Het testlab van de Vrije Universiteit waarin de afgelopen maanden het geraffineerde en complexe lek werd blootgelegd, is niet direct het testlab zoals je dat verwacht bij een dergelijke ontdekking. Het bestaat uit niet meer dan twee stellingkasten vol computeronderdelen, een wirwar aan kabels en wat tweedehands processors. En toch, in lokaal P455 op de vierde verdieping van het W&N-gebouw in Amsterdam, werd in slechts een paar maanden aangetoond dat alle Intel-processors van de afgelopen tien jaar gevoelig zijn voor een megalek.
Wat houdt dat precies in? Simpel. Meer dan 80% van alle computers ter wereld is gevoelig voor een aantal die toegang geeft tot het hart van de computer. De megalek kwam bij toeval aan het licht toen Stephan van Schaik, student Computerwetenschappen aan de VU, voor zijn studie onderzoek deed naar een lek in de Intel-processor; Van Schaik: „Ik was een uurtje bezig maar schoot niet op. Ik paste wat aan in mijn code en toen zag ik iets vreemds in beeld verschijnen. Waarden die ik niet verwacht had.”
Niet alleen van Schaik was verrast, ook zijn collega’s en docenten bleken verbaasd. In korte tijd schreven zij meer dan twintig aanvalsscenario’s waar hackers de controle over de computer krijgen. Een voorbeeld; door in te loggen met een foutief wachtwoord, dwingt de aanvaller de computer dat verkeerde wachtwoord te vergelijken met het juiste wachtwoord. Deze gegevens lopen door de ‘pijplijnen’ van de chip en die kunnen worden afgeluisterd, waarna de hacker na wat geknutsel het juiste wachtwoord kan achterhalen.
Nadat bleek dat zelfs oude exemplaren van voor 2010 kwetsbaar waren, werd Intel gewaarschuwd. Onderdelen van het lek werden door verschillende universiteiten en bedrijven in beeld gebracht, maar de VU ontdekte het grootste gedeelte en ontvangt daarom een beloning van 100.000 dollar, de maximale beloning die Intel ter beschikking stelt aan ontdekkers van kritische lekken. Helemaal tevreden is de VU daar niet mee; volgens haar probeerde Intel de ernst van het lek te bagatelliseren door 40.000 dollar beloning officieel uit te keren en daarnaast nog eens 80.000 dollar ‘los’. Dat aanbod werd door de Amsterdamse Universiteit beleefd afgeslagen. Daarnaast verzuimde Intel aanvankelijk om Google en Mozilla, twee belangrijke browserfabrikanten, in te lichten.
En wat moet je als computergebruiker? Updaten, updaten en nog eens updaten. De verwachting is dat alle belangrijke softwarefabrikanten het lek dichten of al gedicht hebben in de laatste versies.
