In 2017 heeft men een aantal diepe beveiligingslekken ontdekt in moderne processors. In dit artikel wil Automatux niet te diep ingaan op de technische oorzaak, maar het vooral bij praktische aanbevelingen houden tegen de exploits Meltdown en Spectre.
Wat is het beveiligingslek ?
Een bepaalde techniek (out-of-order execution: het alvast inladen van gegevens uit het werkgeheugen naar het eigen cachegeheugen door de processor en uitvoeren van berekeningen daarop voor een snelle dataverwerking) die al jarenlang standaard wordt ingebouwd in zowel Intel en (gedeeltelijk) AMD processors blijkt een potentieel risico te vormen voor de beveiliging van uw gegevens. Uit research blijkt dat het voor een slimme aanvaller mogelijk is om die bewerkte gegevens via een zogeheten sidechannel (zijkanaal) in te zien.
Wat is het gevaar ?
Meltdown (icoon van het smeltend schild) breekt de fundamentele isolatie tussen gebruikersapplicaties en het besturingssysteem. Met zo'n aanval kan een programma toegang krijgen tot het RAM geheugen (dus ook tijdelijk opgeslagen wachtwoorden, beveiligingssleutels, etc) en dus ook tot de geheimen van andere programma's en het besturingssysteem.
Spectre (icoon van het spookje) gaat verder en breekt de isolatie tussen verschillende toepassingen. Het stelt een aanvaller in staat om foutloze programma's die de beste beveiligingstechniek aan boord hebben toch hun geheimen te ontlokken. In feite vergroten de veiligheidscontroles van deze toepassingen de aanvalsbreedte en kunnen ze ook andere programma's gevoelig maken voor een Spectre aanval.
Welke processors zijn kwetsbaar ?
Meltdown
Desktop-, laptop- en ook cloudcomputers kunnen kwetsbaar zijn. Meer technisch gezien is waarschijnlijk elke Intel-processor die out-of-order (speculative) execution ondersteunt kwetsbaar voor Meltdown. In feite gaat het om elke Intel processor (behalve Intel Itanium en Intel Atom vóór 2013) die sinds 1995 is geproduceerd (!). Meltdown is met succes getest op alle Intel-processorgeneraties die sinds 2011 zijn uitgebracht. Het onderzoeksteam is er nog niet in geslaagd om processoren van AMD met Meltdown te kraken. Maar het is aannemelijk dat dit met een verbetering van hun aanvalstechniek alsnog zal lukken. Alleen de Cortex-A75 processor van ARM is kwetsbaar voor Meltdown. Alle Raspberry Pi's zijn niet gevoelig. Letop: ook smartphones kunnen kwetsbaar zijn.
Spectre
Desktop-, laptop- en ook cloudcomputers kunnen kwetsbaar zijn. Spectre werkt op Intel, AMD en enkele ARM processors. Letop: ook smartphones kunnen kwetsbaar zijn.
Wat doen de fabrikanten ertegen ?
Er worden in versneld tempo door de processorfabrikanten Intel en AMD allerlei patches uitgebracht vaak via driverupdates die de kwetsbaarheden moeten elimineren of verminderen.* Aangezien data- en clouddiensten op het internet extra kwetsbaar zijn voor een exploit, mede omat hun servers gevoelige data van grote aantallen klanten herbergen, nemen ook zij allerlei maatregelen (zowel hardware- als softwarematig) om de risico's in te perken.
De producenten van besturingssystemen zoals Windows, Linux en OS-X brengen sinds begin 2018 met regelmaat softwarepatches en beveiligingsupdates uit die de core of de kernel van het systeem beter moeten beveiligen tegen een mogelijke aanval met Meltdown of Spectre.
*Deze patches kunnen helaas een negatief effect hebben op de prestaties van uw computer. De patches leggen vaak de werking van out-of-order-execution aan banden, terwijl deze techniek juist is ontwikkeld en ingebouwd vanwege de prestatieverhogende werking. Maar gelukkig is deze afremming niet in alle gevallen merkbaar.
Wat kunt u ertegen doen ?
Voor u als computergebruiker is het vooral oppassen op het internet. Hoewel er op dit moment nog geen misbruik is gemaakt van het datalek door criminelen, is het vermoedelijk wachten tot de eerste exploit via het internet plaatsvindt. Bedenk goed dat er op het moment van schrijven geen anti-virus programma is die zo'n malwareprogramma zal herkennen.
Wat u in ieder geval kunt doen:
- installeer de beveiligings updates alsook core- of build-upgrades voor uw besturingssysteem met regelmaat
- houdt de drivers voor uw videokaart (NVidia en AMD Ati Radeon) up-to-date met laatste stabiele versie
- op Linux is het raadzaam bij te werken naar de nieuwste kernel of longtermsupport versie (zo komt de LTS versie van Ubuntu 18.04 in april dit jaar uit)
- houdt uw webbrowsers (Firefox, Internet Edge, Internet Explorer, Safari, enz) up to date met laatste versie
- in sommige gevallen kan ook een BIOS firmware update voor het mainboard van uw computer wenselijk zijn
Voor meer informatie kunt u onderstaande video bekijken of de website over Meltdown en Spectre bezoeken. (beide Engelstalig)