Veiligere chips laten nog zeker maanden op zich wachten
De veiligheidslekken die gisteren in vrijwel alle laptops, telefoons en tablets zijn aangetroffen, kunnen het beste opgelost worden met nieuwe chips. Maar het kan nog heel lang duren voordat deze op de markt zijn, zeggen deskundigen.
De lekken zitten niet in de software, maar in de centrale chip in de apparaten zelf. Mensen die kwaad in de zin hebben zouden via de lekken bij persoonlijke data kunnen, zoals wachtwoorden en gevoelige documenten.
Mogelijke oplossingen
In principe moet die toegang zijn afgeschermd, maar door een ontwerpfout in chips van Intel en ARM is die toegang wel te forceren. Betekent dit dat je nu je computer moet vervangen?
Niet direct. Door de software aan te passen die de chips aanstuurt, kun je de manier waarop de chip werkt zo veranderen dat het heel moeilijk wordt om toegang tot die gegevens te krijgen.
"Wie deze lekken wil misbruiken, moet door een aantal hoepels springen", zegt Michel van Eeten, hoogleraar cybersecurity aan de TU Delft. "Door de software aan te passen, maak je de hoepel heel klein."
Software- en techbedrijven werken nu hard aan zulke oplossingen. Microsoft en Apple hebben voor hun computers inmiddels software-updates uitgebracht. Dat zijn wel tijdelijke oplossingen, die computers bovendien een stuk trager maken.
Hoe lang gaat dat duren?
Nog veiliger zou het zijn om de chip vervangen. In dit geval betekent dat: het hele apparaat dat de chip bevat vervangen, en dus een nieuwe tablet, telefoon of computer kopen. Dat heeft natuurlijk alleen maar zin als er nieuwe chips beschikbaar zijn die dit veiligheidsprobleem niet bevatten. En die zijn er niet van de ene op de andere dag.
"Dat kan best even duren", zegt Martijn van der Linden, woordvoerder van de Nederlandse chipmaker NXP. Het bedrijf weet pas van de lekken sinds ze donderdag wereldnieuws werden. Of de problemen ook bij de chips van NXP spelen, is nog niet duidelijk. Dat zoekt de fabrikant nu uit.
In het algemeen komt er veel bij kijken om een nieuwe chip op de markt te brengen. Van der Linden: "Stel: we hebben een oplossing en we beginnen morgen met produceren. Dan duurt het nog wel twee of drie maanden voordat die bij de fabrikant van de apparaten ligt."
Werken met apparaten zonder kwetsbaarheden kan nagenoeg niet.
Grote chipfabrikanten en -ontwerpers als Intel, AMD en ARM waren al wel op de hoogte van het lek, waardoor de kans groot is dat ze al bezig zijn met het ontwerpen of zelfs al maken van chips zonder het beveiligingsprobleem.
Fabrikanten moeten de nieuwe chips dan nog wel in hun computers en telefoons verwerken. Het kan dan nog eens maanden duren voordat die uiteindelijk in de winkel liggen. "En dan gaan we ervan uit dat je al een oplossing hebt. Die moeten we eerst nog bedenken."
Van Eeten sluit zich daarbij aan. "Mijn vermoeden is dat je zeker een half jaar moet wachten als consument voordat er apparaten met nieuwe chips beschikbaar zijn waarin dit probleem verholpen is."
Is dat erg?
Ja en nee. Tot nu toe zijn er nog geen aanwijzingen dat de lekken zijn misbruikt. Maar dat is ook moeilijk te achterhalen. Volgens de onderzoekers die de problemen ontdekt hebben, is het voor gebruikers niet mogelijk om inbreuk te ontdekken, omdat inbrekers geen sporen achterlaten.
Nu het nieuws over de zwakke plekken in de beveiliging naar buiten is gekomen, is de kans wel groter dat kwaadwillenden er misbruik van gaan maken.
In tegenstelling tot consumenten zijn veel bedrijven wel gewend aan het omgaan met beveiligingsproblemen, benadrukt hoogleraar Van Eeten. "Elke dag worden er kwetsbaarheden in computersystemen ontdekt. Werken met apparaten zonder kwetsbaarheden kan nagenoeg niet."
Soms kiezen ze er zelfs bewust voor om een software-update die bepaalde veiligheidsproblemen op kan lossen niet te installeren, aldus Van Eeten. Dat was te zien bij de ransomware-aanval van begin vorig jaar, toen onder meer transportgigant Maersk werd getroffen.
"Dan denk je: 'hé, zit er iemand te slapen?' Maar dat hoeft niet zo te zijn. Het kan zijn dat er in de nieuwste update veranderingen in het besturingssysteem zitten, die kunnen botsen met een applicatie van het bedrijf zelf. Dan zou het netwerk plat kunnen gaan."