Er schijnen al jaren ‘gaten’ in processoren in computers en telefoons te zitten, de ernstigste in die van processor-producent Intel. Die veiligheidslekken maken dat vrijwel alle computers en telefoons en alle besturingssystemen kwetsbaar zijn voor digitale aanvallen via die ‘gaten’. Reparatie zou de snelheid aantasten, maar Intel ontkent dat.
Er zijn ernstige fouten in processoren gevonden van de drie grote processorproducenten Intel, AMD en ARM. Een processor is het onderdeel waar de be-/verwerking van de gegevens plaatsvindt, het werkpaard van onze telefoons en computers. Het ‘gat’ in de Intel-processoren, Meltdown (smelting) gedoopt, schijnt de grootste bedreiging te zijn. Het andere waar ook ARM en AMD mee behept zijn, Spectre gedoopt, schijnt wat lastiger te misbruiken te zijn. De ‘gaten’ zijn ontdekt door onderzoekers van Project Zero van Google, in samenwerking met industriële en academische onderzoekers in verschillende landen.
Meltdown
“Meltdown is waarschijnlijk de grootste processorfout ooit gevonden”, zegt Daniel Gruss van de universiteit van Graz (Oost.) die de gaten medeontdekt heeft. Alle processoren die Intel sedert 1995 hebben gemaakt zouden er last van hebben behalve de Itanium- (voor servers) en Atom-processoren die voor 2013 zijn gemaakt. Kwaadwillenden kunnen via dat ‘gat’ de barrière omzeilen die er bestaat tussen de toepassingen en het kerngeheugen van de computer. Dat ‘gat’ is te verhelpen door de manier te veranderen waarmee het besturingssysteem omgaat met het herstel van het geheugen, maar dat zou betekenen dat de snelheid van de computer aanzienlijk terugloopt. Er zijn schattingen dat computers daardoor wel 30% trager zullen worden.
Het andere ‘gat’, Spectre, betreft ook processoren van andere processorproducenten. Via dat ‘gat’ zouden kwaadwillenden toepassingen kunnen ‘verleiden’ om geheime informatie te verstrekken. Spectre is echter, zoals gezegd, lastiger te misbruiken, maar ook moeilijker te dichten. Op de lange duur zou Spectre wel eens een groter probleem kunnen vormen dan Meltdown, denkt Gruss.
Volgens Intel en ARM gaat het niet om een ontwerpfout. Gebruikers zouden een reparatie kunnen binnenhalen en de computer bijwerken om het besturingssysteem aan te passen. Intel zou al begonnen zijn om ‘pleisters’ uit de delen voor het mankement. Het bedrijf ontkent dat daarmee de computers trager worden. Voor de gemiddelde computergebruiker zou er nauwelijks iets te merken zijn, zegt Intel.
Vorig jaar
Google zou Spectre al in juni vorig jaar gemeld hebben en Meltdown eind juli. Zowel Google als Intel willen begin volgende week met meer nieuws komen. Het is nog niet bekend of e-krakers al misbruik van de ‘gaten’ hebben gemaakt, maar de verwachting is dat dat hoe dan ook zal gebeuren. Overigens vallen die inbraken moeilijk te ontdekken aangezien die niet in het logbestanden zullen verschijnen.
Er zijn al ‘pleisters’ gemaakt door Apple, Microsoft en ook voor Linux. Ook ARM heeft reparaties gedeeld met samenwerkende bedrijven. Volgens Google zijn de Android-telefoons beschermd die de laatste beveiligingsversies hebben geïnstalleerd, evenals Nexus- en Pixel-apparaten. AMD stelt dat de gaten geen enkel effect hebben op zijn producten. Deskundigen schatten dat de ‘gaten’ kunnen worden gedicht zonder dat de centrale verwerkingseenheden, de processoren dus, hoeven worden vervangen.
Bron: the Guardian