De Meltdown en Spectre kwetsbaarheden in processoren

4 Januari 2018, het jaar is nog maar net begonnen en de computerwereld wordt gelijk hevig door elkaar geschud door onderzoekers van onder andere Google Project Zero. In de documentatie wordt duidelijk gemaakt dat praktisch alle moderne processoren een cruciale optimalisatiefout bevatten waardoor het mogelijk wordt om geheugendata te lezen die eigenlijk helemaal niet toegankelijk hoort te zijn. Deze optimalisatietechniek wordt “Speculative Execution” genoemd en houdt in dat een processor taken verwerkt die misschien helemaal niet nodig zijn, de gedachte hierachter is om het werk uit te voeren voordat het bekend is of het werk nodig is. Dat klinkt misschien als een ontzettende verspilling van processorgebruik maar in werkelijkheid zorgt het ervoor dat bijna alle applicaties sneller kunnen werken.

Zo goed als alle processoren van nu gebruiken deze techniek, dat betekent eigenlijk dat alle apparaten met een processor een kwetsbaarheid hebben. Dit geldt voor alle servers op aarde tot die fancy smart-koelkasten. Alle apparaten die maar een beetje kunnen nadenken zijn potentieel kwetsbaar.

Hoe erg is het?

Verschillende onderzoeksinstituten hebben ondertussen concepten gepubliceerd die deze kwetsbaarheden exploiteren en aan het licht brengen. Zeker het Oostenrijkse Graz University of Technology (was ook aan boord tijdens het onderzoeksproces naar deze kwetsbaarheden) heeft meerdere Concepten gepubliceerd waarin deze kwetsbaarheden in actie te zien zijn. Zo is het mogelijk om het processorgeheugen uit te lezen wachtwoorden te stelen (zie onderstaande video).

Een Meltdown demo waarin live wachtwoorden bekeken kunnen worden. Credit Michael Schwarz van de Graz Universiteit of Technology.

Maatregelen voor deze kwetsbaarheden zijn onderweg voor verschillende systemen. De grote systeemontwikkelaars van deze wereld zijn al wat eerder op de hoogte gebracht zodat er op de achtergrond aan een oplossing gewerkt kon worden. De maatregelen zijn nog erg beperkt en verschillen per systeem maar onder andere Windows, Apple, Google, Mozilla, Android en RedHat zijn langzaam maar zeker updates aan het uitrollen die de Meltdown-kwetsbaarheden in een soort quarantaine zetten.

Helaas, de updates zijn niet zonder consequenties. De techniek waar het allemaal fout gaat is een optimalisatie techniek van de processorfabrikanten, dit betekent dat het oplossen van deze fout ten koste zal gaan van systeem prestaties. Over tijd zal deze impact op snelheid wel weg gewerkt worden maar vanwege de urgentie is het niet mogelijk om een super geoptimaliseerde update uit te brengen.

Wees dus de komende tijd extra alert op updates van je computers, telefoons, tablets, smart-tv en je koelkast.

Updaten is altijd belangrijk. Soms is het oké om een update uit te stellen voor een paar dagen, deze keer niet. Update zo snel mogelijk.

Meltdown

Door een Meltdown-aanval krijgt een aanvaller volledig inzicht in het geheugen van een systeem en wat de processor op het moment aan het verwerken is, hierdoor kunnen zeer gevoelige gegevens van het besturingssysteem en andere applicaties opeens bekeken worden.
Voor zover bekend hebben alle Intel processoren van ná 1995 deze kwetsbaarheid (op Intel Atom processoren na). AMD en ARM processoren worden nog nader onderzocht en het is nog niet definitief duidelijk of Meltdown van toepassing is op de processoren van deze fabrikanten.
Software updates om Meltdown te neutraliseren worden op dit moment uitgegeven door verschillende systeemontwikkelaars, deze software updates zijn door sommige ontwikkelaars al uitgegeven of worden op korte termijn uitgegeven.

Spectre

De Spectre kwetsbaarheid houdt in dat code uit een andere applicatie geforceerd kan worden uitgevoerd terwijl deze code normaal niet zou worden uitgevoerd. Hierdoor is het mogelijk om vertrouwelijke informatie te lekken.

Voor zover bekend zijn alle processoren van Intel, AMD en ARM kwetsbaar voor dit lek. Het is echter wel zo dat een Spectre aanval een stuk gecompliceerder is dan een Meltdown aanval, helaas is het daarmee ook lastiger om te neutraliseren. Op het moment zijn er nog geen consequent werkende maatregelen tegen Spectre.

De vervolgstappen bij Niqex

We houden alles zeer nauwlettend in de gaten om mogelijke oplossingen zo snel mogelijk toe te passen.
We hebben op het moment hotfixes klaar staan om de Meltdown kwetsbaarheid te neutraliseren, deze updates worden deze avond (5 januari) toegepast op onze servers.

Het is echter mogelijk dat deze updates een negatieve impact zullen hebben op de prestaties van onze systemen, het is helaas niet te voorspellen hoe deze impact zal zijn. Mocht het zo zijn dat deze updates daadwerkelijk resulteren in slechtere prestaties dan willen we hier graag bij voorbaat onze excuses voor aanbieden.

We zijn van mening dat databeveiliging een absolute top-prioriteit is, snelheid ten koste van beveiliging is geen optie.

Deel dit verhaal

Sluit Menu
1 Share
Share via
Copy link