Op 4 januari 2018 is bekend geworden dat er twee grote kwetsbaarheden in vrijwel alle processoren ter wereld zitten, Meltdown en Spectre genaamd. Processoren zitten vrijwel overal in en dit heeft daardoor op gigantisch grote schaal invloed. Servers, virtual machines, containers, maar ook een stuk dichterbij huis: alle laptops, desktops, mobiele telefoons en zelfs 'Internet of Things' apparaten, zoals TV's en koelkasten, zijn hierdoor kwetsbaar.

Wat is het?

De naam Meltdown komt voort uit het feit dat door deze kwetsbaarheid alle veiligheidsmaatregelen als het ware wegsmelten. Je kan immers direct in het geheugen kijken, wat door geen virusscanner tegen gehouden kan worden. Gelukkig is de Meltdown kwetsbaarheid alleen geconstateerd bij Intel processoren. In eerste instantie werd daardoor ook gedacht dat alleen machines met Intel processoren (dit zijn er overigens nogal wat) gevaar liepen. Helaas kwam men er al snel achter dat dit niet het geval was. Spectre stak de kop op.

Spectre komt voor uit ‘speculative execution’, waar de oorzaak van de kwetsbaarheid ligt. Niet alleen Intel processoren, maar ook de processoren van ARM en AMD (in mindere mate) zijn kwetsbaar dankzij Spectre. We laten de technische details rondom speculative execution achterwege, maar de referentie met de kat-strelende, ultieme Bond badguy Spectre is snel gemaakt en een stuk beeldender dan speculative execution.

Via de kwetsbaarheid in de processoren kan een kwaadwillende gebruiker die toegang heeft tot het werkgeheugen, ook toegang verkrijgen tot alle andere data die in het werkgeheugen staat. Hoewel dit al eng klinkt op losse PC’s en laptops en telefoons et cetera, reiken de implicaties hiervan nog veel verder.

Wanneer er gegevens in de cloud verwerkt worden, hoeft een hacker alleen maar toegang te hebben tot een onderdeel van de cloud. In de praktijk betekent dit dat een hacker helemaal geen toegang tot jouw gegevens hoeft te hebben, maar het al voldoende is om toegang te hebben tot de gegevens die ergens in de cloud verwerkt worden. Doordat de gegevens op dezelfde fysieke hardware verwerkt worden, is het volledig voor de hacker beschikbaar. Hierdoor is ook volledig onbekend of en hoe vaak er al misbruik is gemaakt van de kwetsbaarheden. Beide kwetsbaarheden laten namelijk geen sporen na, wanneer ze misbruikt worden.

Beide kwetsbaarheden zijn in feite processen die ooit bedacht zijn om processoren efficiënter te laten functioneren. Bij Meltdown wordt er gebruik gemaakt van de out-of-order execution optimalisatie, wat invloed heeft op de volgorde van de taken die een CPU uitvoert. De Spectre kwetsbaarheid heeft te maken heeft met het van te voren uitvoeren van taken waarvan de computer denkt dat ze nodig zijn.

De oplossing die het probleem zal verhelpen, zal ook invloed hebben op de snelheid van de processoren. Er wordt verwacht dat dankzij het verhelpen van dit probleem, processoren gemiddeld 5 tot 30% minder snel kunnen functioneren. Gelukkig is het voor sommige processoren mogelijk via een workaround dit klein te houden. Een kleine prijs om te betalen voor verhoogde veiligheid.

In de afbeelding hieronder wordt overzichtelijk weergegeven wat de verschillen tussen Meltdown en Spectre zijn en hoe ze toegang kunnen verkrijgen tot het werkgeheugen.

Heeft het invloed op mijn bedrijf?

In het kort; ja. Vrijwel alle processoren ter wereld zijn kwetsbaar. En in alle servers, desktops, laptops, etc. zit een processor. In eerste instantie werd met Meltdown gedacht dat alleen Intel processoren hiervoor kwetsbaar waren, maar nu ook Spectre is uitgekomen, blijkt dat ook de processoren van AMD en ARM kwetsbaar zijn.

Dit houdt in dat vrijwel alle systemen ter wereld op deze wijze kwetsbaar zijn voor hackers. Maar, om totale paniek te voorkomen, om misbruik te kunnen maken van deze kwetsbaarheid is het wel een vereiste dat er al op enige wijze toegang is tot het werkgeheugen. Door toegang te hebben tot (een onderdeel van) de data in het werkgeheugen, kan er via de processor toegang worden verkregen tot alle data die in het werkgeheugen staat. Gevaarlijk dus, maar als een hacker geen toegang heeft, is het nog steeds lastig om toegang te verkrijgen.

Tegelijkertijd is de kwetsbaarheid niet te onderschatten, want vrijwel elke applicatie die draait, maakt op de een of andere manier gebruik van het werkgeheugen. Zodra een hacker dus toegang heeft tot een minuscuul gedeelte op een computer, kan er via deze kwetsbaarheid toegang worden verkregen tot al het andere dat op dat moment in het werkgeheugen staat. Dit kan zelfs gedaan worden via de webbrowser door het bezoeken van een malafide website.

Wat dat nu al betekent voor jou of voor je bedrijf, is dat het belangrijk is alle desktops, laptops, telefoons, et cetera, te updaten. Veel besturingssystemen, zoals Windows en MacOS zijn al druk bezig hiervoor updates uit te rollen, dus dit zal in veel gevallen automatisch gaan. Wij, als TFE, zijn al hard bezig aan onze zijde om overal waar mogelijk te updaten en te patchen.

Wat doen wij?

Aangezien ook onze servers en systemen op Intel en AMD processoren draaien, zijn we in hoog tempo bezig risico analyses uit te voeren. Daarnaast zijn we actief aan het monitoren voor welke systemen al wél en voor welke nog geen patches en updates zijn uitgekomen. Helaas moeten de kwetsbaarheden gerepareerd worden op het niveau van het besturingssysteem en zijn er nog niet voor alle besturingssystemen bijpassende patches ontwikkeld.

Op basis van de risico analyse gaan we direct aan de slag met de meest kwetsbare projecten. Het kan daardoor voorkomen dat in sommige gevallen er tijdens kantooruren enige downtime plaatsvindt. We proberen dit in alle gevallen af te stemmen met onze contactpersonen, maar het zou in uitzonderlijke gevallen kunnen gebeuren dat een website of intranet even down is zonder overleg.

Verder blijven we ons verdiepen in zowel de technische als de praktische kant van dit verhaal. Zodra er nieuwe ontwikkelingen plaatsvinden, er oplossingen worden geboden of er grotere risico’s ontstaan, zullen we hier direct over informeren en een passende oplossing zoeken.

Wil je eens per twee maanden onze nieuwsbrief ontvangen?
Bedankt ! Fijn dat je op de hoogte wil blijven.