Spectre en Meltdown, het nieuwe jaar begint met een uitdaging!

Je hebt er vast al over gehoord, de twee enorme bugs die nagenoeg elke CPU kwetsbaar maken: Spectre en Meltdown. Dit heeft ook invloed op Antagonist gehad. Geen zorgen, onze servers zijn inmiddels geüpdatet en veilig. Daar is dit weekend hard aan gewerkt. We geven je daarom graag een toelichting, zodat je weet waar jij bij ons aan toe bent.

Spectre en Meltdown, het nieuwe jaar begint met een uitdaging!

Uniek is, dat het probleem in de hardware zit en niet in de software die erop draait. Dit maakt het oplossen via een software-update complex. De enige échte oplossing is het vervangen van de chip door eentje waar de ontwerpfout niet in zit. Echter, door de enorme schaal – elke smartphone, server en computer hebben immers een CPU – is vervangen geen haalbare oplossing op korte termijn. Het patchen wel. Hoe zag onze tijdlijn er uit?

Intel, AMD en ARM
Meltdown treft chips van Intel en is met een aanpassing in de software goed aan te pakken. Spectre is omvangrijker en raakt ARM-chips, en chips van Intel en AMD. Spectre is lastiger te verhelpen, maar gelukkig ook lastiger om te misbruiken.

Onze tijdlijn

Op het moment dat het nieuws naar buiten kwam, was Antagonist direct in de opperste staat van paraatheid. We bestaan uit een team van mensen met een vergaande passie voor IT, dit soort nieuws prikkelt ons dus direct. Iedereen werd opgetrommeld, één systeembeheerder kwam zelfs eerder terug van vakantie. Dit doel leeft bij ons allemaal: de veiligheid en bereikbaarheid van ons platform garanderen.

Sinds vrijdag hebben we samen met onze leveranciers non-stop aan een oplossing gewerkt. Nadat die was gevonden, hebben we eerst getest wat de impact was. Je wilt koste wat het kost voorkomen dat de stabiliteit van je platform in gevaar komt. Daarna hebben we via onze statuspagina de updates aangekondigd en het gaandeweg over weekend uitgerold.

Dit ging niet zonder slag of stoot, na de update kregen we zogeheten kernel panics in de nacht van vrijdag op zaterdag. We besloten direct om voor een hybrid kernel te kiezen, maar die had weer andere bijwerkingen. Bij de gezonde acht uur slaap kwamen onze systeembeheerders afgelopen weekend verreweg niet in buurt, maar gelukkig werd het harde werk beloond! We hielden ons hoofd koel en vonden de oplossing. Zondag waren alle kernels en microcode (waar een CPU gebruik van maakt) geüpdatet.

Had het onderhoud invloed op de uptime?

Niet alleen bij ons, maar ook bij veel andere IT dienstverleners, merkte je dat vanwege Spectre en Meltdown er meer onderhoud en verstoringen zijn dan normaal. En dat zul je ook deze week nog gaan merken, hoe vervelend en onwenselijk dat ook is.

De verklaring is logisch: het is eigenlijk bizar om binnen één weekend de kernels van alle servers te updaten. Bij onderhoud van deze omvang wil je normaal gesproken een ruime testperiode hebben, meerdere weken tot een maand is niet ongebruikelijk. Ook wil je een doordacht plan voor de uitrol.

Spectre en Meltdown vs. hoe onderhoud normaal gesproken gaat.

Je wilt absoluut zeker weten dat een update geen invloed heeft op andere onderdelen binnen je platform. Je plant het onderhoud daarom zorgvuldig, zorgt dat iedereen op de hoogte is en vervolgens rol je het gefaseerd uit op tactisch gekozen tijdstippen. Kom je dan iets tegen, dan rol je het terug en heeft het slechts weinig invloed gehad op een kleine groep mensen.

Als die tijd er niet is …

Echter, doordat Intel het op zo’n korte termijn naar buiten bracht, was die tijd er simpelweg niet. Je moet testen wat je kunt en zo snel mogelijk kiezen tussen twee kwaden: korte downtime of een beveiligingslek.

Hoewel beschikbaarheid (uptime) en data-integriteit (veiligheid) beide ons belangrijkste streven is, is data-integriteit altijd prioriteit nummer één bij Systeembeheer. We moeten er altijd 100% zeker van zijn dat data die bij ons zijn opgeslagen in perfecte staat verkeren. Even uit de lucht is supervervelend, maar verloren data of gegevens die lekken, is veel erger.

Gebeurt er bij een update als deze iets onverwachts, dan is een reboot, en dus downtime, soms onvermijdelijk. En daar maak je niemand minder blij mee dan onze systeembeheerders. Zij beseffen als geen ander hoe belangrijk het is dat jouw website en e-mail online is en doen er dan alles aan om downtime tot een minimum te beperken. Bedankt voor je begrip!

En snelheid, hoe zit daarmee?

Er zijn artikelen die melden dat patches voor Spectre en Meltdown de performance negatief beïnvloeden. Wij kunnen bevestigen dat dit bij ons niet het geval is. Na het doorvoeren van de updates is het platform nog net zo razendsnel als voorheen.

Wat kan ik doen?

Deze beveiligingslekken hebben niet alleen betrekking op ons, maar op ieder apparaat dat een CPU van Intel, AMD of ARM bevat. En dat zijn er veel, heel veel. Denk aan je PC, laptop of smartphone. We adviseren je dan ook ten zeerste op je eigen apparaten beschikbare beveiligingsupdates in de gaten te houden en die zo snel mogelijk te installeren.

Installeer beschikbare beveiligingsupdates voor Spectre en Meltdown op je eigen apparaten zo snel mogelijk.

Tot slot

Als je, net als ons, ook geïntrigeerd bent door Spectre en Meltdown en meer wilt weten over de kern van het probleem, dan kunnen we je adviseren om dit artikel van Bert Hubert door te nemen. Het is technisch, maar bijzonder begrijpelijk geschreven en met duidelijke voorbeelden.

We houden verdere ontwikkelingen omtrent Spectre en Meltdown nauwlettend in de gaten en zonodig treffen we opnieuw maatregelen. Via onze statuspagina blijf je op de hoogte. En vanzelfsprekend, als je nog vragen hebt hierover, neem gerust contact op met onze Support.

P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.

Deel Tweet +1 Deel