Spectre en Meltdown bedreigen bijna elke pc

In processors van pc's en smartphones zit een lek waardoor hackers gevoelige data kunnen onderscheppen. 'Pleistersoftware' helpt, maar haalt de fout niet weg.

In processors van pc's en smartphones zit een lek waardoor hackers gevoelige data kunnen onderschep pen. 'Pleistersoftware' helpt, maar haalt de fout niet weg. Beeld anp

Door een ontwerpfout in veel computerchips blijkt gevoelige data onbeschermd voor aanvallen door hackers. Computerexperts spreken van een ernstige kwetsbaarheid met kostbare gevolgen. Doordat de fout in de chip zit ingebakken, is het probleem voorlopig alleen met software te omzeilen. Hierdoor zullen sommige toepassingen flink trager worden.

Wat is het probleem?

De meeste beveiligingslekken zitten in software. Het bijzondere aan de twee kwetsbaarheden die nu gevonden zijn, Spectre en Meltdown, is dat ze een niveau dieper zitten, in de hardware.

Beide lekken houden verband met pogingen van chipbouwers hun processors sneller te maken. Dit gebeurt met een trucje dat speculative execution wordt genoemd. Hierbij rekent de processor soms alvast iets uit zonder dat dit strikt noodzakelijk is, schetst hoogleraar Systems and Network Security Herbert Bos van de VU. Door vooruit te werken en de uitkomst te parkeren, kan deze direct 'van de plank' genomen worden en wordt tijd gewonnen. Blijkt de berekening niet nodig te zijn geweest, dan wordt de uitkomst weggegooid.

Wat is hier mis mee?

'Met het gebruik van deze methode is niks aan de hand', zegt Bos. 'Tenzij een aanvaller op een of andere manier kan zien welke waarde speculatief werd geladen.' Een slimme hacker kan dan achterhalen welke data in het zogenoemde kernelgeheugen zit, het goedbeveiligde hart van elke computer. Door de kwetsbaarheid is juist dit nu mogelijk.

Veel van deze informatie is weinig interessant, maar ergens in deze virtuele hooiberg huizen mogelijk ook wachtwoorden, bankgegevens en andere gevoelige informatie. Door maar vaak genoeg mee te kijken, is het in theorie mogelijk bij deze gegevens te komen. Zomaar even wat creditcardgegevens opvragen kan overigens niet, omdat data op willekeurige plekken in het geheugen worden weggeschreven; een andere vorm van beveiliging.

Voor zover bekend is nog geen misbruik gemaakt van de kwetsbaarheid. Maar dat het in theorie mogelijk is, bewees Erik Bosman, onderzoeker van de VUSec security groep van de Vrije Universiteit. Hij wist als eerste onafhankelijk onderzoeker ter wereld aan te tonen dat het mogelijk is data af te snoepen. Het lek is ontdekt door onderzoekers van de TU in Graz, beveiligingsbedrijf Cyberus Technology en Google.

Wie hebben er last van?

Alleen chips van Intel lijken kwetsbaar voor Meltdown. Spectre heeft vat op zowel die van Intel, AMD en ARM - ofwel processors die in bijna elke pc, laptop, tablet of smartphone te vinden zijn. Voor Meltdown zijn inmiddels softwareoplossingen bedacht, Spectre blijft volgens hoogleraar Bos problematisch, 'al is die gelukkig lastiger te misbruiken'.

Volgens website The Register betreft Meltdown mogelijk alle processors van Intel vanaf 1995. Deze zitten in webservers van veel grote clouddiensten als Amazon, Microsoft en Google. Het gevaar is hier in theorie groter, omdat op servers vaak processen voor meerdere gebruikers draaien, waardoor kwaadaardigen toegang kunnen krijgen tot het geheugen van anderen.

Is het probleem verholpen?

Doordat het lek vroeg onder de aandacht is gebracht van makers van besturingssystemen als Linux, Google en Microsoft, hebben zij de tijd gekregen een oplossing te bedenken. Microsoft, dat sinds dinsdag een update heeft, ondervangt het probleem door vooruitkijken uit te schakelen.

Daarmee is de fout niet verdwenen, die zit immers in de chips ingebakken. In feite verbiedt de software de toegang tot een gevaarlijk steegje. De dreiging is niet weggenomen, zegt Bos. Dat gebeurt pas als makers van chips met een nieuwe generatie komen.

Opmerkelijk is dat topman Brian Krzanich van Intel kort nadat het lek intern bekend was gemaakt, een groot deel van zijn aandelen heeft verkocht. Intel werd in juni geïnformeerd, Krzanich zette in oktober de verkoop van zijn stukken in gang.

Merken gebruikers verder nog iets?

Door de 'pleistersoftware' zullen computers trager worden. Hoewel lastig te zeggen is hoe veel, worden getallen genoemd tot 30 procent. 'Ik geloof dat zelf niet zo, maar zelfs 5 procent vertraging van vrijwel alle computers ter wereld levert grote schade op', zegt Bos.

Thuisgebruikers zullen volgens betrokkenen in de industrie vermoedelijk weinig merken van eventuele vertragingen. Makers van besturingssystemen raden gebruikers aan updates zo snel mogelijk te installeren. Systeembeheerders krijgen van Microsoft de mogelijkheid de uitsluiting ongedaan te maken voor processen waarvan ze zeker zijn dat ze veilig zijn.

Toepassingen die door deze maatregelen zwaar getroffen zouden worden, kunnen toch snel blijven draaien als de systeembeheerder het risico aanvaardbaar acht. Het Amerikaanse Computer Emergency Response Team (CERT) gaat een stap verder en meldt op zijn website dat er maar een echte oplossing is: alle hardware vervangen.

Aanvulling: vrijdag heeft CERT deze aanbeveling weer ingetrokken en stelt nu dat het updaten van besturingssoftware en 'bepaalde toepassingen' voldoende veiligheid biedt.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.