Intel

Windows, macOS, Linux: deze besturingssystemen draaien allemaal op computerchips van Intel. Maar die chips blijken nu zelf een ander besturingssysteem te herbergen, MINIX. Zelfs de maker van MINIX wist dit niet. En het is niet erg veilig.

Alle computers en devices in de wereld worden bediend door besturingssoftware (OS), en iedereen maakt er wel gebruik van: Windows, macOS of Linux. Je zult een van die namen wel kennen, en daarnaast is de kans ook groot dat je laptop of pc draait op een computerchip van Intel, de grootste chipmaker ter wereld. Wat je niet wist is dat Intel in zijn chips weer een kleinere aansturende processor heeft met een eigen OS, genaamd MINIX.

Maar schaam je niet: ook de maker van MINIX, professor aan de Vrije Universiteit Andrew Tanenbaum, kwam er deze week pas achter dat zijn OS daarvoor gebruikt wordt. Het maakt MINIX met stip het meest gebruikte OS ter wereld.

Maar omdat MINIX niet vrij is van veiligheidslekken, klinkt de roep om opheldering door Intel steeds luider in de tech-wereld. Cybersecurity-onderzoekers en software-experts proberen de ‘geheime’ chip-in-de-chip al een tijdje uit te schakelen, en ook Google is nu bezig om zijn serverparken te ontdoen van deze achteringang. 

Hoe zit het nu precies in elkaar?

Intel is veruit de grootste chipmaker in de wereld, en de meeste pc’s, laptops en servers bevatten een chip van Intel als ‘hart’ dat alle berekeningen uitvoert om het systeem draaiende te houden. Al meer dan tien jaar heeft Intel zijn chips uitgerust met een kleinere aansturende chip, die de Management Engine (ME) wordt genoemd. Dit ME heeft toegang tot de gehele computer en is onzichtbaar voor de gebruiker. Het zorgt voor enkele basale functies achter de schermen.

Dat klinkt geheimzinnig, maar het heeft allemaal een doel. In ME zit namelijk ook een module waarmee systeembeheerders van bedrijven op afstand makkelijk al hun computers kunnen aansturen. In mei onthulde Intel dat er al sinds 2010 een veiligheidslek zit in die module. Dat vinden IT-professionals op zijn zachtst gezegd niet leuk.

Ga maar na: Intel-chips kunnen – totaal onzichtbaar voor de gebruiker zelf – via internet geheel overgenomen worden. Zoiets noemt men een backdoor, een achterdeurtje, en die lijkt Intel nu per ongeluk in heel veel computers te hebben gestopt. Het goede nieuws: deze functie is voor vrijwel alle consumentenelektronica niet ingeschakeld.

Alleen de Amerikaanse overheid kan ME uitschakelen

Veel IT-professionals vinden het niet prettig als ze geen volledige controle hebben over hun apparatuur. Dan kun je immers nooit zeker weten of er een veiligheidslek is, of dat er al andere mensen ingebroken hebben in je systeem. Er worden dan ook al langer pogingen gedaan om ME uit te zetten, maar door het recente lek is ME steeds meer onder een vergrootglas komen te liggen. Daardoor is ook ontdekt dat ME gebruik maakt van MINIX als besturingssysteem.

Eind augustus kwam er nog een saillant detail naar buiten. Cybersecurity-onderzoekers ontdekten een geheime ‘schakelaar’ die lijkt te zijn ingebouwd om ME uit te zetten. De naam daarvan verwees naar een programma van de NSA, een Amerikaanse veiligheidsdienst, om computers extra goed te beveiligen voor eigen gebruik. In een reactie gaf Intel toe dat het soms schakelaars voor gevoelige functies inbouwde op verzoek van klanten.

´ Ik denk dat het een zeer slecht idee is om George Orwells 1984 te creëren, zelfs als Orwell er zo’n 30 jaar naast zat. ´

Andrew Tanenbaum was eerst nog mild over Intels gebruik van zijn MINIX, maar laat in een nieuwe voetnoot bij zijn verklaring een harder geluid horen. “Als ik had vermoed dat [Intel] misschien een spionage-machine aan het bouwen was, had ik zeker niet meegewerkt. [..] Ik denk dat het een zeer slecht idee is om George Orwells 1984 te creëren, zelfs als Orwell er zo’n 30 jaar naast zat.”

Hoewel consumentenelektronica normaliter geen gebruik maken van de achterdeur van Intel, is er genoeg om je zorgen over te maken. Veel servers en bedrijfscomputers zijn dus mogelijk wel ongezien te benaderen, en die beheren vaak gevoelige gegevens. Voor mensen die het zekere voor het onzekere willen nemen, is er al een bedrijf dat laptops maakt waarin Intels ME uitgeschakeld is. Intel heeft in mei bij het rapporteren van het lek in ME ook een inspectieprogramma uitgebracht om je Windows-computer te testen.