Groot lek in Intel-processors

1. Nederlandse onderzoekers ontdekken groot lek in Intel-processors die in driekwart van alle computers zitten

Bron: 14 mei 2019, de Volkskrant, door Laurens Verhagen en Huib Modderkolk

Onderzoekers van de Vrije Universiteit hebben een lek ontdekt in processors van Intel die in praktisch elke moderne computer zitten. Daarmee is het mogelijk om gevoelige data uit het geheugen te halen – zoals wachtwoorden en bankgegevens.

Om het lek te kunnen misbruiken, is niet meer nodig dan het verstoppen van een paar regels code in een advertentie op een website. Zolang de onwetende bezoeker deze site open heeft staan, lekt hij informatie.

Het lek, dat dinsdagavond door Intel openbaar werd gemaakt, maakt gebruik van een fundamentele ontwerpfout in de processors van Intel die in laptops en desktops vanaf 2008 zitten. Om de snelste chips te maken, haalt Intel een trucje uit: de processor werkt alvast vooruit in afwachting van een rekenopdracht. De hardware gokt als het ware welke informatie een gebruiker nodig heeft. Daar maakt RIDL (Rogue In-Flight Data Load), zoals het nieuwe lek door de VU is genoemd, misbruik van: het vraagt niet-bestaande informatie op van de chip en in plaats van een foutmelding, krijgt het echte, recent opgeslagen informatie terug. Door deze handeling te herhalen, kan een aanvaller waardevolle informatie uit het geheugen van een computer halen.

Volgens Herbert Bos, hoogleraar Systems and Network Security aan de VU en mede-ontdekker van het lek, toont de vondst dat hedendaagse processors zo complex zijn geworden dat chipmakers er maar niet in slagen de veiligheid onder controle te krijgen. Vorig jaar werden er ook al twee flinke lekkages in processors ontdekt: Spectre en Meltdown geheten. Beide lekken werden gedicht, maar dat gebeurde provisorisch. Aangezien de kwetsbaarheid in de hardware zit, en niet zoals bij de meeste lekken in de software, is deze lastig te verhelpen. Feitelijk kan dat alleen met een omweg, via software-updates.

Levendige handel

De onderzoekers meldden het lek in september 2018 bij Intel. Dat is een gebruikelijk procedé bij onderzoekers en hackers die geen kwade bedoelingen hebben; op deze manier krijgen fabrikanten ruim de tijd hun lekken te dichten. Het is echter de vraag of de door de onderzoekers van de VU ontdekte kwetsbaarheid niet toch al langer wordt misbruikt. Er bestaat een levendige handel in dergelijke grote lekken. Criminelen of geheime diensten hebben er veel geld voor over. De Nederlandse onderzoekers kregen 100 duizend dollar van Intel voor het melden van hun ontdekking.

Volgens Bos ligt nu een nieuw jachtgebied open. ‘We hebben er simpelweg geen idee van hoeveel kwetsbaarheden in hardware er nog voor het grijpen liggen. Als we niet meer op onze hardware kunnen vertrouwen, valt het fundament weg onder al onze pogingen om software veilig te maken.’

     2. Pentagon intel official pleads guilty in Chinese spying case

Bron: The business times 16 maart 2019

[WASHINGTON] A former US Defense Intelligence Agency official will be jailed for 15 years after pleading guilty Friday to charges of attempting to sell classified information to the Chinese, the Department of Justice said.

Ron Rockwell Hansen, 58, a former DIA operative based in Beijing, was arrested in June while preparing to board a flight to China carrying classified information.

Investigators said Hansen, a fluent Mandarin Chinese and Russian speaker, had fallen into deep financial trouble from 2013 to 2016 and was paid more than US$800,000 by Chinese intelligence for US secrets.

During that time they found that he had regular meetings with Chinese intelligence agents that he never reported, used cellphones provided him by Chinese sources and retained classified information to which he was not supposed to have access.

   3.’Google beperkt toegang Huawei tot Android-besturingssysteem’

Bron: NOS website 20 mei 2019

Google heeft de toegang van telefoonmaker Huawei tot het besturingssysteem Android beperkt. Dat melden persbureau Reuters en de Amerikaanse techsite The Verge. Volgens die laatste is de Android-licentie helemaal ingetrokken, Reuters zegt dat Huawei van een deel van het besturingssysteem geen gebruik meer kan maken.

Googles moederbedrijf Alphabet volgt de nieuwe, strengere regels van het Amerikaanse ministerie van Economische Zaken. Google zegt dat voor bestaande Huawei-telefoons niets verandert. Maar mogelijk dat op nieuwe Huawei-telefoons apps als Play Store, Gmail en YouTube niet meer gebruikt kunnen worden. Ook nieuwe beveiligingsupdates zijn dan waarschijnlijk niet niet meer beschikbaar.

Google laat in een reactie weten dat bekeken wordt wat de nieuwe regels voor gevolgen hebben. Huawei heeft nog niet gereageerd.

Nieuwe regels

Donderdag ondertekende president Trump een decreet waarmee het Amerikaanse bedrijven wordt verboden telecomapparatuur te gebruiken die is gemaakt door bedrijven die een nationaal veiligheidsrisico vormen.

De VS is bang dat de Chinese overheid netwerken en materiaal van Huawei gebruikt voor spionage. Het bedrijf spreekt dat in alle toonaarden tegen en is bereid om contractueel vast te leggen dat er niet wordt gespioneerd.

Huawei kan wel gebruik blijven maken van het Android Open Source Project, de meest eenvoudige versie van Android