‘Spectre-kwetsbaarheden vereisen meer dan alleen softwarematige fixes’

De Spectre-kwetsbaarheid blijft voor problemen zorgen. Sinds deze vorig jaar gevonden werd, hebben veel bedrijven softwarematige patches uitgebracht om de problemen op te lossen. Maar het lijkt erop dat enkel software niet voldoende is om een definitieve oplossing te bieden.

Dat stellen onderzoekers van Google in een paper die ze vandaag gepubliceerd hebben. De onderzoekers demonstreren in het paper dat de Spectre-kwetsbaarheid die in veel processoren zit niet helemaal opgelost kan worden met softwarematige fixes. Tot nu toe dachten experts dat dit wel het geval was.

Fixes omzeilen

Net iets meer dan een jaar geleden werden de Meltdown– en Spectre-kwetsbaarheden ontdekt. Spectre is een hardwarematige kwetsbaarheid die van invloed is op processoren. Hackers kunnen middels specifieke malware data stelen die in het geheugen van de CPU zit. Veel fabrikanten brachten softwarematige patches uit, in de hoop op die manier de problemen op te lossen. Tegelijk beloofde Intel enkele hardwarematige upgrades voor nieuwe processoren uit te brengen.

Alhoewel er softwarematige oplossingen doorgevoerd zijn, slaagden de onderzoekers er alsnog in om een programma te ontwikkelen dat deze patches omzeilt. Dat programma kan alles wat in hetzelfde geheugenadres staat lezen. Dat betekent dat ook de huidige oplossingen voor Spectre tekortschieten en niet alle problemen definitief opgelost zijn. In hun paper schrijven de onderzoekers dat de enige echte oplossing hiervoor ligt in een herontwerp van de architectuur van microprocessoren. Tot die tijd zal Spectre “ons nog lang achtervolgen”.

Prestaties voorop

Volgens de onderzoekers van Google heeft de afgelopen jaren maar één doel centraal gestaan bij de ontwikkeling van computersystemen: het verbeteren van prestaties. Daardoor zijn systemen “sneller en krachtiger” geworden. Maar dat maakte ze ook complexer, “mede door de vele manieren die we hebben om abstracties te ontwikkelen.” Dat is een foute keuze geweest, denken de onderzoekers.

“We hebben security uitgeruild voor performance en complexiteit en zijn ons daar al die tijd niet bewust van geweest.” Om die reden pleiten de onderzoekers dan ook voor een herziening van de architectuur van microchips. De vrees is namelijk dat er ook in de toekomst bugs als Spectre blijven voorkomen, tenzij fabrikanten specifieke veranderingen doorvoeren in de manier waarop chips omgaan met geheugen.