Zo, dat is even schrikken: elke computer met een processor er in heeft een kwetsbaarheid (of eigenlijk twee) die het aanvallers mogelijk maakt om in je computergeheugen te graven naar wachtwoorden of welke data dan ook.
Dit is trouwens een andere kwetsbaarheid dan de recente voor Intel-chips van Intel. Het gaat nu om twee kwetsbaarheden die Meltdown en Spectre worden genoemd. Er is een officiële site opgezet door de researchers die uitlegt wat er precies aan de hand is, maar dit is de korte versie: oei.
Beide kwetsbaarheden kunnen catastrofaal zijn voor je veiligheid als er gebruik van kan worden gemaakt, maar Meltdown lijkt het beste te bestrijden van de twee. Microsoft heeft al een nood-patch voor Windows 10 uitgebracht, Apple is bezig om Mac OS 10.13.2 aan te passen om de kwetsbaarheid aan te pakken en Linux heeft al een patch.
Meltdown is tot nu toe door de originele onderzoekers alleen gevonden op apparaten met Intel processors, maar volgens Google zijn AMD chips en Android ook kwetsbaar. Nu zijn de patches een goed begin om het probleem op te lossen, maar ook veel computers die onze cloudproviders gebruiken hebben hier last van. Nou zijn die doorgaans heel goed met het patchen van hun systemen, maar de berichten dat die systemen tot wel 30 procent langzamer kunnen worden na de patch zou kunnen betekenen dat we in de komende tijd wat haperingen kunnen verwachten in clouddiensten.
Spectre is van een hele andere orde: waar meltdown de barrière tussen verschillende onderdelen van de hardware ‘smelt’ en zo toegang krijgt tot data die off-limits zou moeten zijn, is Spectre anders. Die maakt gebruik van het feit dat processors tegenwoordig hun instructies ‘gokken’. Speculatieve uitvoering werkt zo: processoren zijn vaak met heel veel dingen tegelijk bezig, met veel takken die aan dezelfde boom zitten. Soms moeten ze wachten met het uitvoeren van een instructie tot een bepaalde waarde terugkomt van een andere tak voordat ze verder kunnen op een volgende tak.
Op dat moment gokt de processor de waarde en gaat al verder. Als de waarde dan terug komt, is het goed en heeft de processor tijd bespaard, zo niet dan begint de instructie alsnog als de waarde echt terugkomt. Wat Spectre doet is misbruik maken van dat principe en ongewenst speculatieve instructies laat uitvoeren. Het resultaat (normaal weggegooid) wordt dan via een zijweg uitgelezen en dan ben je de sigaar.
De technische uitleg is even noodzakelijk, want het is belangrijk om te weten dat deze kwetsbaarheid letterlijk in de chips ingebakken zit. Dit is de manier waarop onze apparaten hun ding doen en daar zit dus nu een gat in. Het fundamentele vertrouwen dat iedereen heeft in de integriteit van een processor om alleen uit te voeren wat er in wordt gestopt is met deze kwetsbaarheid het raam uit, en dat is een dramatisch probleem.
De researchers hebben er ook een hard hoofd in dat deze kwetsbaarheid binnen afzienbare tijd opgelost gaat worden, dus we moeten met zijn allen hopen dat niemand een manier vindt om dit bij iedereen binnen te krijgen. Wordt – ongetwijfeld – vervolgd.
[Afbeeldingen © zydma4 – Adobe Stock]
