Background news

Het is inmiddels alweer drie weken geleden dat we door Google en consorten op de hoogte werden gesteld van drie kwetsbaarheden, beter bekend als Meltdown en Spectre, waarvan de laatste twee varianten kent. In de aanloop was al een en ander naar buiten gekomen, waardoor een vroege publicatie niet meer te vermijden was. Bij de bekendmaking was het al wel duidelijk dat de cpu-lekken niet allemaal even eenvoudig uit de wereld te helpen zouden zijn. Daarnaast toonde het onderzoek van verschillende partijen aan dat er naast lekken in software ook de nodige fundamentele tekortkomingen op hardwarevlak bestaan, zoals al doorschemerde bij de publicatie van Rowhammer in 2015. Gezien de ernst en complexiteit van Meltdown en Spectre is het verbazingwekkend dat de kwetsbaarheden sinds halverwege vorig jaar tot aan hun onthulling stil zijn gehouden.

Schreven we eind vorig jaar nog over het nut van branded vulnerabilities, beginnen we dit jaar meteen goed met twee nieuwe varianten met een eigen logo en website. Onderzoekers hebben details over de zogenaamde Meltdown- en Spectre-kwetsbaarheden gepubliceerd, die zich in het geval van het tweede lek voordoen bij moderne processors van Intel, ARM en AMD. De kwetsbaarheden maken het mogelijk om geheugen uit te lezen van de kernel en van andere processen, iets dat eigenlijk niet zou moeten kunnen door geheugenisolatie. Omdat dit wel blijkt te kunnen, behoort toegang tot gevoelige gegevens zoals wachtwoorden en privésleutels tot de mogelijkheden. In dit artikel gaan we kort in op de belangrijkste vragen rond de gepubliceerde lekken. Tweakers sprak daarnaast met Herbert Bos, die hoogleraar Systems and Network Security aan de VU Amsterdam is en aan het hoofd staat van de VUSec-onderzoeksgroep.

Het afgelopen jaar is er een recordaantal kwetsbaarheden in software ontdekt, waarbij Android het product is waar de meeste beveiligingslekken in werden gevonden. Dat blijkt uit cijfers van CVE-Details. CVE staat voor Common Vulnerabilities en Exposures.

Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen. Vervolgens kan de betreffende kwetsbaarheid via het uitgegeven CVE-nummer worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. In 2017 werden in totaal 14.709 CVE-nummers uitgegeven. In zowel 2015 als 2016 ging het in beide jaren om zo'n 6400 CVE-nummers.

123456 en password zijn nog altijd de meestgebruikte wachtwoorden, zo blijkt uit het jaarlijkse onderzoek van SplashData, aanbieder van een wachtwoordmanager. Voor het onderzoek (pdf) werden 5 miljoen wachtwoorden van met name Amerikaanse en Europese internetgebruikers geanalyseerd.