Tot voor Spectre en Meltdown, de kwetsbaarheden die recent in de processors van Intel, AMD en ARM werden ontdekt, waren alle aanvallen voornamelijk gericht op kwetsbaarheden in de software of het besturingssysteem. Nu er ook kwetsbaarheden in de hardware (de cpu) zijn gevonden, betekent dit dat we mogelijks voor een nieuw tijdperk staan in cybercrime-bestrijding.
Bij een probleem met de software is het relatief eenvoudig. De uitgever van de software zorgt voor een patch en met een update zou het probleem opgelost moeten zijn. De gebruiker kan veilig verder werken. Bij hardware, zoals cpu’s bij deze recente ontdekking, ligt dit wat anders. Het is veel complexer en je hebt uiteindelijk maar twee opties.Men kan dit door middel van een software-patch trachten te omzeilen. Het gevolg is dat de hardware tot 30 procent trager gaat werken, zoals blijkt uit de recentste berichten. Een tweede oplossing is veel ingrijpender: de hardware component vervangen. Iets wat niet van de ene dag op de andere kan.
Met de komst van Spectre en Meltdown zijn er nu twee kwetsbaarheden bekend en we weten hoe ze werken. Dit betekent dat we nu ook rekening moeten houden met patches voor de hardware. Je kan zeggen dat we mogelijk aan het begin van een nieuw golf staan. Eentje waarvan we de impact nog niet kennen.
Impact in cloudomgeving
Want de scheiding van apps komt in het gedrang. Als men op de computer twee programma’s opent, dan gebruiken die twee programma’s de rekenkracht van dezelfde cpu. Moderne computers vertrouwen tegenwoordig op hun vermogen om verschillende afzonderlijke stukjes code tegelijkertijd uit te voeren, met behoud van de grenzen ertussen (memory boundaries van beide applicaties). Als u bijvoorbeeld een tekstdocument opent terwijl u tegelijkertijd bent ingelogd op de online bank, dan vertrouwen we op het vermogen van de cpu om de scheiding tussen deze applicaties te behouden.
Met de ontdekte kwetsbaarheid van de cpu valt die zekerheid weg en kunnen cybercriminelen via een andere applicatie bijvoorbeeld uw bankdata stelen. In een cloudomgeving heeft dit ook een impact waar verschillende klanten met een virtuele server op dezelfde hardware draaien. Dan zou u zo maar data van andere bedrijven – eventueel zelfs concurrenten – kunnen lezen.
Bescherming
Voor malware die verstopt zit in bestanden, hanteren veel bedrijven het principe van sandboxing. De binnenkomende files (bijvoorbeeld een Word-document) worden in een beveiligde omgeving uitgevoerd. Indien ze veilig zijn, mogen ze door in het systeem. Indien niet, dan blijven ze geblokkeerd. De meeste oplossingen checken enkel wat er gebeurt op vlak van apps en besturingssysteem, maar kijken niet in de cpu. Terwijl u nu wel de cpu moet beginnen te monitoren, zoals bepaalde vendors doen.
Misbruik van de kwetsbaarheid die er nu is in de cpu van verschillende fabrikanten kunt u voorkomen door een aantal stappen uit te voeren:
1. alle machines (pc’s en servers) patchen met de nieuwste os-updates op zowel os-niveau als met patches die door de hardwarefabrikanten worden aangeleverd. Of hardware vervangen.
2. ervoor zorgen dat uw security gateway inkomende bestanden kan tegenhouden door middel van Sandbox cpu level monitoring.
3. op ips niveau op de security gateway bepaalde zaken beveiligen.
Om in de toekomst dergelijke aanvallen te voorkomen, moeten bedrijven dus een preventiestrategie implementeren die proactieve bescherming en een state-of-the-art detectie van misbruik op cpu-niveau combineert.
