Aanvallen zoals Spectre en Meltdown zijn voorlopig nog niet in processors opgelost, zo stellen verschillende onderzoekers van Google. Spectre en Meltdown zijn zogeheten “side-channel” kwetsbaarheden waardoor een aanvaller gevoelige informatie van systemen kan achterhalen.

Sinds de ontdekking van de twee aanvallen vorig jaar hebben Intel, alsmede andere chipbedrijven en ontwikkelaars van besturingssystemen en browsers allerlei maatregelen genomen om gebruikers te beschermen. Een echte bescherming tegen dit soort aanvallen is er niet, aldus de onderzoekers. “Onze modellen, onze mentale modellen zijn verkeerd. We hebben al die tijd security ingeruild voor prestaties en complexiteit en we hadden geen idee”, zeggen Ross Mcilroy, Jaroslav Sevcik, Tobias Tebbi, Ben Titzer en Toon Verwaest van Google.

Volgens de onderzoekers is er decennia lang gedacht dat de security van programmeertalen in combinatie met statische en dynamische controles de vertrouwelijkheid kon garanderen tussen berekeningen in dezelfde adresruimte. Het onderzoek van de Googlers laat zien dat er tal van kwetsbaarheden in de huidige programmeertalen aanwezig zijn. Een processor kan niet het verschil zien tussen een goed of een slecht commando. Als de processor de opdracht krijgt om informatie naar een deel van het geheugen te sturen waar het eenvoudig te benaderen is, dan doet de machine dit.

De kwetsbaarheden in combinatie met de huidige processors zorgen ervoor dat de vertrouwelijkheid die middels de programmeertaal wordt afgedwongen, “compleet vernietigd” kan worden. Het isoleren van de hardware en besturingssysteemprocessen is dan ook dringend nodig, aldus de onderzoekers. Mechanismes van programmeertalen om vertrouwelijkheid af te dwingen blijven namelijk kwetsbaar voor side-channelaanvallen, zo stellen ze. De onderzoekers spreken zelfs van drie gigantische problemen, namelijk het vinden van side-channelaanvallen, het begrijpen van de kwetsbaarheden en als laatste het verhelpen ervan.

“Het is een pijnlijke ironie dat de bescherming nog complexere softwareoplossingen vereist, waarvan de meeste onvolledig zijn. En complexiteit zorgt ervoor dat deze drie problemen nog veel lastiger zijn. Spectre is dan ook toepasselijk zo genoemd, aangezien het ons nog lange tijd zal achtervolgen”, concluderen de onderzoekers.