hacker hipster sleutels computer

De befaamde onderzoeksgroep softwarebeveiliging van Herbert Bos heeft weer voor schokgolven gezorgd in de computerbeveiligingsgemeenschap. Zij vond na intensief speurwerk een nieuwe route om vrijwel iedere computer te kunnen hacken.

In iedere duizend regels computercode zitten een handvol fouten. Hackers proberen deze fouten uit te buiten. Als hackers dankzij die fouten het programma zover krijgen dat het andere instructies gaat uitvoeren dan de programmeur bedoelde, dan besturen zij de computer.

In de praktijk is dat lastig, omdat de zogenaamde machine-instructies random, willekeurig, verstopt zijn in het geheugen van de computer. Dit heet Address Space Layout Randomization (ASLR). Het is de eerste verdedigingslinie tegen hackers. De VU-onderzoekers Ben Gras, Kaveh Razavi, Cristiano Giuffrida en Herbert Bos hebben nu niet alleen  laten zien dat deze verdedigingslinie fundamenteel kwetsbaar is, maar ook hoe je die met JavaScript kunt doorboren. JavaScript is een computertaal die websites gebruiken. Nu blijkt dat deze taal de mogelijkheid biedt om ASLR te kunnen overwinnen, is iedere computer via een website te hacken.

Beveiliging op het niveau van de jaren negentig

Het probleem is moeilijk op te lossen, omdat het geworteld is in de architectuur van de computerchips van Intel, NVidia en Samsung. ‘ASLR is een belangrijk principe waarop veel van de nieuwste beveiligingen gebaseerd zijn. En die voldoen dus niet’, zegt Herbert Bos, per telefoon.

Wat kun je ertegen doen?
‘Niet zo veel. In zekere zin is de beveiliging van bijvoorbeeld je browser weer op het niveau van de jaren negentig.’

Moet je dit gegeven dan eigenlijk wel publiceren?
‘We hebben dit natuurlijk al een tijd geleden gemeld aan de chips-bouwers. Maar wij denken dat als iets fundamenteel kwetsbaar is, dat je dat moet melden. Anderen kunnen het ook vinden, of hebben het misschien al gevonden. Er  zijn meer slimme teams in de wereld.’

Zoals de NSA?
‘Het zou me niets verbazen als zij deze methode al kennen. We moeten dus betere beveiligingsmethoden vinden.’

Reacties van softwarebedrijven en chipmakers

Apple bedankt het team van Herbert Bos, en heeft een update van Safari gemaakt die de aanval moeilijker maakt. Ze vertellen niet precies hoe. Microsoft, Intel en Mozilla bagatelliseren het probleem in reacties op vragen van Wired Magazine.

Dit geeft weer hoe kwetsbaar onze computers zijn en hoe afhankelijk we zijn van producenten van computerchips en software.

Op 2 maart 2017 besteedt De Kennis van Nu aandacht aan hoe we onze infrastructuur minder kwetsbaar kunnen maken voor onveilige computersystemen.

Ontdek meer in de special