De perikelen rond het chip-lek van Spectre en Meltdown zijn nog lang niet voorbij. Dat blijkt uit een rondvraag bij Belgische cloudproviders. Lijkt de security-impact nog mee te vallen, dan is dat voor de patching en performantie een stuk minder. ‘We zullen nog een lange periode alert moeten blijven.’
Op basis van de input van vijf vooraanstaande Belgische cloudproviders brengen we de impact van het chip-lek in kaart. Zeven feiten over Spectre/Meltdown die voor elke it-afdeling van tel zijn. Want per slot van rekening is zo’n Belgische cloudprovider qua infrastructuur een (heel) grote it-afdeling.
1. Risico is reëel, maar het kan erger
Door het beveiligingslek rond Spectre/Meltdown bleken computerprocessoren van fabrikanten Intel, AMD en ARM gevoelig voor aanvallen. Zo zou men toegang kunnen krijgen tot onderdelen van het computergeheugen die in principe onbereikbaar zouden moeten zijn. Veroorzaken Spectre/Meltdown een groot risico? Ja, maar het kan erger, zo lijkt de algemene teneur. ‘Qua gevaar was Heartbleed erger’, oordeelt Mattias Geniar, support manager bij Nucleus.
Heartbleed, dat in 2014 uitkwam, was een lek in de cryptografische programmeerbibliotheek OpenSSL. ‘Spectre/Meltdown zijn niet remotely exploitable. De impact is dus ‘beperkt’ tot personen en machines die reeds toegang hebben op een server. Dat is nog altijd Defcon 1 qua kritisch niveau, maar minder erg dan Heartbleed’, vergelijkt Geniar.
2. Patchen blijkt behoorlijk ingrijpend
Kort gezegd krijgt alles waar een cpu in zit een software- en/of firmware-upgrade, aldus Mattias Geniar, support manager bij Nucleus. ‘De impact is op dit vlak enorm. Voor virtuele omgevingen zijn dat bijvoorbeeld drie types patches: bios upgrades, hypervisors, zowel KVM en VMware, en het operating system binnen de virtuele machines. Daarbovenop is een gewone kernel update en reboot in virtuele machines niet voldoende, die moeten een cold boot krijgen. Dat maakt remote patching een stuk moeilijker en intensiever’, vertelt Geniar, die benadrukt dat een aantal van de patches van leveranciers aanvankelijk niet up-to-date waren. ‘Wat ons uiteraard heel wat extra werk opleverde.’
Ook bij Telenet benadrukt men de complexiteit. ‘Deze patch doorvoeren is minder voor de hand liggend wegens mogelijke bijwerkingen, zoals performantieverlies. Waardoor de patch degelijk moet getest worden’, vertelt Isabelle Geeraerts van corporate communications bij Telenet.
Bij de collega’s van Intelligent, waar ook Combell onder valt, willen ze de impact toch ook nuanceren. ‘De patch zelf doorvoeren op onze infrastructuur is voor ons niet de grootste uitdaging, omdat wij wekelijks zulke patchrondes uitvoeren op duizenden servers. Dit is bij ons aangestuurd door geautomatiseerde systemen die we hiervoor gebouwd hebben’, vertelt Stijn Claerhout, cto bij Intelligent.
3. Impact voor performance nog niet helemaal duidelijk
Op basis van eerste analyses werd gesteld dat er een behoorlijk performanceverlies zou zijn naar aanleiding van de patches. ‘Sommige bronnen hebben het zelfs over 30 procent prestatieverlies. Maar de gevolgen van het patchen hangen echter grotendeels af van de manier waarop applicaties de functionaliteit van de processor gebruiken. Er zijn nog steeds tests gaande om de situatie beter te begrijpen’, vertelt Luc Poelmans, security expert engineer bij Proximus.
Bij Nucleus geeft men alvast een concreter beeld mee op basis van hun (eerste) bevindingen. ‘Het type servers dat hier het meeste last van lijkt te hebben, zijn de database servers, zoals MySQL, MariaDB en PostgreSQL. Daar zien we tussen de 10 à 20 procent cpu-toename’, stelt Geniar vast. ‘Bij de webservers is het op dit moment nog niet erg duidelijk, maar daar lijkt het wel beter mee te vallen.’
4. Cloudproviders compenseren met hun reserves
Bij Intelligent houdt men nog even de boot af inzake impact qua performantie. ‘Door de complexiteit van het verhaal is daar op vandaag nog geen sluitend antwoord op te geven’, stelt Claerhout. ‘Er moeten patches gebeuren in-guest op de hypervisors, zoals dat heet. Maar ook op de hardware moet er firmware geüpdatet worden. Voor die laatste zijn nog niet alle nodige patches beschikbaar gemaakt door alle leveranciers. Wat Meltdown betreft is Claerhout alvast voorzichtig positief. ‘Voor Spectre is het echter nog onduidelijk. We hebben ook altijd voldoende ruimte om meer dan 30 procent extra capaciteit te overbruggen.’
Ook andere cloudproviders benadrukken die reservecapaciteit. ‘Als cloudprovider heb je steeds de nodige reserves beschikbaar voor je klanten, omdat je op grote schaal systemen uitrolt’, benadrukt Pepijn Palmans van Stuart. Dat is meteen ook het verschil met een it-afdeling met een veel beperkter aantal servers. Want zij hebben die reserves vaak niet ter beschikking.
5. Bugs als Spectre en Meltdown verwarrend
Ook dit niet vergeten: Spectre en Meltdown worden in één adem genoemd, maar er is dus wel een groot verschil tussen de twee. Ook hun technische impact is niet altijd duidelijk voor iedereen. ‘Bugs krijgen steeds vaker een eigen naam en logo. Dit maakt het wat tastbaarder, maar zorgt bij mensen ook wel voor wat verwarring’, vindt Palmans. ‘Waar vroeger enkel gespecialiseerde pers melding maakte van dit soort zaken, duikt het nu ook in de mainstream media op. Daardoor krijgen mensen zeer beperkte informatie, vaak op een zo sensationeel mogelijke manier voorgesteld’, stelt hij.
Toch is het volgens Palmans onvermijdelijk. ‘Het is goed dat mensen bewust worden van het feit dat niets op het internet perfect is. En dat je moet nadenken over een goed uitgebouwd beleid inzake veiligheid van je systemen en data.’
6. Meltdown op korte, Spectre eerder lange termijn
Aanvankelijk bleken er vooral patches voor Meltdown, maar daar was het ook het meest dringend. ‘Dat klopt’, beaamt Claerhout. ‘Meltdown kan ook gemakkelijker opgelost worden en er zijn al veel patches voor beschikbaar, voor Spectre zijn er ook firmware- of bios-patches nodig die vaak nog niet beschikbaar zijn gemaakt door de leveranciers.’
‘Spectre is inderdaad moeilijker uit te buiten, maar ik ben ervan overtuigd dat het niet lang meer duurt vooraleer ook daar de eerste publieke exploits opduiken’, oppert Geniar. ‘Maar het blijven lokale aanvallen: je moet al toegang hebben tot een server voor je het lek kan misbruiken. En het is read-only, je kan info lezen uit geheugen waar je geen toegang toe hoort te hebben, het laat je niet rechtstreeks toe data te manipuleren.’
7. Het is nog niet voorbij
De impact op elke it-organisatie, dus ook die van een cloud provider, is niet klein, stelt Palmans voorzichting. ‘Maar in tegenstelling tot andere security aankondigingen, is het nu wel zo dat er niet onmiddellijk voor elk platform een patch voorhanden was’, stelt hij.
Ook Palmans erkent dat de impact minder zwaar was dan bij Heartbleed. ‘Toch is de impact wel van die aard dat we over een veel langere periode impact verwachten en alert moeten blijven’, stelt hij. ‘Ik verwacht in de komende weken en maanden nog heel wat updates en patches die we steeds vrijwel onmiddellijk zullen moeten uitrollen. Dit is nog lang niet voorbij.’
