Meltdown en Spectre: geen reden voor paniek

Maar we leggen graag even uit hoe het werkt

Door Bobo Boom op 7 januari 2018  |  blog

Afgelopen woensdag zijn er door een Google researchteam twee nieuwe veiligheidsissues voor computers bekend gemaakt: 'Meltdown' en 'Spectre'. Het gerucht gaat dat alle smartphones en websites nu helemaal lek zijn, maar dat valt in de praktijk wel mee. In dit artikel leggen we uit hoe het zit.

Hoe werkt de aanval?

Moderne computers draaien meestal heel veel applicaties tegelijk, die  niet bij elkaars data mogen komen. Alleen het besturingssysteem mag data van de ene naar de andere applicatie doorgeven. Dit zorgt er voor dat een spelletje op je telefoon niet mee kan kijken wat de bankieren-app allemaal doet. En op systemen met meerdere gebruikers zorgt het er voor dat die gebruikers elkaars data niet kunnen bekijken. Meltdown en Spectre zijn aanvalstechnieken die gebruikmaken van een zwak punt in computer-processoren. Met deze technieken kan een applicatie data bekijken van andere applicaties die dezelfde processor delen. 

Data ophalen uit het geheugen is relatief langzaam. Daarom hebben moderne processoren systemen die kijken welke data de processor binnenkort nodig gaat hebben. Die data wordt dan alvast klaargezet in een buffer in de processor zelf, zodat de instructies sneller uitgevoerd kunnen worden. Meltdown en Spectre maken hier gebruik van door de processor data klaar te laten zetten waar ze normaal gesproken niet bij zouden mogen, en die data dan in de buffer te onderscheppen. Zo kunnen ze dus toch bij informatie waar ze eigenlijk niet bij mogen.

Moet ik mij zorgen maken?

Waarschijnlijk niet. Het is weliswaar niet mogelijk om hier met een update volledig tegen te beveiligen, doordat het een zwakte in het ontwerp van de fysieke chips is. Maar er is nogal wat werk voor nodig om hiermee daadwerkelijk data te stelen. Allereerst werkt dit niet als een inbraak op afstand, want de kwaadwillende applicatie moet op de processor draaien waar de data staat. Dat betekent dat dit vooral een probleem is voor cloud-systemen en andere gedeelde systemen waar veel (mogelijk kwaadwillende) gebruikers tegelijk hun eigen applicaties mogen draaien.

Ook kan de applicatie alleen bij het geheugen, en niet bij databases of opslag. Aangezien de structuur en inhoud van geheugen continu (snel) verandert is het veel werk om hier daadwerkelijk zinnige informatie (zoals wachtwoorden) uit te destilleren. Dat vereist veel manuren van hackers om een enkel systeem in kaart te brengen, dus zijn vooral grote systemen een doelwit. Er zijn nog geen gevallen bekend waarin het hackers gelukt is om via deze weg een echt systeem aan te vallen.

De processoren van de webservers waarop de websites van onze klanten draaien, hebben deze zwakte ook. Uiteraard zorgen we dat de besturingssystemen up-to-date zijn om de risico's te minimaliseren. Ook maken we gebruik van hosting die specifiek gericht is op Nederlandse zakelijke klanten; een hacker kan dus niet zomaar een account krijgen dat hardware deelt met onze server-clusters. Tot slot is dit een gerichte aanvalstechniek, die niet automatisch uitgevoerd kan worden. Een hacker moet dus specifiek besluiten een van onze sites aan te vallen en daar significant tijd in investeren. Hierdoor verwachten we niet dat onze klanten in de praktijk last zullen hebben van Spectre en Meltdown.

Wat kan ik doen?

Processoren in PC's, Macs, tablets en smartphones zijn in principe ook kwetsbaar, maar in de praktijk is er geen reden voor zorgen. De enige manier voor een aanvaller om de processor te bereiken is via de browser, of via een kwaadaardige app. Deze kunnen door een up-to-date browser en een goede virusscanner goed tegengehouden worden.

De kern van het probleem zit in hardware, dus tot de volgende generatie computerchips is het niet volledig op te lossen. Wel kunnen besturingssystemen het 'klaarzetten' van data uitschakelen voor de meest kritische taken. Dat gaat ten koste van een beetje snelheid, maar neemt wel vrijwel alle risico's weg. Het belangrijkste is dus om te zorgen dat je besturingssysteem up-to-date is. Dat geldt voor PC's, smartphones, tablets, en ook webservers. Alle systeemmakers zijn updates aan het klaarmaken die de risico's zoveel mogelijk beperken.

Verder is er niet veel reden om je zorgen te maken. Softwareleveranciers zitten hier al bovenop, en in de tussentijd zijn het vooral grote doelwitten (zoals beurs-traders) die gebruik maken van gedeelde infrastructuur (zoals Azure) die extra op moeten letten.

Technische referenties

Ben je geïnteresseerd in meer achtergronden of technische details? Dan kun je verder verdiepen via deze links.

Meld u aan voor onze nieuwsbrief