Forskere har fundet alvorligt sikkerhedshul i alle verdens computere – og det kan tage år at løse
Praktisk talt alle verdens computere, smartphones og servere er alvorligt sårbare over for hackerangreb. En fysisk svaghed i processorerne kan give andre adgang til dine private oplysninger, og det kan ikke spores. Et enormt problem, siger ugens profil, Carsten Schürmann, lektor på IT Universitetet.
Meltdown og Spectre hedder de to sikkerhedshuller, som forskere for nyligt har opdaget. Fysiske svagheder i computeres processorer gør det muligt for andre at få adgang til computernes hukommelse, hvorfra man kan finde blandt andet kodeord, krypteringsnøgler og andre følsomme data.
Det er en fejl, der ifølge Amazon har eksisteret i over 20 år, men først nu er blevet opdaget og beskrevet i offentligheden. Hvordan kan det ske? Og hvad betyder det for os?
Vi har talt med ugens profil, lektor Carsten Schürmann, der forsker i it-sikkerhed på IT-Universitet.
Carsten Schürmann, hvor alvorligt er det her?
”Det påvirker alle computere, alle smartphones, alle iPads. Det er superalvorligt, fordi andre kan få adgang til oplysninger på din computer, som ellers burde være hemmelige, dine adgangskoder og krypteringsnøgler for eksempel.”
”Det er sikkerhedshul, som kan udnyttes uden nogen mulighed for at spore det. Hvis du bliver angrebet, vil du ikke vide, og du kan ikke vide det. Der vil intet spor være af dem, der hacker, fordi der ikke findes logfiler på det område af computeren”.
Hvordan kan man lukke sikkerhedshullet?
Det kan ikke bare fikses sådan lige, fordi det er et problem med selve hardwaren. Hvis problemet skal løses helt, skal vi ændre på den måde, vi laver mikrochips rent fysisk, og det kan tage flere år, før det sker.
Forskellige virksomheder vil sende sikkerhedsopdateringer ud i den kommende tid, men problemet er, at de basalt set bare lukker helt ned for den del af hardwaren, som er sårbar. Det betyder, at din processor kan blive op til 30 procent langsommere.
Kommer det som overraskelse for dig, at et så grundlæggende sikkerhedsproblem har eksisteret i så lang tid uden at være blevet opdaget?
Det er et godt spørgsmål. Jeg er lidt overrasket over, at det har 20 år at finde det her problem. Men på den anden siden er det også svært, fordi der ikke har været fokus på at undersøge hardware for alvor – og fordi det er systemer, der er ejet af private virksomheder, som beskytter deres produkter, og derfor er svære at undersøge.
Hvad betyder det her for forskning i i it-sikkerhed?
”Det her markerer begyndelsen på et nyt fokus for it-sikkerhed. For eksempel har Intel altid fokuseret på skabe hurtigere og hurtigere og hurtigere processorer, men ikke altid på sikkerheden bag. Og forskerne har fokuseret på sikkerhedshuller i software, sjældent i hardwaren. Det vil ændre sig nu. 2018 bliver året, hvor sikkerheden vil handle om hardware”.
”Det viser også vigtigheden af uafhængig forskning på universiteterne. Viden om sikkerhed må ikke bliver overladt til enkelte aktører, for så kan det udnyttes. Vi har brug for, at den viden er åben og fri, så alle har mulighed for at beskytte sig mod misbrug”.
Hvad kan konsekvenserne blive?
Det er svært at sige, men det kan potentielt have enorme konsekvenser, fordi det kan betyde, at alle processorer skal skiftes ud – og dem er der milliarder og milliarder af i verden. Man kan også forestille sig, at samtlige efterretningstjenester allerede er i fuld gang med undersøge, hvordan de kan udnytte det her hul – hvis de da ikke allerede kender til det.
I det hele taget kan man let tegne en masse mørke billeder af mulige konsekvenser, men det er heller ikke nødvendigvis fornuftigt. De næste uger vil nok vise, hvad der kan være i vente.
Hvad er ellers vigtigt at vide i denne her sag?
Først og fremmest: Gå ikke i panik. Men det kan være anledning til at tænke over, hvordan man håndtere sine egne data. Opbevarer du personlige, følsomme informationer et sikkert sted? Har du styr på dem?