Universiteit gespitst op SPECTRE en Meltdown

Onheilspellend nieuwjaarsbericht: chips in computers en telefoons blijken massaal onveilig. Wat doet de universiteit om onze data te beschermen?

SPECTRE en Meltdown, ze klinken als vijanden uit James Bond-achtige spionagefilms en dat is niet zomaar het geval. Het zijn benamingen voor twee grote beveiligingslekken die onlangs werden aangetroffen in vrijwel alle bestaande computerchips van Intel en andere bekende merken. Werd eerder vooral voor onveilige software gewaarschuwd (denk aan virussen), nu blijken er ontwerpfouten te bestaan in hardware. Dat is iets nieuws. De systeemfouten maken het theoretisch mogelijk voor hackers om bijvoorbeeld wachtwoorden te achterhalen die worden opgeslagen in het werkgeheugen.

Digitale brandweer

IT-afdelingen draaien overuren om dataverkeer in elk geval zo goed mogelijk te beschermen. Jeffeny Hoogervorst is ICT security-officer bij Tilburg University. Omdat hij deel uitmaakt van twee ‘Computer Emergency Response Teams’, SURFcert en Tilburg University CERT, een soort ‘digitale brandweer’ zoals hij het zelf noemt, hoorde hij al snel dat er iets niet pluis was. “Die avond werd meteen actie ondernomen.”

‘Ook nieuwe processoren zijn kwetsbaar’

SURFcert verzamelt informatie, doet een impact analyse en speelt informatie door aan de CERT-teams van de universiteiten, waaronder die van Tilburg. De informatie komt vervolgens bij de systeembeheerders terecht. Zij krijgen ‘patches’ aangeleverd door de chipfabrikanten. Een patch is software waarmee de lekken in de hardware als het ware worden gepleisterd. De systeembeheerders testen ze en voeren ze door. Hoogervorst waarschuwt echter: “Het blijft pleisters plakken.” Omdat het probleem in de hardware zit heeft het vervangen van apparatuur geen zin. Een alternatief is niet voorhanden, ook nieuwe processoren blijven kwetsbaar.

Gevaar

Blijven we voorlopig blootgesteld aan groot gevaar? René van de Loo is de ICT-manager van Tilburg University. Hij erkent dat dit een serieus probleem is, maar geeft ook aan dat we vooral het juiste perspectief niet uit het oog moeten verliezen. “Het is nog altijd gemakkelijker voor een hacker om gevoelige gegevens te achterhalen via iemand z’n wachtwoord via bijvoorbeeld een openbaar WiFi-punt. Het grootste gevaar is het gedrag van gebruikers. We lopen met onze telefoon door Ikea en loggen daar zonder na te denken in op een gratis netwerk. Stel je jezelf dan de vraag of dat netwerk veilig is. Je geeft op dat moment namelijk allerlei informatie prijs aan dat netwerk.”

‘Het grootste gevaar is het gedrag van gebruikers. We loggen in op openbare WiFi-netwerken zonder na te denken’

Hacken via hardware is geavanceerd, en vooralsnog alleen ontdekt door beveiligingsbedrijven die actief speurden naar lekkages in het systeem. We kunnen het zo zien volgens Van de Loo: “We gebruiken allemaal sleutels om ons huis af te sluiten. Die zijn ook na te maken. Een inbreker zal dat echter niet zo snel doen, want er is ook vaak wel een raampje te vinden dat al open staat.” En om de analogie af te maken: het gevaar zit vooral in de digitale ramen die we zelf open laten staan, bijvoorbeeld omdat we thuiswerken op een computer en universitaire data openen met een apparaat waar de kinderen ook spelletjes op spelen.

Bekijk meer recent nieuws

Schrijf je in voor onze nieuwsbrief

Blijf op de hoogte. Meld je aan voor de nieuwsbrief van Univers.