VU ontdekt megalek in Intel-chips

Lekke hardware Dankzij een foutje bracht de VU een megalek in Intel-chips aan het licht. Intel betaalt de prijs voor een snel maar risicovol ontwerp.

Stephan van Schaik was een van de studenten die samen met hackexperts en docenten van de VU in Amsterdam een kwetsbaarheid blootlegden in Intel-chips.
Stephan van Schaik was een van de studenten die samen met hackexperts en docenten van de VU in Amsterdam een kwetsbaarheid blootlegden in Intel-chips. Foto Olivier Middendorp

Twee stellingkasten van de Ikea vol computeringewanden, een wirwar aan kabels en een stapeltje tweedehands processors. Het is niet meteen het testlab dat je verwacht van waaruit onderzoekers van de Vrije Universiteit het geraffineerde, supercomplexe lek afgelopen maanden blootlegden.

Hier, in lokaal P455, op de vierde verdieping van het W&N-gebouw in Amsterdam, werd aangetoond dat alle Intel-processors van de afgelopen tien jaar gevoelig zijn voor een ingrijpend lek. Dat komt er op neer dat meer dan 80 procent van alle computers ter wereld gevoelig is voor een aanval die toegang geeft tot data tot in het hart van de computer.

RIDL, zoals de nieuwe kwetsbaarheid is gedoopt, kwam door toeval aan het licht. Op dinsdag 11 september sleutelde Stephan van Schaik, student Computerwetenschappen aan de VU, aan zijn studieopdracht: onderzoek doen naar een lek in de Intel-processor.

Lees ook: VU ontdekt megalek in Intel-chips

Van Schaik: „Ik was een uurtje bezig maar schoot niet op. Ik paste wat aan in mijn code en toen zag ik iets vreemds in beeld verschijnen. Waarden die ik niet verwacht had.”

Van Schaik had een foutje gemaakt, een bug in een bug, waarmee hij opeens kon meekijken wat er in een andere programma gebeurde. Het was een groter en ernstiger lek dan hij eigenlijk zocht.

Zijn collega’s en docenten bleken net zo verbaasd. Samen schreven ze in korte tijd meer dan twintig ‘exploits’ – aanvalsscenario’s waarmee hackers de controle over de computer krijgen.

Eén van die trucs: door met een foutief wachtwoord in te loggen, dwingt de aanvaller de computer dat verkeerde wachtwoord te vergelijken met het juiste wachtwoord. Deze gegevens lopen door de ‘pijplijnen’ van de chip en die kunnen worden afgeluisterd, waarna de hacker na wat geknutsel het juiste wachtwoord kan achterhalen. „Je vindt fragmenten. Alsof je een papieren document door de shredder haalt en daarna weer de snippers in elkaar zet”, zegt Herbert Bos, hoogleraar systeem- en netwerkveiligheid aan de VU.

Stephan van Schaik werd erop uitgestuurd om zoveel mogelijk verschillende processors te kopen, om te kijken of ze allemaal kwetsbaar waren.

En dat was zo. Zelfs het oudste exemplaar, uit 2008, dat via Marktplaats op de kop getikt werd, bleek kwetsbaar voor RIDL, oftewel Rogue In-Flight Data Load. En dus, werd Intel direct gewaarschuwd.

Een biertje graag

Het is niet de eerste keer dat Intel in de problemen komt met een lek in zijn processors. De chip is extra snel omdat hij op de zaken vooruit loopt: telkens speculeert de processor welke data waarschijnlijk als volgende nodig zijn. Dat levert risico’s op, omdat computerprocessen niet goed van elkaar gescheiden blijven.

Universitair docent Kaveh Razavi vergelijkt het met een café: de processor werkt als een serveerster die ervan uitgaat dat je hetzelfde wilt drinken als degene voor je. Het glas wordt automatisch volgeschonken, zonder dat de serveerster controleert of je dat biertje wel mag hebben.

De oplossing: na elke opdracht moet het dienblad leeggegooid worden. Dat maakt de processor trager. Afhankelijk van de programma’s die je gebruikt kan het snelheidsverschil aanzienlijk zijn, verwachten de onderzoekers. Dat verklaart waarom Intel zo lang aanhikte tegen het repareren van dit lek.

RIDL snijdt dwars door alle bestaande beveilingslagen heen. Dat geldt voor de datacentra waar virtuele systemen vaak op dezelfde server draaien. Ook de versleutelde omgeving die Intel voor zakelijke klanten bedacht, is kwetsbaar.

Premie met bijsmaak

Hoewel onderdelen van het lek door meerdere onderzoekers van verschillende universiteiten en bedrijven zijn gevonden, heeft de VU het grootste deel ontdekt. De Amsterdamse universiteit krijgt ook als enige partij een beloning: 100.000 dollar (89.000 euro), Intels maximale beloning voor ontdekkers van kritische lekken.

Er zit wel een bijsmaakje aan de premie. Volgens de VU probeerde Intel de ernst van het lek te bagatelliseren door 40.000 dollar beloning officieel uit te keren en daarnaast nog eens 80.000 dollar ‘los’. Dat aanbod werd beleefd geweigerd.

Wie een beloning accepteert, moet zich ook aan de spelregels houden. Dat betekende in dit geval: geen overleg tussen onderzoekers onderling en onduidelijkheid over welke softwarefabrikanten van tevoren gewaarschuwd werden. Techbedrijven redeneren niet in het belang van de gebruiker, maar van de aandeelhouder, vinden de onderzoekers.

Intel verzuimde aanvankelijk om Google en Mozilla, twee belangrijke browserfabrikanten, in te lichten.

De VU probeerde de fabrikant te dwingen sneller naar buiten te komen. Uiteindelijk dwong de VU af dat Intel in mei naar buiten zou komen – anders zou de universiteit zelf de details publiceren. „Als het aan Intel had gelegen hadden ze nog wel een half jaar willen wachten”, zegt Bos.

Intel had beloofd dat de volgende generatie chips niet kwetsbaar zou zijn voor RIDL, maar dat blijkt niet het geval.

Lees ook: Het is wachten op nieuwe cyberaanvallen na chip-lek

Hackers hebben het meestal voorzien op kwetsbaarheden in software. Onontdekte gaten (zero days) in belangrijke programma’s worden in het zwarte circuit voor veel geld verkocht. Maar na Spectre en Meltdown, twee fundamentele gaten die eerder in Intel-chips werden gevonden, richten zowel de ethische computerexperts als de criminele figuren hun pijlen op hardware. „Processors zijn zo complex geworden dat chipmakers de beveiliging niet meer onder controle hebben”, aldus Bos.

En wat moet je als computergebruiker? Updaten, updaten en nog eens updaten. De verwachting is dat alle belangrijke softwarefabrikanten het lek dichten of al gedicht hebben in de laatste versies. Niet voor niets komt RIDL naar buiten op Patch Tuesday, de maandelijkse update-dag van Microsoft.

Correctie (15 mei 2019): In een vorige versie van dit artikel stond de naam van Stephan van Schaik foutief gespeld als Van Schaijk.