211service.com
Cyberbeveiligingsfouten in chips laten nog steeds te lang op zich wachten
ERIK CARTER Erik Carter
Toen Intel en een groep beveiligingsonderzoekers in mei het bestaan van nieuwe beveiligingsfouten in oudere generaties microchips van het bedrijf onthulden, kwam het nieuws met een bijzonder verontrustend detail: het duurde meer dan een jaar om een oplossing voor een van de fouten te vinden .
Onderzoekers zeggen dat ze Intel op de hoogte hebben gebracht van de kwetsbaarheid, die ze ZombieLoad noemden, in april 2018, maar een oplossing hiervoor werd pas vorige maand breed uitgerold. Ter vergelijking: softwarebedrijven doen er doorgaans niet meer dan 90 dagen over om patches uit te geven nadat een kwetsbaarheid in hun code is ontdekt. Hoe langer een fout ongeadresseerd blijft, hoe groter de kans dat een hacker deze vindt.
Daniel Gruss, een professor aan de Technische Universiteit van Graz in Oostenrijk en een van de onderzoekers die hebben geholpen om ZombieLoad aan het licht te brengen , denkt dat dingen sneller kunnen gaan. In een e-mail aan MIT Technology Review zegt Gruss dat toen hij en collega-onderzoekers Intel afgelopen april op de hoogte brachten van de kwetsbaarheid, ze een onafhankelijk geverifieerd proof-of-concept hebben geleverd om aan te tonen dat het een echt probleem was. In mei 2018 verstrekten ze Intel verdere details over de fout, waardoor hackers gevoelige gegevens van applicaties die op machines draaien, zouden kunnen bemachtigen.
Intel zegt dat het in eerste instantie het beveiligingslek dat onderzoekers hadden gesignaleerd niet kon reproduceren en daarom meer bewijs nodig had voordat er actie werd ondernomen. Eerder dit jaar stelde het eindelijk vast dat er inderdaad een kwetsbaarheid was en rolde de fix uit.
De spanning onderstreept de uitdagingen van het omgaan met hardwarefouten. Deze zijn vaak veel duurder en moeilijker op te lossen dan softwareproblemen, waardoor een kwetsbaarheidsvenster wordt geopend dat miljarden chips kan aantasten. Daardoor loopt alles, van servers in datacenters tot tabletcomputers en mobiele telefoons, het risico te worden gehackt.
Spook en Kernsmelting
De druk voor een snellere reactie is toegenomen sinds begin 2018, toen details van een andere reeks chipfouten, genaamd Spectre en Meltdown, voortijdig uitlekten. Er ontstond chaos toen bedrijven zich haastten om erachter te komen hoe kwetsbaar ze waren om aan te vallen, en chipbedrijven haastten zich om softwarefixes uit te geven. De aflevering gaf meer aandacht aan chipkwetsbaarheden, wat hackers waarschijnlijk aanmoedigde om er harder naar te zoeken.
Wanneer onderzoekers een beveiligingsfout in software of hardware ontdekken, melden ze dit doorgaans in vertrouwen aan het betrokken bedrijf. De fout wordt verborgen gehouden terwijl het bedrijf aan een oplossing werkt, zodat slechteriken niet op de hoogte worden gesteld van het bestaan ervan. Zodra een fix klaar is, lanceert het bedrijf een publiciteitsblitz om mensen deze zo snel mogelijk toe te passen.
Dit proces, dat bekend staat als gecoördineerde openbaarmaking van kwetsbaarheden (CVD), werkt redelijk goed voor het patchen van software, die doorgaans niet meer dan 90 dagen in beslag neemt in de branche. Maar het duurt nog steeds zorgwekkend lang voor sommige chipgerelateerde risico's.
Ze zijn weliswaar complexer om mee om te gaan. Een familie van chips kan tientallen versies bevatten, die elk gebruik maken van operationele software die microcode wordt genoemd en die ervoor is aangepast. Het oplossen van fouten vereist het bijwerken van de microcode voor al deze versies.
Oplossingen voor gaten in de hardwarebeveiliging kunnen ook updates van zaken als besturingssystemen omvatten, wat betekent dat chipmakers in het geheim nauw moeten samenwerken met andere bedrijven om ervoor te zorgen dat hun herziene microcode nog steeds in harmonie werkt met andere software voordat een fix wordt uitgerold.
Tekenen van vooruitgang
Sinds Spectre en Meltdown heeft de chipindustrie enkele welkome verbeteringen aangebracht in het CVD-proces. Bryan Jorgensen, senior director product assurance en security bij Intel, zegt dat de communicatie tussen bedrijven die betrokken zijn bij het oplossen van beveiligingslekken in hun chips vroeger allemaal via Intel verliepen. Nu kunnen ze vaak rechtstreeks met elkaar samenwerken om te controleren of een patch werkt met hun onderling verbonden systemen.
Patches voor hardwarefouten vereisen vaak dat bedrijven zowel de microcode als de besturingssysteemsoftware updaten. Dit zijn afzonderlijke operaties geweest, waardoor de tijd die nodig is om een fix op zijn plaats te krijgen, toeneemt. Jorgensen zegt dat Intel het nu mogelijk heeft gemaakt om de updates samen te bundelen, zodat beide tegelijkertijd kunnen worden gedaan.
Dergelijke veranderingen zijn welkom, maar er zijn nog tal van andere gebieden waar meer kan worden gedaan. Ze bevatten:
- Verbetering van de relatie met beveiligingsonderzoekers
Academici en industrieonderzoekers die chipfouten vinden en rapporteren, zeggen dat chipmakers nog steeds te geheimzinnig kunnen doen over wat ze doen om ze aan te pakken. Dat kan wantrouwen kweken. Gruss zegt dat hardwarebedrijven idealiter dagelijkse updates aan onderzoekers zouden moeten verstrekken. Hij stelt ook voor om een neutrale derde partij de afhandeling van cyberbeveiligingsincidenten te laten monitoren.
- Instemmen met het vaststellen van een hardware CVD-deadline
Een recent rapport van de non-profitorganisatie Center for Cybersecurity Policy and Law (CCPL) waarschuwt dat wanneer een proces voor het oplossen van hardwarefouten langer duurt dan de norm voor het patchen van software, bedrijven die betrokken zijn bij het CVD-proces in de verleiding kunnen komen om eenzijdige actie te ondernemen om hun klanten en die van henzelf te beschermen belangen.
Dat kan ertoe leiden dat fouten worden blootgelegd voordat patches volledig zijn getest. Het zou helpen om een tijdschema af te spreken voor het oplossen van gaten in de hardwarebeveiliging. De halfgeleiderindustrie zou zich nu kunnen verbinden aan een schema voor het vaststellen van een dergelijke CVD-deadline.
- Mensen informeren over de noodzaak om met hardwaregerelateerde risico's om te gaan
Het ontwikkelen van softwarefixes is vrij zinloos als ze niet wennen. De acceptatie is niet goed voor softwarepatches, maar voor hardware [degenen] is het echt slecht, zegt Ari Schwartz, de uitvoerend coördinator van de CCPL en voormalig senior directeur cyberbeveiliging bij de staf van de Amerikaanse National Security Council.
Simpele dingen, zoals mensen ertoe brengen hun thuisrouters regelmatig opnieuw op te starten zodat de chips erin software-updates ontvangen, zijn nog steeds een uitdaging. Intel en andere chipbedrijven hebben meer programma's gelanceerd om mensen voor te lichten over de risico's en hoe ze deze kunnen aanpakken, maar er zal een nog grotere inspanning nodig zijn.
- Harder werken om beveiligingsfouten in chipontwerpen te elimineren
De nieuwste generaties chips die op de markt komen van Intel en anderen zijn niet langer kwetsbaar voor aanvallen zoals ZombieLoad en Spectre, dankzij veranderingen in de manier waarop ze werken. Maar er is altijd een risico dat er nieuwe soorten kwetsbaarheden ontstaan.
Om het te minimaliseren, zullen chipmakers meer middelen moeten besteden aan het zoeken naar zwakke punten in nieuwe generaties siliciumchips en aan het ontwikkelen van veiligere ontwerpen voor hun halfgeleiders. Het verhogen van de uitgaven op deze gebieden zal pijnlijk zijn voor bedrijven die actief zijn in een zeer concurrerende industrie, maar nu chips zijn ingebed in steeds meer apparaten, van autonome voertuigen tot slimme luidsprekers in huizen, stijgen de kosten van beveiligingsstoringen dramatisch.