Meltdown

Een paar weken geleden schreef ik over MINIX, en hoe dit open source operating system door Intel misbruikt is en wat de gevolgen daarvan zijn. MINIX is door profesor Tannenbaum aan de Vrije Universiteit van Amsterdam in 1987 ontwikkeld voor educatieve doeleinden. De licentie die Tannenbaum gebruikte, maakt het mogelijk dat iedereen de software kan gebruiken, verspreiden, en veranderen.

De veranderingen hoeven niet openbaar gemaakt te worden en daar zit hem het probleem. Intel gebruikte MINIX, bracht er veranderingen in aan en maakte die veranderingen niet openbaar. Nu blijken er veiligheidslekken in de chips van Intel op te duiken, en dat had voorkomen kunnen worden door de source openbaar te maken.

Intussen zijn Microsoft, Apple en de Linux-gemeenschap druk bezig om updates en patches uit te brengen om het probleem met de chips te mitigeren. Maar wat is nou precies het probleem? Om meer snelheid uit een chip te halen, zou de chip moeten voorspellen(!) wat de volgende actie moet zijn. Dat is minder ‘magisch’ dan het lijkt. Als u de letter ‘d’ intiept, is de kans dat daarna de letter ‘e’ volgt groot, en dat de letter ‘q’ volgt nihil. De moderne chip haalt alvast ‘de meest waarschijnlijke volgende actie’ binnen. Als dat een goede keuze was, is de chip dus sneller. Als het een foute keuze was, dan gooit de chip de nieuwe actie gewoon weg, en is er geen snelheidswinst.

Nu blijkt dat deze ‘schijnactie’ gebruikt kan worden om passwords en andere gegevens te lezen, en dat was natuurlijk niet de bedoeling. Maar de foute software zit al in miljoenen chips, zowel bij de mensen thuis, als op kantoor, alsook in de datacenters van Google, Facebook, Microsoft en Amazon. Een goed verstaander heeft maar een half (wacht)woord nodig.

https://en.wikipedia.org/wiki/MINIX
https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)
https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/