Meltdown en Spectre cloud computing – Risk assessment in vijf vragen

08-01-2018 - Niek Temme

Het grootse IT-nieuws van het nieuwe jaar is al weer binnen. Onder de namen Meltdown en Spectre zijn twee security risico’s aan het licht gekomen die een grote impact hebben op computersystemen en cloud computing in het bijzonder.

De hoge impact van Meltdown en Spectre wordt veroorzaakt doordat ze het mogelijk maken om vanuit een willekeurig CPU-proces het fysieke geheugen uit te lezen. Hiermee wordt de standaard aanwezige geheugenbescherming omzeild. Daarnaast wordt het lek niet veroorzaakt door een softwarebug maar door het processorontwerp. Dit is dus niet eenvoudig te verhelpen met een update. Alle bekende processoren van Intel, AMD en ARM worden geraakt.

Voor cloud computing is de impact mogelijk het grootst. Bij de meeste cloud providers wordt namelijk dezelfde fysieke hardware gedeeld door meerdere partijen. Als organisatie neem je een virtuele server af. De cloud provider host meerdere van deze virtuele servers op een van hun fysieke servers. Meestal zijn dit virtuele servers van verschillende bedrijven. Meltdown en Spectre maken het in theorie mogelijk dat je vanuit de virtuele server van bedrijf A het geheugen kan uitlezen van de server van bedrijf B. Dit is inclusief wachtwoorden en security certificaten.

Op dit moment zijn er geen bekende exploits bekend die ook daadwerkelijk het geheugen van andermans servers uitlezen en alle cloud providers zijn bezig om maatregelen te implementeren. Om in de tussentijd een risico impact te maken is het verstandig om de volgende vragen te beantwoorden.

1. Staan mijn servers op gedeelde fysieke hardware?

Bij sommige cloud providers (bijvoorbeeld packet.net) is het mogelijk om fysieke servers af te nemen. Omdat het computergeheugen hier niet gedeeld wordt, kan dit ook niet uitgelezen worden. Wanneer er gebruik gemaakt wordt van virtuele servers op gedeelde fysieke hardware is dit risico er wel.

2. Met wie wordt deze fysieke hardware gedeeld?

Als er gebruik gemaakt wordt van virtuele servers op gedeelde hardware is de volgende vraag met wie deze hardware wordt gedeeld. Amazon (AWS) heeft bijvoorbeeld de optie om alleen hardware te delen met andere overheidspartijen. De kans dat de ene overheidsorganisatie de andere hackt is lager dan een virtuele server die door iedereen kan worden aangevraagd.

3. Vereist mijn cloud provider dat ik zelf patches uitvoer op mijn virtuele servers?

Alle cloud providers brachten gelijk statements naar buiten dat hun infrastructuur veilig is. Helaas was niet altijd duidelijk wat dit betekende. Amazon gaaf aan dat zij hun fysieke servers hadden beveiligd maar brachten tegelijk wel een patch uit die klanten zelf op hun virtuele servers moesten uitvoeren.

4. Is er voor mijn operating systeem een security patch beschikbaar?

Zowel Spectre als Meltdown zijn al enige tijd bekend. Er zou oorspronkelijk op 9 januari gecoördineerde openheid gegeven worden. Helaas werd het nieuws al op 3 januari bekend. Niet alle leveranciers van besturingssystemen hadden gelijk een security patch klaar. Op het moment van schrijven is er een patch beschikbaar voor Redhat gebaseerde Linux systemen. Voor Debian Linux varianten, waaronder Ubuntu is nog geen patch uitgebracht. Het feit dat een security patch op een zeer laag kernel niveau moet worden aangebracht maakt het lastig om snel een patch op te leveren.

5. Biedt een security patch voldoende bescherming tegen Meltdown en Spectre?

Na de bekendmaking van Spectre en Meltdown was er gelijk een security patch beschikbaar voor Ubuntu. Deze patch was echter voor heel iets anders bedoeld en had niets te maken met de nieuwe beveiligingsrisico’s Het is dus noodzakelijk om na te gaan of security updates daadwerkelijk zijn uitgegeven tegen Meltdown en Spectre. In sommige gevallen is dit te merken door performanceverlies. De eerste rapportages van updates voor de Amazon Linux distributie geven aan dat de geüpdatete servers een performance verlies hebben van maximaal 30%.