Het is wachten op nieuwe cyberaanvallen na chip-lek

Spectre en Meltdown Er blijken grote fouten te zitten in de chips van bijna alle pc’s en smartphones. Wat kun je ertegen doen? En zes andere vragen.

Vrijwel alle computers ter wereld blijken kwetsbaar door groot lek in chips. Illustratie Getty Images

Door nieuw ontdekte beveiligingslekken in chips zijn nagenoeg alle computers en smartphones sinds deze week kwetsbaarder voor hackers. Nadert een digitale zondvloed, of valt het gevaar juist mee? Zeven vragen.

  1. Wat is er mis?

    Een team van computerexperts van de Amerikaanse overheid heeft beveiligingsfouten gevonden in de chips die in bijna alle computers worden gebruikt. Hackers kunnen daarmee binnendringen tot het hart van de computer – de zogeheten ‘kernel’ – en de gevoelige gegevens die daar worden verwerkt.

    De lekken worden, met enig gevoel voel voor drama, door de ontdekkers ‘Meltdown’ en ‘Spectre’ genoemd. Met Spectre kunnen hackers ook andere programma’s op de computer verleiden om bijvoorbeeld wachtwoorden af te staan.

    Nadat deze week over de lekken is gepubliceerd, zijn bijna alle computers, smartphones en tablets een beetje onveiliger geworden – óók de apparaten van Apple. Clouddiensten, bijvoorbeeld van Google en Amazon, zijn op deze manier ook kwetsbaarder. Wel zijn vrijwel alle grote technologiebedrijven maanden geleden al op de hoogte gebracht zodat zij, voorzover mogelijk, maatregelen konden nemen.

  2. Is het reden tot paniek?

    Het probleem is groot omdat het fundamenteel is: het gaat om bijna alle computers wereldwijd. Maar is er reden tot paniek? Voor consumenten niet, zegt Erik de Jong van beveiligingsbedrijf Fox-IT. Hij wijst erop dat dit gaat om een ingewikkelde manier van inbreken, waarvoor er bovendien eerst kwaadaardige software op een apparaat moet worden gezet. „Dit is een soort naald om een hangslot mee open te peuteren”, zegt De Jong. „Criminelen die je computer willen binnendringen zullen eerder een koevoet gebruiken.”

    Zo’n koevoet is bijvoorbeeld phishing, een methode die onder meer wordt gebruikt voor creditcardfraude. Mensen worden dan verleid om op een linkje te klikken in een nepmail of op een geïnfecteerde advertentie. Zo kunnen betaalgegevens worden onderschept en kan malware op een computer komen.

    The New York Times wees woensdag wel op een ander gevaar. Hackers kunnen bij clouddiensten ruimte huren. Eenmaal binnen zouden ze het trucje kunnen uitbuiten om zo informatie van andere cloudgebruikers te stelen. Dat is inderdaad een probleem, zegt Michiel Steltman, directeur van de Stichting Digitale Infrastructuur Nederland. „Maar hackers weten niet welke andere klanten de opslagruimte van die specifieke computer gebruiken. Het is dan een beetje hengelen en hopen dat je iets leuks tegenkomt.”

  3. Hoe werken deze lekken?

    Meltdown raakt computerchips die na 1995 werden ontwikkeld door Intel – een van de grootste chipbouwers ter wereld. Spectre is een ontwerpfout die door meer chipbedrijven is gemaakt. Daardoor zijn ook smartphones en tablets kwetsbaar. Er is een belangrijke voorwaarde om misbruik te maken van beide lekken. Hackers moeten zichzelf eerst op een andere manier toegang verschaffen tot de computer of smartphone om er malafide software op te plaatsen.

    Spectre is het lastigste uit te buiten: hackers moeten om er misbruik van te maken meer stappen nemen dan bij Meltdown. Tegelijk is het beveiligingsprobleem veel moeilijker op te lossen en belooft het nog jaren problemen te geven.

    De ontwerpfout is gemaakt bij het rekenwerk van een chip. Om computers sneller te maken, voeren chips preventief allerlei berekeningen uit die ze later mogelijk nodig hebben. „We hebben het echt verpest”, zei de onafhankelijke Amerikaanse computerexpert Paul Kocher woensdag tegen The New York Times. Hij was een van de ontdekkers van de lekken. „Deze industrie wilde z’n apparaten zo snel mogelijk hebben en tegelijk veilig. Spectre laat zien dat je het niet allebei kan hebben.”

  4. Wat kun je ertegen doen?

    Updaten, updaten, updaten – en als gemiddelde consument verder niet zoveel. Vooral voor Meltdown ligt de oplossing in het vernieuwen van je software door updates uit te voeren. Sommige zijn nu al beschikbaar, zoals bij mobiele besturingssystemen Android en iOS. Op andere updates is het nog even wachten totdat de fabrikanten en appontwikkelaars ze af hebben. Ook clouddiensten werken hard aan nieuwe updates. Een groot nadeel is wel dat computers van de updates veel trager kunnen worden.

    Eén van de grootste acute zorgen voor consumenten over Meltdown en Spectre is dat kwaadwillenden ze kunnen gebruiken om wachtwoorden te stelen. Nu nog niet alle updates beschikbaar zijn, is het dus extra verstandig geworden om wachtwoorden opnieuw in te stellen, en op zoveel mogelijk diensten zogeheten tweestapsverificatie in te stellen. Daarmee krijg je bijvoorbeeld een sms’je opgestuurd met een code als je wilt inloggen. En kies geen Welkom01 als wachtwoord, maar dat wisten we al.

    Wat betreft Spectre: om dat probleem helemaal op te lossen zijn waarschijnlijk veranderingen nodig aan de chips, de hardware. Het kan jaren duren voordat die nieuwe hardware in winkels ligt en bij consumenten thuis is. „Het is echt een hardwarefout, dat ligt bij de fabrikanten en niet bij de gebruiker zelf”, zegt Inge Philips-Bryan, directeur van de cyberveiligheidstak van adviesbedrijf Deloitte. Het is niet een erg bevredigend advies, maar het is voor een groot deel afwachten totdat fabrikanten en ontwikkelaars van besturingssystemen en antivirusprogramma’s oplossingen bedenken, en totdat alle consumenten hun software updaten en op termijn al hun apparaten vervangen.

    Lees ook: Zo voorkom je een aanval met gijzelsoftware
  5. Wat nu?

    „De kwetsbaarheden door dit lek blijven nog een hele tijd bestaan, en het is wachten totdat criminelen ze gaan exploiteren”, zegt Philips-Bryan. Ze verwacht dat dit lek gebruikt gaat worden voor nieuwe cyberaanvallen, misschien wel zoals de grote aanval met de gijzelsoftware Wannacry waardoor onder meer een Rotterdamse containerterminal en postbedrijf TNT vorig jaar stil kwamen te liggen. Ook die aanval maakte gebruik van een lek waarover kort daarvoor was gepubliceerd. „Spectre en Meltdown lijken technisch gezien niet heel erg geschikt voor dezelfde soort aanvallen met gijzelsoftware, maar je kunt de komende maanden misschien wel grote datalekken verwachten, doordat criminelen manieren vinden om de kwetsbaarheden te misbruiken”, zegt Philips-Bryan. Wel wijst ze erop dat het uitbuiten van het lek ingewikkeld is, wat ook andere veiligheidsexperts constateren.

  6. Wat doen de grote technologiebedrijven?

    Die staan in crisismodus. Na het blussen van de eerste brandjes met updates, moeten chipfabrikanten waarschijnlijk hard aan het werk om dit soort ellende in de toekomst zoveel mogelijk te voorkomen. De lekken zijn ontstaan door ontwerpkeuzes lang geleden. Ontwerpkeuzes die op sommige fronten snelheid verkozen boven absolute veiligheid. Chipfabrikanten zullen na dit fiasco nieuwe manieren moeten bedenken om de balans te zoeken tussen snelheid en veiligheid. Verder zijn vooral de producenten van besturingssystemen, zoals Microsoft, Apple en Google, en anti-virusprogramma’s zoals Kaspersky en McAfee nu hard aan het werk.

  7. Gaan er nog koppen rollen?

    Vooral de bestuursvoorzitter van Intel ligt onder vuur, ook omdat hij voor tientallen miljoenen euro’s aan aandelen en opties in Intel heeft verkocht in november, toen hij al op de hoogte was van het lek. Het is bij dit soort lekken gebruikelijk dat fabrikanten en sommige andere bedrijven onder strikte geheimhouding al worden ingelicht door de ontdekkers van de kwetsbaarheid, voordat zij het publiek maken. Volgens Intel had de verkoop niets te maken met het lek.

    Verder zetten veel cyberveiligheidsdeskundigen vraagtekens bij het feit dat Spectre en Meltdown decennialang onopgemerkt zijn gebleven. Bij eerdere grote lekken bleek dat veiligheidsdiensten soms al veel langer op de hoogte waren van kwetsbaarheden, maar die expres lieten bestaan zodat zij makkelijker konden spioneren. „Ook nu zullen veel onderzoekers en politici op de vraag duiken of dit al langer bij inlichtingendiensten bekend was”, zegt Inge Philips-Bryan.

    • Liza van Lonkhuyzen
    • Wouter van Noort