Onderzoekers KU Leuven hacken beveiligingstechnologie: "Bedrijven moeten bewust zijn van de kwetsbaarheid"
Onderzoekers van de KU Leuven hebben een probleem ontdekt in de beveiligingssystemen van Intel en AMD, twee grote technologiespelers. Met een printplaatje van amper 50 euro zijn ze erin geslaagd om aan sterk beveiligde gegevens te geraken. Gewone burgers hoeven zich geen zorgen te maken. De onderzoekers willen vooral bedrijven waarschuwen die gebruik maken van de zogenaamde confidential computing.
Met dit printplaatje van amper 50 euro slagen onderzoekers van de KU Leuven en de universiteit van Birmingham erin om aan zwaarbeveiligde data te geraken die online opgeslagen is in de cloud. Almaar meer bedrijven maken gebruik van zogenaamde confidential computing-technologieën om hun data in de cloud te beschermen, bijvoorbeeld om patiëntengegevens op te slaan, fraude op te sporen of om gesprekken te versleutelen. Het gaat voor alle duidelijk over specifiek gebruik waarbij er berekeningen gebeuren in de cloud en niet over het louter opslaan van data op servers zoals Google Drive of OneDrive.
"We hebben gekeken naar wat voor soort cryptografie er gebruikt wordt in dat geheugen en waar er mogelijks nog zwakheden zijn. We hebben dan een klein printplaatje gemaakt dat je tussen de processor, het hart van de computer, en het geheugen waar alles wordt opgeslagen, invoegt. Dat kan eigenlijk die cryptografie omzeilen via een heel slimme trick", legt Jo Van Bulck van het departement Computerwetenschappen uit.
Oplossing
Dat er toch een achterpoortje is, heeft te maken met de uitbreiding van technologie van de bekende bedrijven Intel en AMD. In het begin werd die gebruikt voor kleinere hoeveelheden data, maar ondertussen gaat het al over terabytes. Dat brengt kwetsbaarheden met zich mee, die niet zomaar opgelost kunnen worden.
"In dit geval is het heel moeilijk omdat we een zwakte hebben gevonden op hardware-niveau. Dat betekent dat dat niet eenvoudig opgelost kan worden. Je kan niet zomaar alle computerchips gaan solderen om dat probleem eruit te halen. Eigenlijk moeten de volgende generaties cloudcomputers beter beveiligd worden, om zo onze aanval te voorkomen", vertelt doctoraatsstudent Elektrotechniek Jesse De Meulemeester.
Op korte termijn zou er wel ingezet kunnen worden op betere beveiliging van de servers, zodat niemand eraan kan om zo'n printplaatje te plaatsen. Gewone burgers moeten zich trouwens geen zorgen maken. Het zijn vooral bedrijven die gebruik maken van de confidential computing, die zich bewust moeten zijn van de kwetsbaarheid.
