dat ze bit flips konden bereiken met een stukje JavaSscript dat ze in een webpagina kunnen verstoppen (JavaScript is een code die browsers automatisch uitvoeren als ze een website openen). Een aanval dus vanaf internet op de hardware van een computer. Dat is vrij zeldzaam en tegelijk bijzonder gevaarlijk: het maakt elke computer kwetsbaar, of die nou Windows, Linux of het MacOS X draait.

Deduplicatie

Bij het tweede deel van hun methode buiten de onderzoekers een andere bekende kwetsbaarheid uit in Windows. Het meest gebruikte besturingssysteem voor pc's, kan werkgeheugen vrijmaken door elementen die dubbel in het geheugen staan te verwijderen. Dat gebeurt bijvoorbeeld als een gebruiker twee webpagina's in zijn browser heeft openstaan die hetzelfde plaatje tonen. Windows gooit er dan eentje weg voor effici├źnter gebruik van het geheugen.

Deduplicatie heet dat. De Amsterdammers zeggen dat een aanvaller hiermee kan checken of iemand iets specifieks heeft bekeken door bijvoorbeeld een plaatje in het geheugen te laden dankzij een van de wijs gebrachte geheugenchip. Als het slachtoffer dan hetzelfde plaatje ergens op internet bekijkt, ziet de hacker een van die twee beelden verdwijnen.

Het zou voor een veiligheidsdienst mogelijk zijn om na te gaan of iemand belangstelling toont voor materiaal van een terreurbeweging

Het zou bijvoorbeeld voor een veiligheidsdienst op die manier mogelijk zijn om na te gaan of iemand belangstelling toont voor materiaal van een terreurbeweging. Het is ook mogelijk om op deze wijze wachtwoorden en adressen te achterhalen. Het Nationaal Cyber Security Center (NCSC) heeft na de publicatie van de onderzoeksgroep gewaarschuwd voor misbruik van de kwetsbaarheid.

De Amsterdammers hebben hun methode nu aangetoond via Edge, de webbrowser die Microsoft speciaal heeft ontwikkeld voor Windows 10. Wat een geslaagde aanval nog wel nodig heeft is een pc met een geheugenchip die kwetsbaar is voor row hammering.

Volgens een van de onderzoekers, hoogleraar systeem- en netwerkbeveiliging Herbert Bos, is dit niet zomaar een theoretische exercitie, maar praktisch toepasbaar. De groep heeft ook al methoden uitgeknobbeld om het Rowhammer-script te gebruiken op Linux-computers die virtual machines draaien (virtuele computers op een pc) en om Android-telefoons te kapen. Ze gaan hun bevindingen de komende twee maanden delen met vakgenoten op andere conferenties gewijd aan computerbeveiliging.