Spectre Meltdown Security Update

Het jaar is nauwelijks begonnen en de wereld wordt opnieuw wakker geschud door twee ernstige beveiligingslekken. Na Drown, Heartbleed, Ghost, Shellshock en meer recent Krack gaat het nu om Meltdown en Spectre. De afgelopen dagen zijn we overspoeld met nieuws over de lekken. De namen beloven weinig goeds.

insite security hacker eye code
  • Spectre is de titel van de meest recente James Bond film uit 2015. Spectre is hier de ‘wetenschappelijke’ criminele organisatie, waar Bond al sinds de allereerste film tegen vecht. Spectre wil werelddominantie.
  • Meltdown verwijst naar een ongeluk met een kernreactor waarbij de kern van de reactor oververhit raakt en brandstofelementen smelten. In een zeer ernstig scenario zou de nucleaire kettingreactie uit de hand kunnen lopen en de reactormassa zich door de bodem van het reactorvat en het reactorgebouw heen de grond in smelten. Met alle dodelijke gevolgen van dien.

Hardware bugs in processoren van Intel, ARM en AMD

Het mag duidelijk zijn, Spectre en Meltdown zijn serieuze aangelegenheden. Een korte samenvatting:

Deze lekken betreffen een aantal hardware bugs in de processoren van Intel, ARM en AMD (de laatste wordt betwist). En daarmee raakt het dus alle apparaten die deze processoren gebruiken, van desktops en servers tot tablets en smartphones.

De fundamentele functionaliteit van (deze) processoren is het afschermen van het geheugen om er voor te zorgen dat:

  1. gebruikerapplicaties (bijv. Firefox, MS Word, KeePass etc.) onderling niet bij elkaars stukje RAM-geheugen kunnen komen. Was die afscherming er niet dan zou bijvoorbeeld Firefox zomaar je in KeePass opgeslagen wachtwoorden uit het geheugen kunnen uitlezen;
  2. zulke gebruikersapplicaties niet bij geheugen van het besturingssysteem (Windows, Linux, MacOS, etc.) kunnen komen. Was die bescherming er niet dan zou het OS nooit controle kunnen houden over wat die processen wel of niet mogen uitvoeren.

Aanvalsscenario’s

Meltdown en Spectre staan het toe om deze bescherming te omzeilen. Twee typische aanvalsscenario’s:

  • Je bent aan het browsen over het internet, en bezoekt per ongeluk een malafide site. Deze site leest delen van het RAM-geheugen van de pc uit en achterhaalt zo gevoelige info (bijvoorbeeld delen van andere sites die je op datzelfde moment bezoekt, een document dat je in Word open hebt staan, Windows wachtwoorden, ga zo door);
  • je maakt gebruik van een virtualisatieplatform (VMware, Hyper-V, maar ook bijv. Amazon AWS, Azure). Door de bug kant niet meer 100% gegarandeerd worden dat de virtuele machines op deze platformen niet bij elkaars RAM-geheugen kunnen komen. Wat in het geval van multi-tentant oplossingen als Amazon AWS en Azure kan betekenen dat klant A bij data van klant B kan.

Hoe wapen je je tegen securitylekken als Spectre/Meltdown

Je kan het volgende doen:

  • updaten van het besturingssysteem zodra daar patches voor uit zijn. Voor Windows is dat KB4056892, voor Linux is dit gepatcht in versie 4.14.11.
  • berichtgeving van cloud-diensten als AWS in de gaten te houden. Zowel AWS als Microsoft (Azure) geven aan momenteel bezig te zijn om updates uit te rollen.

Belangrijk om te weten is dat, juist omdat dit een hardware bug is, in alle gevallen de besturingssystemen een work-around moeten toepassen die bestaat uit het uitschakelen/omzeilen van bepaalde processoroptimalisaties. Toepassen van de updates kan er dus voor zorgen dat systemen trager worden.

Houdt rekening met ‘downtime’ als u gebruik maakt van een cloud provider. Alle (cloud) providers zoals Amazon, Google, IBM maar ook minder bekende internationale, landelijke en regionale providers patchen de komende periode hun systemen. Dit gaat gewoon overdag. Simpelweg omdat er alleen in de avonduren geen tijd is om alle systemen te patchen.

Old Shatterhand

De vraag is: what’s next? We weten het niet. De 25ste James Bond film gaat waarschijnlijk Shatterhand heten. Dat klinkt als een oude western. Old Shatterhand, naar de verhalen van Karl May. Je kunt het huidige internet vergelijken met het Wilde Westen. Een rauwe, avontuurlijke, deels wetteloze samenleving van vrijbuiters. De criminelen van nu zijn de goudzoekers van toen. Na de Amerikaanse burgeroorlog kwam er een einde aan het Wilde Westen. De vraag is waar het huidige tijdperk met het internet, zoals we dat nu kennen, eindigt.

Laat duidelijk zijn dat de moderne computers die we vandaag de dag gebruiken en waarop ons economie is gebouwd fundamentele ontwerpfouten bevatten als het gaat om beveiliging. De computers gaan bijvoorbeeld uit van discretionary access control en zijn inherent niet opgewassen tegen DDOS-aanvallen. Bovendien is het internet oorspronkelijk bedoeld om grote hoeveelheden gegevens met elkaar uit te wisselen. Bedenk dan ook nog eens dat de time-to-market altijd wint van goede beveiliging en de computer en software-industrie eigenlijk geen belang heeft bij kwalitatief goede software en dus beveiliging. Een ding is zeker: er volgen dit jaar nog veel meer ernstige lekken. Hopelijk komt er dan een held zoals Old Shatterhand die de moderne computer vergruist waaruit een nieuwe betere versie oprijst.

Meer artikelen

Bekijk al het nieuws