Snel naar content
Stealing personal data through a laptop concept

Inergy vs Spectre en Meltdown

Spectre en Meltdown. Nee, helaas zijn het niet de nieuwste films uit Hollywood. Het gaat hier om serieuze veiligheidslekken, te vinden in vrijwel elke pc of telefoon wereldwijd. Schokkend? Op het eerste gezicht wel, maar niets is wat het lijkt.

De twee lekken zijn vrij bijzonder. Negen van de tien keer zit er een lek in de software, maar in deze gevallen zitten de lekken juist in de hardware: in de chips van processors om precies te zijn. De cpu’s van fabrikanten Intel, AMD en ARM zijn hierdoor kwetsbaar geworden. Via deze lekken kunnen hackers terecht bij het (normaliter) meest beveiligde gedeelte van een computer, smartphone, tablet of server, waardoor ze toegang krijgen tot gevoelige informatie, zoals wachtwoorden en bankgegevens.

Lek in ‘speculative execution’

Beide lekken treden op in een proces dat ‘speculative execution’ heet. De korte uitleg: een processor ‘gokt’ als het ware welke gegevens het nodig heeft om een opdracht uit te voeren op basis van eerder ingevoerde gegevens door een gebruiker. Dit versnelt het proces, omdat het de denktijd inkort. Daardoor presteert je computer dus ook sneller. Door de lekken kunnen slimme hackers nu precies die gegokte gegevens inzien (mits zij ze kunnen vinden). Een voorbeeld van gegokte informatie kan dus een wachtwoord zijn.

De details van Meltdown

Meltdown heeft betrekking op computers met een chip van Intel. Hackers kunnen via dit lek toegang krijgen tot het kernelgeheugen, het hart van je computer. Het zou gaan om alle chips vanaf 1995. Google, Microsoft en Linux hebben inmiddels al software-updates gelanceerd die dit lek moeten oplappen. Daarmee is het lek nog niet compleet gedicht, want het probleem zit, zoals al gezegd, in de hardware.

De details van Spectre

Spectre is (gelukkig) een moeilijker te bereiken lek voor hackers. Niet alleen Intel-chips hebben dit probleem, ook chips van AMD en ARM. Via Spectre kunnen kwaadwillenden toegang krijgen tot het geheugen van andere programma’s, waardoor ze gevoelige gegevens kunnen achterhalen. Voor dit lek zijn nog geen concrete oplossingen uitgerold. De mogelijke oplossing is ingrijpend en daarom nog niet beschikbaar: er moeten nieuwe chips worden ontworpen en geïnstalleerd.

Wat doet Inergy aan deze lekken?

Laat het duidelijk zijn: bij Inergy zitten we bovenop onze informatiebeveiliging. Van dit soort lekken schrikken we daarom niet zo snel. Sterker nog, kwesties als deze zijn vrijwel aan de orde van de dag. Zonder dat je het weet of merkt, zorgen wij dat de beveiliging in orde is. Maar de oplossingen voor deze twee specifieke beveiligingslekken hebben een vervelend aspect. De vereiste software-updates hebben een serieuze impact op de performance van machines. Daarom voeren we die updates niet blind uit. Hacken via de gevonden lekken is erg ingewikkeld. Het betekent dat je eigenlijk al ingebroken moet zijn in ons systeem. Gezien alle bestaande beveiligingsmaatregelen op onze omgeving achten we de kans daarop erg klein. Daarnaast is het algemene dreigingsniveau (vastgesteld door het Center for Internet Security) laag. Dit zorgt er samen voor dat we, naast de reguliere beveiligingswerkzaamheden, geen directe actie ondernemen. Maar wees gerust, we houden de ontwikkelingen nauwlettend in de gaten. Bij enige verandering staan we altijd klaar om actie te ondernemen.

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Tips voor een (informatie)veilige zomer

Tips voor een (informatie)veilige zomer

Voor velen is de zomervakantie is gestart. Een tijd van ontspanning en plezier, maar volgens de informatieveiligheid experts van Inergy...

Lees verder

Werken vanuit het buitenland: Carlijn in Zuid-Afrika 

Werken vanuit het buitenland: Carlijn in Zuid-Afrika 

Bij Inergy zijn er meerdere collega’s die naast kantoor en thuiswerken tijdelijk in het buitenland werken. In deze nieuwe reeks vragen we hun hoe het is om vanaf een “niet-standaard” locatie te werken. Deze keer: Carlijn van Schaik, Data Engineer bij Inergy, vanuit Kaapstad in Zuid-Afrika.

Lees verder

Alles over de BIV-classificatie

Alles over de BIV-classificatie

De BIV-classificatie beschrijft een degelijk informatiebeveiligingsbeleid. Ontdek alles over de BIV-classificatie in onze blog.

Lees verder