Spectre en Meltdown dilemma: nu actie of geduld?

Posted on Posted in BCONN Nieuws

Twee weken geleden werd wereldwijd bekend gemaakt dat er fouten in de processors van Intel chips zijn geconstateerd. Voor kwaadwillende is het mogelijk om toegang te krijgen tot het geheugen van de computer. Daarmee is geheime informatie zoals wachtwoorden en bankgegevens in potentie bereikbaar. Geen goede zaak! Dus actie in de taxi! Of toch nog even geduld?

Paniek!
Dit nieuws is wereldwijd als een bom ingeslagen. Direct worden security onderzoeken opgetuigd om de kwetsbaarheden en risico’s voor de eigen ICT-omgeving in kaart te brengen. Hieruit blijkt vooral nog dat het om een theoretisch probleem gaat en dat nog geen kwaadwillende software gevonden is die daadwerkelijk ook in computers ingebroken heeft. Maar toch wil je graag dat dit probleem zo snel mogelijk opgelost wordt, zodat je een mogelijke inbraak kunt voorkomen.

Is er nu een goede oplossing?
Nee, die is er tot op heden nog niet! In eerste instantie leek het erop dat slechts het Guest OS geüpdatet moest worden om het probleem op te lossen. Al snel bleek dat dit niet voldoende was. Ook het BIOS moest geüpdatet worden. Intel kwam snel met een nieuwe microcode waarmee het probleem verholpen kon worden. Helaas werd al snel geconstateerd dat na de update er nieuwe problemen kunnen ontstaan, zoals een spontane reboot van de server. Niet goed dus.

Van de regen in de drup…
Het probleem blijkt nog complexer te zijn. In IT-omgevingen waar virtualisatie wordt gebruikt zal ook de hypervisor van updates voorzien moeten worden. Zo heeft bijvoorbeeld VMware meerdere patches uitgebracht, die je moet installeren op ESXi. Al snel blijkt ook dat niet afdoende. Je krijgt er opnieuw andere problemen voor terug. Deze updates zijn overigens inmiddels weer ingetrokken. En als je deze updates al wél geïnstalleerd hebt, kan je handmatig (of middels scripts) de config files op alle ESXi servers aanpassen om die problemen dan weer te verhelpen. Zo blijf je aan de gang. Het is eigenlijk al twee weken klooien en ellende…

What to do?
Er is nu tussen verschillende technologiebedrijven zoals Intel en VMware afgesproken dat zij nu een patch aan het ontwikkelen zijn die wél goed moet zijn. Tot die tijd is het geduld hebben.

Als je tóch graag actie wilt ondernemen doe dat dan alsjeblieft in een kleine testomgeving en kijk hoe deze reageert op de nieuwe patches voordat je in de productieomgeving een update uitrolt. Omdat er nog steeds geen goede oplossing bestaat, is het verstandig om het nieuws goed te volgen. Zo kun je je bijvoorbeeld inschrijven voor de VMware security newsletter en de blogs van Intel volgen. Op die manier blijf je op de hoogte van de laatste ontwikkelingen.

En straks?
Ik verwacht dat er vast wel een oplossing komt voor Meltdown en Spectre. Ik ben echter wel benieuwd wat deze oplossing gaat betekenen voor de performance van de IT-omgeving. Dat is de volgende stap.

Wil je meer over dit onderwerp weten?
Of heb je een vraag?

Laat het mij weten!

Dennis van der Aalst
Technisch consultant BCONN ICT

e-mail: dennis.vander.aalst@bconn.nl
LinkedIn: https://www.linkedin.com/in/dvdaalst/
blog: www.dennisvanderaalst.com