Home Security Het grote dilemma in de afwikkeling van Spectre en Meltdown

Het grote dilemma in de afwikkeling van Spectre en Meltdown

59
spectre

Meltdown en Spectre hebben een grote golf in de media gecreëerd. Inmiddels is het wat stiller rondom de hype. Dat betekent niet dat het gevaar is geweken en dat alles op miraculeuze wijze is opgelost.

Software

Bijna alles wat we doen, doen we met software. Processors zijn echter hardware die we heel moeilijk met software kunnen bijsturen. De reden hiervoor is dat de meeste software geschreven is in een “hogere” programmeertaal (bijv. C, C++, C#, Java etc.) die leesbaar en begrijpelijk is voor de mens. Een processor spreekt daarentegen een heel andere taal, de zogenaamde “microcode”. In oude processors waren de instructiesets hardwired in het ontwerp van de chip . Die konden later niet meer worden gewijzigd. Als na de verkoop een fout werd ontdekt, was de enige manier om deze te verhelpen het terugroepen en vervangen van de hele CPU. Dit is zeer kostbaar.

Bij moderne processors wordt niet meer met hardwired instructiesets gewerkt. Inmiddels wordt gebruik gemaakt van updatebare microcode, waardoor het een stuk eenvoudiger is om nieuwe CPU’s te ontwerpen. Circuits hoefden niet opnieuw te worden getekend, wat de kosten verlaagde, tijd bespaarde en een prestatieverhoging bood. Bovendien maakte dit de processors updatebaar, wat vooral in het geval van een bug aantrekkelijk is.

Riscofactor

Het feit dat men een software-trucje zou kunnen gebruiken om toegang te krijgen tot het interne geheugen van de CPU, waar kritische informatie wordt opgeslagen, werd nooit beschouwd als een risicofactor. Dit vereist in de eerste plaats deskundige kennis van de interne werking van de processor. Een dergelijke aanval leek alleen theoretisch en academisch. Maar het probleem is: alle moderne bedreigingsscenario’s beginnen als theoretisch of academisch – totdat iemand ze daadwerkelijk in de praktijk brengt.

Chipmakers hebben met Meltdown en Spectre een belangrijke les geleerd: interne communicatie binnen een CPU vereist zorgvuldige beveiliging.

Als het gaat om het bijwerken van microcodes moeten fabrikanten zorgvuldig te werk gaan. Een haastig ontwikkelde patch die andere dingen breekt is het laatste wat zowel klanten als fabrikanten willen. De geplande microcode-updates zullen waarschijnlijk behoorlijke vertraging oplopen – Intel heeft zeer onlangs aangekondigd dat ze een van de “Spectre” patches intrekken omdat het in sommige systemen willekeurige reboots heeft veroorzaakt. Microsoft heeft zelfs een ‘out of brand’ patch ontwikkeld om de slechte Intel-patch uit te schakelen.

Scepsis over patches

De slechte patches die in deze affaire zijn uitgebracht, hebben het toch al slechte imago van patches geen goed gedaan. Wanneer we in de media horen over bedrijven die door cybercriminelen zijn aangevallen, omdat ze een bepaalde patch van twee jaar oud nog niet hadden geïnstalleerd, fronsen wij security-experts graag onze wenkbrauwen. En hoewel er nauwelijks een geldig excuus te bedenken is voor het twee jaar op de plank laten liggen van een kritieke update, is een licht gevoel van scepsis ten opzichte van patches wel te begrijpen. Toch hebben we geen keuze: als we lekken willen dichten, moeten we patchen. Fabrikanten zullen zich harder moeten inspannen om ervoor te zorgen dat de patches die zij uitbrengen het beoogde lek dichten en andere hard- en software niet aantasten.

Patchmanagementstrategie

Voor bedrijven die gebruik maken van technologie, geldt dat het van essentieel belang is om een duurzame patchmanagementstrategie te ontwikkelen. Dit is van vitaal belang om de tijdige uitrol van kritische updates in een bedrijfsnetwerk te ondersteunen. Onderdeel van de strategie kan zijn om een proefopstelling te maken van een aantal apparaten met de software die in het bedrijf gebruikt wordt. Dit, om patches te kunnen testen. Er zijn ook programma’s die patches aanbieden die extra gecontroleerd zijn (zoals G DATA PatchManagement). Hiermee voorkom je ook dat je een (reeds waargenomen!) als Meltdown/Spectre-vermomd stuk malware binnenhaalt.

Dirk Cools, Country Manager G DATA Benelux

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here