Vorige week kwam groot in het nieuws dat alle computers lek zijn. In dit stukje probeer ik uit te leggen wat er aan de hand is, waarom het zo vreselijk is, en ook waarom er zo weinig aan te doen is. Een uitgebreidere meer technische uitleg vind je op https://ds9a.nl/articles/posts/spectre-meltdown/.
Laten we beginnen bij het begin: het gaat om het lekken van informatie binnen je computer. Dit is heel relevant, want een advertentie op een website mag niet bij je bankgegevens komen. Of, een website mag niet je WiFi wachtwoord kunnen lezen. Anders kon hij dat aan iedereen lekken (of verkopen!).
De processor van een computer (of tablet of telefoon) speelt een belangrijke rol in deze beveiliging. Als een website probeert het geheugen te lezen waar de WiFi code staat zal de processor (ook wel CPU genoemd) dit tegenhouden.
In een plaatje ziet dat er zo uit:
Ieder van de blokjes kan niet in andere blokjes kijken. Een uitzondering is het bovenste blokje 'Windows/IOS', dit is het besturingssysteem en die beheert de computer en kan wel "lezen en schrijven" met de rest.
Als een webpagina probeert "buiten zijn blokje" te lezen steekt de processor daar een stokje voor: mag niet. So far so good.
Een computerprogramma is net een recept, met instructies die één voor één uitgevoerd worden. "Doe boter in de pan" "Zet het vuur aan" "Wacht tot de boter bubbelt" "Breek een ei boven de pan" etc.
Lang, lang geleden voerde een processor dit recept ook precies zo uit, en ook precies in die volgorde. Maar echt snel was dit niet.
Vergelijk het met een echt recept, als je het ei nog moet gaan zoeken terwijl de boter al in de pan zit ben je mogelijk te laat, of ontdek je dat je het ei niet kan vinden.
Moderne CPU's doen daarom hetzelfde wat mensen doen. Ze voeren een computerprogramma niet regel voor regel uit: ze lezen ook alvast vooruit om te kijken wat er straks nodig is.
Een computer heeft geen eieren nodig. Maar wel dingen uit het "RAM" geheugen. Dit is waar we het over hebben als we zeggen dat een computer "4 gigabyte geheugen" heeft. RAM geheugen is heel veel sneller dan een harddisk, maar nog steeds veel trager dan de CPU zelf. Die kan veel sneller rekenen dan het geheugen data kan leveren.
Daarom heeft een CPU een super snelle "cache" waar veelgebruikte stukjes geheugen in klaarliggen. Om die cache goed te vullen doet de CPU hetzelfde als een mens: hij leest vooruit in het computerprogramma. Zo voorspelt de CPU welke stukjes RAM geheugen er straks nodig gaan zijn, en gaat hij die alvast ophalen en in de cache stoppen.
Dit is belangrijk, want dingen in de cache zijn 10 keer sneller op te zoeken dan dingen in RAM.
Ook al leest de CPU vooruit, hij geeft een website nog steeds geen toegang tot het geheugen waar de WiFi sleutel staat. Maar, tijdens het vooruitlezen wordt dat nog niet gecontroleerd. De echte check vindt plaats bij het daadwerkelijk uitvoeren van het recept.
Hoe zou dit een probleem kunnen zijn?
Stel je hebt een kastje in je keuken met gevaarlijke spullen. Kinderen mogen niet in dat kastje kijken. Wat zou er in het kastje zitten?
Vervolgens maak ik een recept:
1. Zet een pan op het vuur
2. Als er snoep ligt in het geheime kastje, doe dan boter in de pan
3. Doe een ei in de pan
Stap 1 gaat goed: dat mag. Stap 2 mag niet, want je mag niet in het geheime kastje kijken. Einde verhaal. Maar stel dat een volwassene het recept even vooruit had gelezen, die had dan in het geheime kastje gekeken, gezien dat er snoep ligt, en dan geconcludeerd dat er boter nodig is. En ineens staat een pakje boter voor het grijpen.
Als we nu dit recept uitvoeren:
1. Zet een pan op het vuur
2. Doe boter in de pan
3. Doe een ei in de pan
Dan gaat dat sneller als de volwassene bij het vooruitlezen al had besloten dat er straks boter nodig was. Als er geen snoep in het kastje lag zou de boter nog in de koelkast liggen.
En dit recept werkt zonder in het verboden kastje te kijken.
Het recept is dan iets anders. Voor het gemak: op plek X in het geheugen staat het WiFi wachtwoord. Op plek Y staat een stukje van een advertentie op een website. En deze advertentie gaat proberen je WiFi wachtwoord te stelen.
Het recept voor de advertentie:
1. Teken de advertentie op het scherm
2. Doe allemaal andere dingen
3. Als op de verboden plek X de letter 'G' staat, lees dan geheugen Y
Stap 3 wordt door de CPU tegengehouden... maar.. tijdens het vooruitlezen heeft de CPU stiekem toch plek X even gelezen. En als daar een 'G' stond, heeft de CPU ook alvast naar plekje Y gekeken (en daarmee komt Y in de cache!).
Ter herinnering voor de volgende paragraaf: de cache is snel, RAM is langzaam.
De cruciale stap is nu: De advertentie leest geheugen op plek Y alsnog (wat mag), en meet hoe lang dat duurde.
Als dat veel tijd kostte, dan kunnen we concluderen dat het WiFi wachtwoord niet met een 'G' begon. Ging het bliksemsnel, dan heeft de advertentie succesvol de eerste letter van het WiFi wachtwoord gegokt!
En zo kan letter voor letter het 'verboden toegang' geheugen toch gelezen worden.
(Overigens, de rol van het 'vooruitlezen' in de CPU is dezelfde als de volwassene in het bovenstaande eier-recept - iets wat wel op verboden plekken mag kijken, al verklapt ie niet direct wat ie gezien heeft)
De CPU leest vooruit om de cache te vullen, en houdt daarbij geen rekening of er daarbij 'verboden geheugen' (X) bekeken wordt.
En afhankelijk van wat er in dat verboden geheugen stond, komen er dingen uit toegestaan geheugen (Y) in de cache of niet.
Als we Y snel kunnen lezen (wat mag) stond het dus in de cache, en weten we wat X was.
Dit probleem zit zo diep in de processor dat het niet op te lossen is met een update. Je zal de hele processor moeten vervangen. Miljarden en miljarden processoren.
Maar er zijn wel trucs mogelijk. In het bovenstaande verhaal moet de advertentie wel weten waar 'X' staat. En met trucs is het mogelijk om X te verstoppen zodat de advertentie hem niet kan vinden.
Helaas houdt deze truc in dat de computer een stuk trager wordt, maar voorlopig is het niet anders.
De komende weken en maanden zullen alle computers voorzien moeten worden van deze trucs, wat vermoedelijk in eerste instantie tot vertragingen en problemen zal leiden.
Bert Hubert is ondernemer en oprichter van het bedrijf PowerDNS. PowerDNS levert de DNS voor honderden miljoenen internetdomeinen en -gebruikers. Tevens was Bert de mede-oprichter van een dochterbedrijf van Fox-IT wat in 2011 verkocht werd aan de moedermaatschappij van Arbor.
Deze posting is gelocked. Reageren is niet meer mogelijk.