Geen enkel toestel is 100 procent veilig. Er is altijd wel een mogelijkheid om ergens iets te hacken. Het enige wat je kan doen, is de hacker het lastig maken om binnen te geraken. Hoe moeilijker de weg, hoe groter de kans dat hij afhaakt. Daar kan een aparte securitychip een belangrijke rol in spelen.
Een Windows 10-toestel dichttimmeren zodat er geen enkel virus, malware of hack zich kan manifesteren, is onmogelijk. Het besturingssysteem heeft te veel potentieel voor hackers. De hardware (zie Spectre en Meltdown) kan de deur wagenwijd openzetten en dan is er nog de talrijke randapparatuur die je op een toestel aansluit. Wie niet wil worden geïnfecteerd, kan beter met pen en papier werken.
Wat je wel kan doen, is je systeem zo secuur mogelijk maken, zodat hackers het moeilijk krijgen. Software is daarbij essentieel, maar ook op vlak van hardware moeten er stappen worden gezet.
Malwareniveaus
Wanneer je bijvoorbeeld een Windows 10-toestel configureert als fabrikant, combineer je allerlei componenten die beschikbaar zijn in een unieke eigen behuizing. Sommige onderdelen zoals batterijen worden dikwijls nog zelf gemaakt, maar eigen chips bakken gebeurt zelden. HP doet dat sinds vier jaar wel, meer specifiek een aparte securitychip die onder andere een veilige blauwdruk van je computer bewaart.
HP maakt al vier jaar een aparte securitychip die een veilige blauwdruk van je computer bewaart.
Initieel lijkt zo’n chip een marketingtruc om te zeggen dat je iets hebt wat de concurrentie niet heeft, maar het gaat veel verder dan dat volgens Steven Van Pee, Country Category Manager Personal Systems bij HP. “Je hebt drie niveaus van malware. Allereerst is er het grof geschut, de grote kanonnen die op alles mikken. Een niveau hoger vinden we gesofisticeerde malware die specifiek bepaalde toepassingen pijn kunnen doen. Op het allerhoogste niveau spreken we over cyberterrorisme, overheid naar overheid.”
Wanneer je naar dat laatste niveau kijkt, worden spionnen ingeschakeld om het gedragspatroon van een gebruiker te volgen. Wanneer ze enkele seconden de fysieke laptop in handen hebben, kunnen ze de BIOS uitlezen. Ze kunnen een nieuw BIOS inladen waarmee ze meer controle krijgen, of ze kunnen data uit de BIOS halen zoals wachtwoorden om verder te infiltreren. Het klinkt allemaal heel sciencefiction, maar vandaag gebeurt het dagelijks.
“Bovendien kan dit type aanvallen verder evolueren, zodat mogelijk in de toekomst de aanvalsgolf verder uitbreidt,” zegt Van Pee. “Dan hebben wij een grote voorsprong op de concurrentie, omdat we de hardwarematige bescherming al jaren aan gebruikers aanbieden.”
BIOS uitlezen
Zelfs wanneer je geen fysieke toegang hebt tot een toestel, kan je nog steeds een BIOS veranderen of uitlezen. Kwetsbaarheden zoals Spectre en Meltdown maken dat mogelijk. De geheugenmodule speelt hierin een cruciale rol. Een vastgesteld aantal eerste bytes in zo’n module is gereserveerd voor de BIOS en het besturingssysteem. Geen enkele toepassing kan daarin lezen of schrijven, net omwille van de kritieke gegevens. Maar in die zone zitten ook de BIOS-wachtwoorden en BIOS-updates. Eens je daarin kan, kan je alles aanpassen.
De geheugenmodule heeft een vastgesteld aantal eerste bytes dat is gereserveerd voor de BIOS en het OS.
Van Pee benadrukt het securitybelang van dat onderdeel in het geheugen. “Wij encrypteren alles wat daarin zit. Er staat geen flat code in die eerste regels. Wachtwoorden uitlezen is daarom niet mogelijk op onze toestellen. Stel dat je iets zou wegschrijven in die zone, bijvoorbeeld voor een malafide BIOS-update, dan doen wij een extra validatie, een checksum. Die is uniek, omwille van de aparte securitychip in elk toestel.”
HP maakt gebruik van een Embedded Security Control (ESC), die als eerste activeert wanneer je een toestel inschakelt. Die controller kijkt naar de checksum en valideert de BIOS-update. Wanneer er iets mis is, schiet de chip in actie. Die installeert een geverifieerd BIOS die het bij fabricage heeft meegekregen, wat ‘Self-Healing BIOS’ wordt genoemd in marketingtermen. Je zit dan uiteraard wel met een oud BIOS, maar dat kan je opnieuw updaten via de officiële weg naar de nieuwste versie.
Toekomst
Koen Van Beneden, General Manager Personal Systems bij HP Belux, benadrukt dat de beveiliging van de BIOS steeds belangrijker wordt in de toekomst. “Hackers willen vandaag niet alleen gegevens stelen. Ze willen ook schade berokkenen en bedrijven platleggen. Ze richten zich op strategisch geplaatste gebruikers om daar hun BIOS kapot te maken. We hebben bedrijven gekend die wekenlang zware productiviteitsverliezen hebben geleden. Detecteren is belangrijk, maar het automatisch oplossen van het probleem is nog veel beter.”
De aparte securitychip wordt in de fabriek vooraf geconfigureerd. Die is read-only, wat cruciaal is voor de veiligheid.
De aparte securitychip wordt in de fabriek vooraf geconfigureerd. De chip is read-only, wat cruciaal is voor de veiligheid. Maar dat brengt ook wel een nadeel met zich mee dat HP vandaag ervaart. De eerste generatie securitychips vier jaar geleden had enkel de BIOS-herstelling als functie, maar vandaag kan de chip veel meer. Early adopters die de nieuwste functies ook willen via bijvoorbeeld een firmware-update, kunnen op hun kin kloppen. Net omwille van de read-only veiligheid kunnen de chips niet meer worden geüpdatet na productie in de fabriek.
Van Pee analyseert de toekomst en ziet zo’n aparte securitychip binnenkort overal standaard in zitten. “Het is niet haalbaar voor elk bedrijf om alle verbonden toestellen optimaal te beheren. Zo’n aparte chip kan malware neutraliseren door alles te resetten naar de configuratie zoals het toestel in de fabriek van de band rolt. Het doel is om productiviteitsproblemen te beperken tot een absoluut minimum. Het enige wat niemand mag doen, is schrijfrechten tot zo’n securitychip geven. We hopen dat iedereen in de toekomst onze trend van aparte securitychips volgt.”