Vorige week kwamen twee grote en unieke beveiligingslekken in computerchips in het nieuws, die het mogelijk maken voor aanvallers om wachtwoorden en andere gevoelige gegevens uit te lezen. Sindsdien zijn beveiligingsexperts druk bezig met puinruimen. Hoe staat het er na een halve week mee?

Doordat de lekken in de hardware van de computer zitten – en dus niet in de software, zoals vaker gebeurt – is het lastig oplossen. De enige échte oplossing is het maken en inbouwen van nieuwe chips. Op een gegeven moment zullen nieuwe apparaten dus veilig zijn voor dit probleem, maar dat duurt nog wel even. Vrijwel alle apparaten die nu nog in de winkel liggen zijn kwetsbaar voor een of beide lekken.

Meltdown en Spectre

Updates voor besturingssystemen en software kunnen wel helpen om de beveiligingsproblemen in te dammen. Een van de twee lekken, het vooral in laptops en computers voorkomende Meltdown-lek, is goed op te lossen met een update. Daarvan kan de computer echter wel trager worden.

Het Spectre-lek is moeilijker te misbruiken door hackers, maar het kan ervoor zorgen dat een malafide website bijvoorbeeld gegevens van andere websites of apps uitleest. Dat lek, dat ook telefoons treft, is lastiger op te lossen. Elk softwarepakket, zoals een app of een programma op je desktop, moet er zelf voor zorgen dat het niet vatbaar is.

Ook een update voor het programma dat de chip aanstuurt, helpt. Intel heeft beloofd alle processors die in de afgelopen vijf jaar zijn gemaakt deze maand een update te geven, die gebruikers binnenhalen bij het updaten van hun pc. Hoe het met oudere exemplaren zit, is onbekend.

Updates

Na een aantal andere fabrikanten heeft nu ook Apple beveiligingsupdates uitgebracht. Bezitters van een relatief recente iPhone, iPad of een Mac(Book) kunnen een beveiligingsupdate installeren die een groot deel van de zorgen wegneemt.

De software-update voor iOS bevat onder meer verbeteringen in de mobiele webbrowser, die ervoor moet zorgen dat websites geen gegevens kunnen buitmaken.

Wat houden de lekken ook alweer in?

De Spectre- en Meltdown-lekken zitten in de computerchip zelf, terwijl bugs normaal gesproken in het besturingssysteem of de software zitten. De impact is daardoor groot: het lek treft een rekentrucje dat veel processors gebruiken.

Processors zijn tegenwoordig heel snel – sneller dan de software kan bijhouden. Daardoor rekenen ze alvast vooruit, waarbij berekeningen worden ‘geraden’. Nu blijkt dat een hacker daar misbruik van kan maken en de processor ertoe kan verleiden om frauduleuze commando’s uit te voeren.

Vorige week kwam Microsoft al met een oplossing voor computers met Windows. Toen bleek al dat niet iedereen daar baat bij had, omdat in sommige gevallen virusscanners de update tegenwerken. Sommige virusscanners zullen dus eerst moeten worden bijgewerkt, voordat hun gebruikers de update kunnen installeren.

Ook Google’s mobiele besturingssysteem Android, evenals het vooral op laptops gebruikte ChromeOS, hebben een update. Veel gebruikers van Android moeten echter nog even wachten tot de maker van hun smartphone de update overneemt en uitrolt. Sommige Android-telefoons zullen nooit een update krijgen, omdat de oudere modellen niet meer ondersteund worden.

Browsers

Ook updates voor individuele computerprogramma’s, die nodig zijn om te beschermen tegen het Spectre-lek, staan op de rol. De Edge-browser van Microsoft is al bijgewerkt en moet gebruikers beschermen tegen het Spectre-lek. Ook de Firefox-browser is bijgewerkt en moet misbruik van het lek moeilijk maken.

Google Chrome krijgt later deze maand ook een update, maar wie zich zorgen maakt kan voor de zekerheid al wel een beveiligingsmaatregel inschakelen die het moeilijk maakt om het lek te misbruiken.

 

Source: Een krappe week na het megalek in computerchips: hoe nu verder?