Innovatie & Strategie

Security
Herbert Bos

Superscience: securityonderzoek in de fundamenten

Het fascineert hem hoe binnen 5 jaar alles op z’n kop is gezet doordat hardware niet langer vertrouwd kan worden.

Herbert Bos © Marike van Pagée,  Marike van Pagée
22 maart 2021

“De vraag die ik vaak krijg is: waarom doe je dit? Waarom bedenk je nieuwe aanvalsmethoden? Help je de slechteriken dan niet? Volgens mij is dit soort onderzoek juist heel belangrijk. Het grootste probleem voor security is dat we de systemen die we bouwen niet langer begrijpen”, vertelt professor Herbert Bos van de VU-onderzoeksgroep voor IT-security. De onderzoekers van VUSec zijn goed voor 4 van de 6 PWNIE Awards die ooit aan onderzoekers in Nederland zijn uitgeloofd.

VUSec en professor Bos leggen de lat voor zichzelf hoog: ze doen aan ‘securityonderzoek dat ertoe doet’. En daarbij richten ze zich op de diepere lagen van informatie- en communicatietechnologie. “De fundamenten waarop alle security in moderne systemen rust: de hardware en de software aan de onderkant van de stack.”

Nadeel van gelaagde abstracties

Bos legt aan AG Connect uit dat bij softwareontwikkeling is geleerd om te denken in gelaagde abstracties. “Dat wil zeggen dat een programmeur van een applicatie gebruik kan maken van de functionaliteit van het besturingssysteem, de middleware en bibliotheken, zonder zich zorgen te maken over wat er nu precies in die onderliggende lagen gebeurt.” Enerzijds is dat een groot goed: het zorgt voor brede toepassingsmogelijkheden. Anderzijds is het een risico, stipt hij aan.

“Helaas ontstaan beveiligingsproblemen nu juist omdat die grenzen tussen verschillende lagen niet werken. Een aanvaller kan bijvoorbeeld extreem gevoelige datalekken uit andere applicaties of het besturingssysteem gebruiken, omdat er bugs zitten in de CPU’s (zoals Spectre/Meltdown/RIDL), in de geheugenchips (Rowhammer), in het besturingssysteem, et cetera.” Bos en de VUSec-onderzoekers hebben flinke rollen gespeeld bij deze genoemde kwetsbaarheden in processors, chips en fundamentele software. Daarbij hebben ze ook claims van fabrikanten over Rowhammer-vrije nieuwe geheugenchips weten te ontkrachten.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!