VU-onderzoekers confronteren chip-fabrikanten met schijnoplossing voor RowHammer-bug

Onderzoekers van VUSec van de Vrije Universiteit Amsterdam concluderen in een vandaag naar buiten gebracht onderzoek, dat de meeste computersystemen nog steeds heel eenvoudig te hacken zijn, vanwege een kwetsbaarheid in de geheugenchips van Samsung, Micron, and Hynix, de drie grootste DRAM-fabrikanten in de wereld.

10-03-2020 | 9:00

De kwetsbaarheid waar het om gaat is de RowHammer-bug, een ontwerpfout in de chips van het werkgeheugen (DRAM) van een apparaat dat zorgt voor de kwetsbaarheid. Door de fout te misbruiken, kan een aanvaller controle over een apparaat krijgen. RowHammer werd acht jaar geleden openbaar gemaakt. Na een overvloed aan geruchtmakende RowHammer-aanvallen, gingen CPU- en DRAM-fabrikanten naarstig op zoek naar de definitieve hardware-oplossing tegen het RowHammer-probleem. Ze kwamen met Target Row Refresh (TRR).

TTR als de zilveren kogel
Aangenomen werd dat RowHammer inderdaad niet langer een gevaar vormde op de nieuwste generatie systemen met een DDR4-werkgeheugenmodule, die beschermd wordt door TRR. Fabrikanten presenteerden TTR als de zilveren kogel en adverteerden met RowHammer-vrije producten. De chips zitten in pc’s, laptops, telefoons en servers.

Verre van een oplossing
De onderzoekers van VUsec, onder leiding van Herbert Bos, Cristiano Giuffrida en Kaveh Razavi, en in samenwerking met wetenschappers van ETH Zurich en Qualcomm, viel het echter op dat er eigenlijk maar heel weinig bekend is over de werking van TRR, hoe het wordt toegepast en hoe effectief het eigenlijk is. In het onderzoek van hun AIO’s Emanuele Vannacci en Pietro Frigo, dat vandaag gepubliceerd is, hebben ze TTR geanalyseerd. Ze komen tot de conclusie dat TTR het RowHammer-probleem niet oplost, en er ook geen zicht is op een oplossing hiervoor in de nabije toekomst.

DDR4-chips kwetsbaarder dan voorganger
Cristiano Giuffrida, onderzoeker van VUsec, licht toe: “De resultaten van ons onderzoek zijn zorgwekkend en tonen aan dat RowHammer niet alleen nog steeds onopgelost is, maar ook dat de kwetsbaarheid wijdverbreid is, zelfs in de allernieuwste DRAM-chips. Bovendien zien we dat de nieuwe DDR4-chips zelfs nog kwetsbaarder zijn voor RowHammer dan hun DDR3-voorgangers.”

‘Security by obscurity’
In hun onderzoek bevragen de computerwetenschappers ook de aanpak van ‘security by obscurity’ die de fabrikanten hanteren. Dat betekent dat de oplossing voor een kwetsbaarheid alleen werkt en dus veiligheid biedt, als niemand erachter komt wat deze oplossing precies inhoudt. De onderzoekers zeggen hierover: “Vroeg of laat ontdekt iemand dat natuurlijk. En dan is de veiligheid weg. Fabrikanten zeggen deze werkwijze te hanteren vanwege de marktconcurrentie.”

Techbedrijven nerveus
Dat de RowHammer-bug niet getackeld is met de TTR-oplossing, is slecht nieuws voor de grote techbedrijven en reden voor nervositeit. Volgens de onderzoekers zou  een cloudprovider die de veiligheid voor zijn klanten wilt garanderen, moet proberen om niet vertrouwde programma's fysiek gescheiden te houden van andere software en gegevens. Dit kan natuurlijk  behoorlijk duur uitpakken. Voor consumenten zelf zijn de consequenties van de RowHammer-bug overigens waarschijnlijk niet heel groot, er zijn namelijk eenvoudigere manieren om telefoons of computers te hacken.

Werken aan een oplossing
VUsec heeft zelf ook gewerkt aan verschillende softwarematige oplossingen. Ondanks dat deze oplossingen sterke garanties bieden, zijn ze helaas duur. Giuffrida: “Uiteindelijk moet het probleem diep in de hardware worden opgelost en dat kan alleen door de hardwarefabrikanten. In de tussentijd kunnen onze softwarematige oplossingen helpen, in combinatie met maatregelen die beheerders nu kunnen nemen om het de aanvallers moeilijker te maken (bijvoorbeeld door de ‘refresh rate’ van je geheugen te verhogen).”

Op de project-website van de wetenschappers staat alle praktische informatie en Q&A’s over deze nieuwe kwetsbaarheid en hoe ermee om te gaan.

VUsec in het nieuws
VUsec kwam vorig jaar mei en november ook groot in het nieuws over het veiligheidslek in de chips van Intel. Lees ook het artikel in de New York Times hierover. In 2018 kwam VUsec naar buiten met nieuws over gevoeligheden in Android-toestellen. In 2016 en in 2017 wonnen de onderzoekers in totaal drie Pwnie Awards - ook wel de Oscars van de hackerswereld genoemd - voor de ontdekking van verschillende kwetsbaarheden.