Een Nederlandse masterstudent, Daniël Trujillo, heeft een grote kwetsbaarheid ontdekt in de chips van AMD. De ontdekking, die blootlegt hoe gegevens kunnen worden gestolen uit 'dromende' chips, wordt 'Inception' genoemd naar een bekende sciencefictionfilm.
AMD ontdekt enorm lek in hun chips
De computerchipgigant AMD, die een kwart van de markt in handen heeft, is onlangs opgeschrikt door de ontdekking van een enorm lek in hun chips. Dit lek werd ontdekt door de Nederlandse masterstudent Daniël Trujillo tijdens zijn afstudeerproject bij de technische universiteit ETH Zürich. Het lek ligt in de chips zelf en kan invloed hebben op elk programma dat draait op een dergelijke chip, ongeacht hoe goed deze is beveiligd.
'Inception': het ontdekte lek en hoe het werkt
Het ontdekte lek, dat door Trujillo en zijn team 'Inception' wordt genoemd, maakt gebruik van een bijzonder aspect van computerchips, namelijk hun 'speculatieve uitvoering'. In dit proces beelden chips zich in dat ze bepaalde taken uitvoeren, en slaan de resultaten op in een werkgeheugen voor later gebruik. Hoewel dit bedoeld is om de rekenkracht van de chip te verbeteren, maakt het de chip ook kwetsbaar voor aanvallen van buitenaf.
Gevaar voor alle soorten programma's
Het 'Inception'-lek maakt het mogelijk om gegevens te stelen van elk programma dat op een kwetsbare chip draait. Dit betekent dat zelfs de meest beveiligde programma's, zoals bank-apps of internetbrowsers, risico lopen om hun gegevens te verliezen. Dit lek is vergelijkbaar met een eerder ontdekte kwetsbaarheid, 'Spectre', waarbij hackers via het 'gedroomde' werkgeheugen van de chips toegang konden krijgen tot gevoelige gegevens.
De ontdekking van Trujillo is een uitstekend voorbeeld van wat bekend staat als 'ethisch hacken'. Dit is een praktijk waarbij deskundigen opzettelijk zwakke plekken in systemen opzoeken om bedrijven te waarschuwen voor mogelijke beveiligingsrisico's. Ondanks de omvang van de ontdekking en de potentiële gevolgen, heeft AMD geen beloning uitgekeerd voor het vinden van deze kwetsbaarheid, wat opmerkelijk is aangezien veel andere bedrijven dit wel doen.
