Overslaan en naar de inhoud gaan

‘Spectre blijft ons nog lang achtervolgen’

Google-onderzoekers waarschuwen dat aanvallen zoals Spectre en Meltdown voorlopig niet op te lossen zijn in processors. Isolatie van de hardware en besturingssysteemprocessen is dringend nodig, concluderen de experts.

Mechanismes van programmeertalen om vertrouwelijkheid af te dwingen blijven volgens de onderzoekers van Google kwetsbaar voor zogenaamde ‘side-channel’-aanvallen. Hierdoor kunnen aanvallers gevoelige informatie van systemen achterhalen door vanuit het ene proces data uit een ander proces te 'roven'. Dit is dan het zijdelingse aspect van dit soort hackaanvallen. De onderzoekers - Ross Mcilroy, Jaroslav Sevcik, Tobias Tebbi, Ben Titzer en Toon Verwaest - spreken van drie gigantische problemen: het vinden van side-channelaanvallen, het begrijpen van de kwetsbaarheden en als laatste het verhelpen ervan.

Sinds de onthulling van Spectre en Meltdown vorig jaar hebben Intel en andere chipbedrijven en ontwikkelaars van besturingssystemen en browsers allerlei maatregelen genomen om gebruikers te beschermen. Maar een echte bescherming tegen dit soort aanvallen is er niet, aldus de onderzoekers. Volgens hen is er tientallen jaren lang gedacht dat de security van programmeertalen in combinatie met controles de vertrouwelijkheid kon garanderen tussen berekeningen in dezelfde adresruimte.

Pijn bij programmeertalen

De onderzoekers concluderen echter dat er tal van kwetsbaarheden in de huidige programmeertalen aanwezig zijn. Een processor kan namelijk niet het verschil zien tussen een goed of een slecht commando. Als de processor de opdracht krijgt om informatie naar een deel van het geheugen te sturen waar het eenvoudig te benaderen is, dan doet de machine dit. Het gaat in tegenstelling tot reguliere kwetsbaarheden dus niet om bugs, maar om ingebakken functionaliteit die aan de basis ligt van code-optimalisatie, schrijven de Google-onderzoekers in hun wetenschappelijke paper.

Het isoleren van de hardware en besturingssysteemprocessen is volgens de onderzoekers dan ook dringend nodig. Zij noemen het ‘een pijnlijke ironie’ dat de bescherming nog complexere softwareoplossingen vereist, waarvan de meeste onvolledig zijn. “Spectre is niet voor niets zo genoemd, aangezien het ons nog lange tijd zal achtervolgen”, concluderen de onderzoekers van Google.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in