Logo Parlement Buxellois

Schriftelijke vraag betreffende de kwetsbaarheid 'Load Value Injection' in Intel-processors en de impact van deze kwetsbaarheid op de gemeentelijke en gewestelijke informatica.

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 338)

 
Datum ontvangst: 07/07/2020 Datum publicatie: 02/10/2020
Zittingsperiode: 19/24 Zitting: 19/20 Datum antwoord: 16/09/2020
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
08/07/2020 Ontvankelijk p.m.
 
Vraag    Op 12 januari 2018 heb ik mevrouw Bianca Debaets (CD&V), Brussels staatssecretaris voor gewestelijke en gemeentelijke informatica, ondervraagd over de twee ernstige kwetsbaarheden ontdekt in de chips van Intel, AMD en ARM en de gevolgen van die kwetsbaarheden voor de gemeentelijke en gewestelijke informatica.

zie: http://www.parlement.brussels/weblex-quest-det/?lang=nl&moncode=139800&base=1

Op 24 juni 2020 wil ik u ondervragen over de kwetsbaarheid Load Value Injection (LVI) in Intel-processors die in april 2019 werd ontdekt en die onlangs openbaar is gemaakt. Zonder in te gaan op technische overwegingen, die kunnen worden geraadpleegd op https://lviattack.eu, zou deze kwetsbaarheid iemand met kwade bedoelingen (hacker) in staat stellen om de volledige controle te krijgen over een programma, waardoor hij/zij elementen zoals vingerafdrukken en wachtwoorden in handen kan krijgen. ( )

Het LVI-lek is dus zeer gevaarlijk en is bijzonder moeilijk aan te pakken, omdat het deze keer niet alleen een hardwareprobleem is en de oplossing om het te repareren software patches vereist, die de berekening van de Intel SGX-enclaves 2 tot 19 keer kunnen vertragen! ( )

Ik wens u de volgende vragen te stellen in verband met de gemeentelijke en gewestelijke informatica:

Na de ontdekking van deze LVI-kwetsbaarheid,

1. Welke maatregelen zijn genomen om alle IT-apparatuur te beschermen tegen de exploitatie van deze kwetsbaarheid?

2. Welke maatregelen zijn genomen om het effect van de patches op de prestaties van de systemen te meten?

3. Welke tegenmaatregelen zijn genomen om de veiligheid, integriteit en vertrouwelijkheid van de gegevens te waarborgen?

4. Welke maatregelen zijn genomen om de bedreigingen in verband met deze LVI-kwetsbaarheid uit te leggen aan de IT-verantwoordelijken en de gebruikers?
 
 
Antwoord    1/
Het CIBG is op de hoogte van deze recent ontdekte LVI-beveiligingslek op Intel-processors en volgt deze zaak nauwlettend.
Het CIBG heeft het geëvalueerd en is van mening dat het op dit moment geen hoog risico inhoudt.
Dit nieuwe type aanval bevindt zich inderdaad nog in de experimentele en onderzoeksfase. Een van de conclusies van universitaire onderzoekers1 is de volgende: een LVI-aanval zou voor een aanvaller moeilijk uit te voeren zijn en vormt op dit moment geen gevaar voor de gebruikers vanwege de miskenning van de werking van deze processors.

Ondanks de complexiteit om een dergelijke aanval te implementeren, waardoor deze bijna onuitvoerbaar is en ondanks het feit dat het Centrum voor Cybersecurity België (CCB) tot op heden nog geen waarschuwing over dit onderwerp heeft aangemaakt, heeft het CIBG nu al nieuwe risicobeperkende LVI-richtlijnen en -tools geïmplementeerd die door Intel beschikbaar zijn gesteld en die samen met eerdere maatregelen werken.

2/
Zoals u zegt, hebben de patches op het niveau van Intel-processors die momenteel beschikbaar zijn voor dergelijke kwetsbaarheden gevolgen voor de prestaties van de processors. En daarom mogen ze niet worden uitgerold, anders hebben ze een negatieve invloed op de prestaties van de systemen.

3/
Naast de bovenvermelde implementatie van nieuwe richtlijnen en nieuwe tools, volstaan momenteel de huidige organisatorische en technische beveiligingsmaatregelen (zoals firewalls, omgevingen isoleren, antivirus, enz.) die door het CIBG worden geïmplementeerd binnen het Gewestelijk Datacenter, evenals het regelmatig bijwerken van patches voor besturingssystemen en VM's (virtuele machines), om een adequate gegevensbescherming te garanderen.

4/
Om de in punt 1 vermelde redenen is tot op heden geen communicatie over specifieke beveiliging met betrekking tot deze kwetsbaarheid verspreid. Het CIBG blijft echter niet achter en zorgt voor regelmatige communicatie en bewustmaking met betrekking tot informatiebeveiliging bij zijn gebruikers en gewestelijke IT-managers. Het aanbevolen bericht voor dergelijke systeemfouten dat ook regelmatig wordt doorgestuurd naar de IT-teams van gewestelijke instellingen is: "Houd uw systemen altijd up-to-date met de laatste beveiligingsupdates en volg de instructies van uw leveranciers van besturingssystemen en VM. "

1KU Leuven Jo Van Bulck from imec-DistriNet