Waarom zijn Spectre en Meltdown nu pas ontdekt?

De ontdekking van Spectre en Meltdown zorgde voor een schok in de techwereld. Vorige week kwamen verschillende onderzoeksteams naar buiten met het nieuws dat de meeste computerchips van Intel, ARM en AMD kwetsbaar zijn voor hacks.

De beveiligingslekken zijn gevonden op alle chips vanaf halverwege de jaren negentig. De chips zijn dus al twintig jaar lek. Nadat in de eerste week hard gewerkt werd aan patches en oplossingen, komen nu de vragen. Waarom heeft het zo lang geduurd voordat dit naar buiten kwam? Op Wired verscheen een lang artikel over deze vraag.

Bug collision

Meltdown werd ontdekt door drie verschillende onderzoeksteams. Het team van drie onderzoekers uit het Oostenrijkse Graz, waarschuwde Intel na hun ontdekking van de kwetsbaarheid in de chips. De verbazing bij de drie was groot toen Intel reageerde dat zij niet de enigen waren die melding hadden gemaakt van het lek. Twee andere teams waren hen voor geweest. Met de ontdekking van Spectre meegerekend, waren de beveiligingslekken binnen een paar maanden door vier verschillende onderzoeksteams, onafhankelijk van elkaar, gemeld.

‘Bug collision’, of ‘rediscovery’ komt vaker voor in cybersecurity. Dezelfde bug wordt dan vrijwel tegelijkertijd gevonden door verschillende onderzoekers. Maar dat een lek op de meest gebruikte computerchip twintig jaar lang kan bestaan en binnen enkele maanden meerdere keren wordt gevonden, is typisch. Beveiligingsexpert Paul Kocher: “Er is geen reden waarom iemand anders dit niet jaren geleden ontdekt zou kunnen hebben.”

Meltdown en Spectre misschien eerder ontdekt door de NSA

Dat doet vermoeden dat Meltdown en Spectre eerder ontdekt zijn. Bruce Schneier, onderzoeker aan de Harvard universiteit, co-publiceerde een studie over rediscovery en het beleid van de NSA. Hij denkt, dat de NSA ongeveer een derde van alle day-zero kwetsbaarheden per jaar als eerste ontdekt zonder ze te melden.

Schneier wijst op de dubbelzijdige moraal van de NSA. Om de burgers te beschermen, moet de NSA gebruik kunnen blijven maken van kwetsbaarheden in computersystemen. Een andere inlichtingendienst kan net zo goed gebruik maken van dezelfde kwetsbaarheden om burgers aan te vallen. Wat kost het de NSA om kwetsbaarheden aan het licht te brengen, en wat kost het burgers als ze niet aan het licht komen?