Managed hosting door True

KU Leuven kraakt beveiliging Intel-processors

Brandkast gekraakt: technologie rond Intel SGX niet waterdicht

Dit artikel delen:
cybersecurity

Wetenschappers van de KU Leuven hebben de beveiligingsmethode die Intel gebruikt in zijn processoren gekraakt. Intel geeft het lek toe en lanceerde intussen een update voor miljoenen processoren. De impact is groot, ook voor cloudplatformen.

Technologiereus Intel rust zijn processoren sinds enkele jaren uit met een innovatieve beveiligingsmethode. Die werkt als een brandkast voor je persoonlijke gegevens. Maar met de aanval Foreshadow, de naam die de computerwetenschappers van de KU Leuven er zelf aan gaven, tonen de wetenschappers intussen aan dat het systeem toch te kraken valt. Ook informatie verwerkt in cloud-systemen blijkt kwetsbaar voor dit type aanval.

Wolkenkrabber

Computersystemen zijn opgebouwd uit verschillende lagen, die telkens miljoenen regels code bevatten. Vermits die nog manueel geschreven wordt, is de kans op een fout altijd aanwezig. En als er een fout optreedt, dan is het volledige computersysteem kwetsbaar. De wetenschappers vergelijken de situatie met een wolkenkrabber: ‘als één van de verdiepingen beschadigd is, dan dreigt het hele gebouw in te storten.’

Malware buit dergelijke fouten namelijk uit om toegang te krijgen tot gevoelige of persoonlijke informatie op de computer, van paswoorden tot bedrijfsgeheimen.

Om zijn processoren te beveiligen tegen dergelijke inbraken kwam Intel in 2015 met een innovatieve technologie: Intel Software Guard eXtensions (Intel SGX). Die technologie creëert geïsoleerde omgevingen in het geheugen, zogenaamde enclaves, waar data en toepassingen op een veilige manier  gebruikt kunnen worden.

Netflix

Als je een computersysteem bekijkt als een wolkenkrabber, dan zijn die enclaves een brandkast, legt onderzoeker Jo Van Bulck van de afdeling Informatica KU Leuven uit. ‘In die brandkast kan je persoonlijke informatie, zoals paswoorden of medische gegevens, bewaren’, stelt hij. ‘Zelfs als het gebouw instort, zou de brandkast zijn geheimen nog altijd niet mogen prijsgeven.’

Of men kan enclaves gebruiken om auteursrechten te beschermen. ‘Zo kunnen klanten van streamingdiensten zoals Netflix bijvoorbeeld wel films bekijken, maar raken ze niet aan de data om ze te kopiëren.’

Niet waterdicht

Tot nu toe leek de technologie waterdicht, maar onderzoekers van de KU Leuven hebben toch een lek ontdekt. Hun aanval Foreshadow, die ze uitvoerden samen met Technion - Israel Institute of Technology, University of Michigan en The University of Adelaide, toont aan dat de inhoud van de enclaves toch te achterhalen is.

De aanval maakt gebruik van speculative execution, vertelt KU Leuven-onderzoeker Raoul Strackx. Om snel te kunnen werken, gaat een processor bepaalde berekeningen al voortijdig uitvoeren. ‘Als blijkt dat de berekeningen op ongeoorloofde manier informatie uit een enclave aanspreken, dan worden die weer verwijderd, maar daar gaat Intel SGX in de fout. Want niet alle sporen van de berekeningen worden gewist en zo konden we binnendringen in de enclave’, aldus Strackx. 

Ook cloudplatformen kwetsbaar

De computerwetenschappers hebben naar eigen zeggen Intel al begin dit jaar op de hoogte gebracht van dit veiligheidsrisico. Op die manier had het technologiebedrijf ruim een half jaar de tijd om het lek weer te dichten. 

Uit de analyse van Intel bleek bovendien dat de impact van het lek nog groter is dan verwacht. Zo worden onder meer  de populaire Xeon- en Core-lijnen geviseerd. Dit type aanval kan bovendien niet alleen de enclaves binnendringen, maar maakt ook de beveiliging van cloud-platformen kwetsbaar. De impact van het lek is dus vrij groot.

Intel erkent én ondersteunt

Op zijn website erkent Intel de lekken en zegt het dat het maatregelen genomen heeft en nog zal nemen. 

Volgens professor Frank Piessens van het Departement Computerwetenschappen aan de KU Leuven (en lid van de divisie ‘gedistribueerde software en veilige software’) heeft Intel als bedrijf tenslotte ook besloten om zijn departement de komende jaren te ondersteunen om mee te zoeken naar oplossingen voor cybersecurity.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.