Weinigen van ons weten dat onze apparaten zijn uitgerust met beveiligingschips, dus wat doen ze eigenlijk? Hoe houden ze je veilig?
Als u op zoek bent naar een nieuw apparaat, ziet u mogelijk beveiligingschips in de specificaties. De meeste mensen bladeren deze informatie snel door zonder echt na te denken over wat het betekent.
Dus wat zijn beveiligingschips? Maakt het uit welke chip je toestel heeft? En hoe werken beveiligingschips eigenlijk?
Wat zijn beveiligingschips precies?
Beveiligingschips zijn kleine componenten die in een apparaat zijn ingebed om de integriteit ervan te beschermen.
Beveiligingschips zijn micro-elektronica die zorgen voor de beveiliging van de hardware en firmware van uw apparaat. Op hardwareniveau voorkomen ze dat buitenstaanders knoeien met componenten en misbruik maken van kwetsbaarheden in hardware. Evenzo vergemakkelijken beveiligingschips de firmwarebeveiliging door gegevens die op het apparaat zijn opgeslagen te versleutelen en ervoor te zorgen dat buitenstaanders de software niet kunnen wijzigen.
In computers en telefoons bijvoorbeeld zorgen beveiligingschips ervoor dat alle andere componenten compatibel zijn en dat er niet mee is geknoeid sinds ze de fabriek hebben verlaten. Beveiligingschips kunnen ook omgaan veilige start, wachtwoordauthenticatie en referentiebeheer, evenals codering, naast andere functies.
Uiteindelijk zorgen het ontwerp en de configuratie van beveiligingschips ervoor dat ze barrières vormen voor fysieke en draadloze cyberaanvallen.
Waarom zou het u iets kunnen schelen wat voor beveiligingschip u heeft?
Als het gaat om dingen waarmee u rekening moet houden bij het kopen van nieuwe hardware, krijgen beveiligingschips vaak een vluchtige blik in vergelijking met functies zoals RAM, processor, grafische kaart en schermresolutie. Dat is begrijpelijk, want die functies dragen het grootste deel van de dagelijkse computertaken. Maar zoals we hebben geleerd toen Microsoft Windows 11 uitbracht, zijn beveiligingschips net zo belangrijk. Veel Windows 10-gebruikers konden niet updaten naar Windows 11 omdat hun apparaten geen TPM 2.0 hadden en ervoor kozen installeer Windows 11 op niet-ondersteunde hardware.
Hoe werken beveiligingschips?
De workflow van een beveiligingschip hangt af van de integratie ervan: aan boord als een afzonderlijke, speciale module zoals TPM 2.0 en Titan M2 van Google of rechtstreeks met de CPU zoals de Pluton beveiligingsprocessor door Microsoft.
De Titan M2 is een losse module die communiceert met de rest van de system-on-chip (SoC). Het heeft zijn eigen flash-geheugen en een microkernel, dus apparaten die de chip gebruiken, werken in een geïsoleerde, veilige omgeving. Het flash-geheugen zorgt voor de opslag van gevoelige gegevens terwijl de microkernel een interface heeft met de rest van het besturingssysteem. Bij het opstarten controleert de microkernel zijn firmware en valideert hij zijn componenten om er zeker van te zijn dat er geen fysieke wijzigingen zijn opgetreden sinds de laatste keer opstarten. Pas na een succesvolle audit geeft de chip toegang tot het flashgeheugen om de hardware-boot en gebruikersverificatie te voltooien.
Ondertussen heeft Pluton, in tegenstelling tot chips die communiceren met de rest van de SoC, een geïntegreerd beveiligingssubsysteem in de CPU. Op deze manier regelt de chip alles, inclusief veilig opstarten, cryptografische validatie, inloggegevensbescherming en algehele apparaatbeveiliging, zonder afhankelijk te zijn van andere SoC-componenten. Dit systeem is beter voor de beveiliging omdat het potentiële zwakke schakels verwijdert. Het gebruik van geïntegreerde subsystemen is geen nieuwe technologie, niet voor Microsoft. Xbox-consoles en Azure Sphere maken sinds 2013 gebruik van beveiligingsprocessors. Pluton bouwt daar alleen maar op voort.
Hoe worden beveiligingschips aangevallen?
Beveiligingschips maken grote sprongen die hun beveiliging aanzienlijk verbeteren, maar dit vergt jaren van onderzoek, ontwikkeling en testen. Hoewel chipfirmware onveranderlijk is, hebben fabrikanten wat bewegingsruimte om kleine bugs op te lossen via firmware-updates. Hackers zijn dus gemotiveerd om kwetsbaarheden te vinden en uit te buiten voordat de fabrikant bugs patcht of een betere chip uitbrengt.
Aanvallen op beveiligingschips zijn meestal gericht op het compromitteren van de communicatie tussen de beveiligingschip en de SoC. Om dit te doen, vertrouwen hackers vaak op een combinatie van hardware-aanvallen zoals zijkanaalaanvallen, met behulp van een logische analysator en foutinjectie.
Wat betekent dit voor u?
Overweeg apparaten te kopen met de nieuwste beveiligingsstandaarden, vooral wanneer u op zoek bent naar upgrades of vervangingen. In tegenstelling tot niet-fysieke cyberaanvallen, waarbij u voorzorgsmaatregelen kunt nemen, zoals het versleutelen van uw opslag of het gebruik van sterke wachtwoorden, kunt u weinig doen tegen fysieke hacks zodra aanvallers een beveiliging in gevaar brengen chippen. Op dat moment loopt elk apparaat dat die chip gebruikt gevaar.
Dat zal echter waarschijnlijk niet gebeuren. Fysieke hacks zijn niet gebruikelijk omdat hackers over de hardware van belang moeten beschikken, waardoor hun risico om gepakt te worden toeneemt en een spoor van bewijs achterlaat dat hun wettelijke aansprakelijkheid verergert. Het is het gewoon niet waard, tenzij het doelwit een schat aan waardevolle gegevens bezit, zoals bijvoorbeeld uw computer met de toegangssleutels tot geldautomaten of kernreactoren.
Hoe dan ook, u moet het risico niet nemen met oude hardware die op verouderde beveiligingschips draait, omdat u daardoor nog steeds kwetsbaar kunt zijn voor over-the-air-aanvallen.
Beveiligingschips beschermen ook u
De meesten van ons kennen en gebruiken antivirussoftware als eerste verdedigingslinie tegen cybercriminelen en cyberaanvallen, maar weinigen van ons erkennen het goede dat beveiligingschips doen bij het beschermen van onze apparaten en gegevens zeker. Vergeet de volgende keer dat u op zoek bent naar een nieuwe laptop of smartphone niet ook de beveiligingschips te onderzoeken.