Het Meltdown en Spectre beveiligingsprobleem.

Artikel

Het Meltdown en Spectre beveiligingsprobleem.

door

Laatste update: 11 januari 23:15 uur

Wat is er aan de hand? Wat zijn Meltdown en Spectre? Dinsdagavond 2 januari 2018 kwam een artikel online van het Engelse IT blog The Register. In dit artikel wordt verteld dat er een ernstige ontwerpfout zit in de veelgebruikte Intel processoren. Door deze fout is het mogelijk om vanuit software, zoals bijvoorbeeld een webbrowser, informatie te lezen uit het geheugen van een computer. Informatie waar het programma geen recht op heeft. En bijna iedereen maakt gebruik van de techniek van Intel.

Meltdown en Spectre

De ontwerpfout in de processor architectuur is opgedeeld in twee aparte problemen, met elk een eigen naam Meltdown en Spectre. Deze namen zijn makkelijker in de omgang dan de cryptische codes die doorgaans gehanteerd worden.

Dinsdag 2 januari was er officieel nog niets gepubliceerd en was het voor techneuten voornamelijk giswerk en speculatie. Woensdag 3 januari kwamen de eerste officiële berichten. Zo ook de officiële website waarin Meltdown en Spectre uit de doeken wordt gedaan door de onderzoekers uit Graz. En het aparte artikel op de website van het Google Zero project: Reading privileged memory with a side-channel.

Hoe groot is het probleem?

In één woord; enorm.

Alle Intel processoren van de afgelopen 20 jaar en vele processoren van andere fabrikanten, zoals o.a. AMD en ARM, hebben last van deze ontwerpfout. Dat zijn bijna alle in omloop zijnde laptops en computers, maar mogelijk ook smartphones. Ook de meeste servers in datacentra wereldwijd, dus ook de servers waar onze WordPress websites op draaien, bevatten de ontwerpfouten. Eén van de gevolgen van de reparatie aan de software is een performance verlies. Dit verlies hangt af van het type werk dat de processor moet uitvoeren. Bij software zoals databases kan het verlies flink oplopen. Getallen van 5% tot 30% doen de ronde. De monitoring cijfers die wij hebben gezien na de eerste aangepaste vps'en zijn margiunaal hoger bij normale WordPress omgevingen.

Besturingssystemen

Bouwers van besturingssystemen zoals Microsoft, Apple en de Linux distributies zoals Ubuntu en Red Hat brengen updates uit voor hun software. Deze updates hebben als gevolg dat servers herstart moeten worden. Virtuele servers (vps'en) die gebruik maken van fysieke servers moeten geüpdatet worden en herstart. Er kan dus mogelijk kortstondig downtime ontstaan.

Webbrowsers

Webbrowsers hebben behoorlijk last van met name Spectre. Dit zit hem vooral in de dreiging dat, via reguliere website bezoek, kwaadwillende javascript code informatie uit kan lezen waar het geen recht op heeft. Gelukkig was Google in 2017 al begonnen om volledige website isolatie te implementeren in Chrome (chrome://flags/#enable-site-per-process). En voor Mozilla Firefox en Microsoft Edge/IE 11 zijn nieuwe versies beschikbaar, waarin risico's met javascript worden verminderd.

WordPress

WordPress zelf zal nog niet aangepast worden. Ook zullen we met de huidige kennis niet overgaan tot veranderingen aan de ondersteunende software van WordPress op de vps'en zelf. Op het javascript gebied zijn zeker aanpassingen te verwachten. En deze nieuwe versies zullen in gebruik genomen worden als ze beschikbaar komen.

Hosting providers en Meltdown

Hosting providers zullen het nodige onderhoud moeten uitvoeren aan hun servers. Amazon AWS, Google en Azure zijn volgens eigen zeggen al even klaar met het updaten en herstarten. Zij behoren tot een selecte groep die al meerdere maanden eerder, onder embargo, op de hoogte waren van de gevonden problemen. Maar veel andere hosters zullen pas aan de slag kunnen in 2018 vanaf week twee of drie. Omdat er eerder geen updates beschikbaar zijn voor Meltdown vanuit hun leveranciers.

Nederlandse (Cloud) hosters en de belangenvereniging DHPA zijn helaas nogal stil in hun communicatie. En dat is jammer. Uitzondering op deze regel is Greenhost die heeft vanaf 4 januari regelmatig van zich laten horen, transparant en open. Greenhost heeft in week twee haar infrastructuur al waar mogelijk voor Meltdown aangepast en herstart.

Processoren en Spectre

Volgens meerdere bronnen is Spectre alleen op te lossen door de gehele processor te vervangen. En dan nog wel door een volledig nieuwe generatie processoren. Helaas liggen de ontwerpen daarvoor begin 2018 nog niet klaar. Daarnaast zijn bestaande apparaten zoals tablets, smartphones en laptops onmogelijk te voorzien van een nieuwe processor.

Moderne processoren zijn zeer ingewikkelde hardware componenten geworden, die ook software aan boord hebben. Dit software component noemt men microcode en kan vervangen worden. Intel heeft nieuwe microcode beschikbaar gesteld voor integratie in besturingssystemen. En in hoever dit gaat helpen om misbruik van Spectre te voorkomen moet nog blijken de komende maanden.

Level Level

Wat gaat Level Level doen met Meltdown en Spectre? Allereerst de nieuwe software van Ubuntu testen, deze is beschikbaar vanaf 9 januari. Indien de tests goed verlopen, gaan wij alle vps'en updaten met de door Ubuntu beschikbaar gestelde software en deze herstarten. Het herstarten zal op een zo gunstig mogelijk moment plaats vinden zodat bezoekers er minimaal last van ondervinden. Daarnaast houden wij via diverse bronnen de ontwikkelingen nauwgezet in de gaten en zullen, indien nodig, verdere acties uitvoeren.

Het testen verloopt langzaam omdat er bruikbare data verzameld moet worden. Maar voornamelijk omdat er in een aantal dagen tijd veel updates voor de kernel beschikbaar gemaakt zijn door Ubuntu. Een update installeren betekend ook een herstart. En daar komt bij dat sommige hosters al klaar zijn met updaten van de fysieke servers en dat andere nog moeten beginnen.

Dit artikel zal verder geactualiseerd worden zodra er meer relevant nieuws beschikbaar komt. Want wij verwachten dat dit akkefietje, met name Spectre, nog een lang staartje gaat krijgen.

Meer lezen

Wil je meer, vooral technische informatie, lezen over Meltdown en Spectre?

Kan jouw website wel een boost gebruiken?

We denken graag met je mee.