Onderzoekers van de universiteiten van Leuven, Birmingham en Lübeck zijn erin geslaagd om een ernstig veiligheidslek bloot te leggen in chips van de Amerikaanse fabrikant Advanced Micro Devices (AMD). Deze ontdekking werd gedoopt tot 'BadRAM' en laat zien hoe de ogenschijnlijke onkraakbare chips van producenten zoals Intel en AMD niet 100% veilig zijn voor slechte bedoelingen.
Het team, onder leiding van professor Jo Van Bulck van de KU Leuven, richtte zich voor het onderzoek specifiek op een fundamenteel onderdeel van computercommunicatie, namelijk de verbinding tussen de processor en het systeemgeheugen. De kwetsbaarheid die ze ontdekten, zit in de SPD-chip (Serial Presence Detect), die bij elke opstart de processor informeert over het beschikbare geheugen.
Met deze aanvalstechniek kon het team de processor misleiden, waardoor die dacht dat er meer geheugen beschikbaar was dan werkelijk het geval. Dat creëerde een achterpoortje waarmee ze toegang konden krijgen tot data of die zelfs konden overschrijven.
Shutterstock
Veiligheid vs snelheid
De gevolgen van de ontdekking zijn potentieel groot, aangezien de aanval erin slaagde om AMD's SEV-beveiligingstechnologie (Secure Encrypted Virtualization) te omzeilen. SEV wordt in datacenters gebruikt om privacygevoelige gegevens, zoals medische informatie, veilig en versleuteld op te slaan.
De focus van AMD en concurrent Intel ligt tegenwoordig eerder op snelheid en gebruiksvriendelijkheid. En dat gaat ten koste van veiligheid. De toegenomen concurrentie tussen de twee techgiganten lijkt dus niet altijd in het voordeel van de beveiliging te zijn.
Good guys
AMD heeft geluk dat deze security breach kwam van de handen van goedaardige onderzoekers en niet van bijvoorbeeld een Russisch hackerscollectief. Het bedrijf werd in februari dit jaar al ingelicht en voerde inmiddels updates uit om het lek te dichten. Toch blijft de ontdekking een belangrijke wake-upcall voor de techindustrie.
De onderzoekers van COSIC zijn geen vreemden in de wereld van hardwarebeveiliging, want eerder legden ze al lekken bloot in chips van Intel. Het bedrijf was ooit pionier in de wereld van microchips en halfgeleiders, maar door een aaneenschakeling van slechte beslissingen hinkt het nu achterop in de oorlog der microchips.
Er werd eerder dit jaar zelf gefluisterd dat concurrent Qualcomm het bedrijf zou willen overnemen. Maar ze konden op de rand van de afgrond een goed getimede kapitaalinjectie krijgen van nonkel Joe Biden, die duidelijk seniel genoeg is om niet te beseffen dat het kwaad voor Intel al geschied is.
In de race naar de beste, snelste, veiligste en meest gebruiksvriendelijke chips lijken enkele bedrijven elkaar het mes op de keel te zetten. Concurrentie zorgt voor innovatie, maar in dit geval ziet het ernaar uit dat die zelfde concurrentiestrijd ervoor kan zorgen dat er wordt bespaard op wat echt telt. De veiligheid van data en privacy voor zowel bedrijven als particulieren.
