Opinie

    • Marc Hijink

Hackende zombies verkopen beter

Marc Hijink

Op dezelfde dag dat onderzoekers van de Vrije Universiteit het megalek ‘RIDL’ in honderden miljoenen Intel-chips bekendmaakten, berichtten Duitse media dat Belgische en Oostenrijkse wetenschappers net zo’n lek hadden gevonden. Ze noemden het niet RIDL maar ZombieLoad.

Zoveel toeval bestaat toch niet, schreef een oplettende lezer. Hoe kan het dat haar krant alleen RIDL vermeldde en de zombies links liet liggen?

De verklaring is veiligheids-PR. De bekendmaking van het grote Intel-lek, afgelopen maand, was een strak geregisseerde show, waarbij het imago van de fabrikant overeind moest blijven – „deze kwetsbaarheid is alleen in het laboratorium aangetroffen”. Tegelijkertijd moesten de ontdekkers, en dat waren er een heleboel, erkend worden voor hun werk.

De VU was de eerste, maar meerdere instituten, waaronder universiteiten in Leuven (België) en Graz (Oostenrijk) hadden kwetsbaarheden gevonden die in het verlengde van RIDL liggen. De overzichtspagina waarop deze lekken (RIDL, Fallout en ZombieLoad) staan beschreven laat zich lezen als de aftiteling van een speelfilm. Elke medewerker moet worden vermeld – van componist tot cateraar. Ere wie ere toekomt, in alfabetische volgorde.

De VU was de enige ontdekker die een premie kreeg, vandaar dat NRC zich daarop richtte. Dat er illegale handel is in onontdekte kwetsbaarheden, is bekend. Maar ook bij ethische hackers wordt onderhandeld. De VU-onderzoekers krijgen een premie van Intel – een bug bounty – van 100.000 dollar. Dat is het maximale bedrag dat het bedrijf uitkeert.

Volgens de VU had Intel eerst geprobeerd het lek ‘af te kopen’ met een officiële premie van 40.000 dollar plus een officieuze beloning van 80.000, in het handje. Zo zou het probleem voor de buitenwacht minder ernstig lijken en zou de universiteit er 120.000 dollar rijker op worden. De VU weigerde.

De VU nodigde Nederlandse media uit met het lokkertje dat een lek was ontdekt waar zelfs The New York Times wel oren naar had. Zo brachten naast NRC ook de Volkskrant en RTL op dinsdag 14 mei, stipt om 19.00 uur, het RIDL-nieuws naar buiten. Precies tegelijk met Intels eigen bekendmaking.

De buitenlandse pers koos echter voor ZombieLoad – na goede PR van de Universiteit van Graz. Ook The New York Times liet RIDL onvermeld. In een bericht getiteld The Internet Security Apocalypse You Probably Missed viel, een week later, alleen de naam ZombieLoad.

Ik denk dat het aan de naam ligt. ZombieLoad, met een bloedrood logo van een zombiehand die naar een chip grijpt, klinkt als een horrorfilm voor boven de achttien. Spannender dan het raadselachtige RIDL (Rogue In-Flight Data Load).

Hoe ingewikkelder het lek, hoe platter de naam moet zijn. De ellende wat opvoeren kan ook geen kwaad. Kijk je naar soortgelijke Intel-lekken, dan is de ondergang nabij: Meltdown (storing in kernreactor), Spectre (de terroristische organisatie uit James Bond-films) en FallOut (nucleaire stofwolk).

Dat is de les voor ethische hackers. Zombies en rampen verkopen beter dan raadsels. Wie er het best in slaagt het einde der tijden te verkondigen, is de held van de dag.

Marc Hijink is redacteur technologie