Er zijn onlangs nieuwe kwetsbaarheden gevonden in Intel CPU’s. Serieuze security issues krijgen tegenwoordig een pakkende naam, een mooi logo en een website. Zo ook ZombieLoad, RIDL en Fallout – door Intel als MDS samengevat. Wat zijn deze kwetsbaarheden precies, wat betekent dit voor ons platform en welke maatregelen hebben wij getroffen?
We herinneren ons allemaal Spectre en Meltdown nog wel, de twee grote kwetsbaarheden in CPU’s die begin 2018 werden ontdekt. Bij de onthulling hiervan werd meteen gezegd dat dit wel eens het begin kon zijn van verdere ontdekkingen. Afgelopen week is deze voorspelling met de vondst van de nieuwe MDS-kwetsbaarheden waarheid gebleken…
Wat is MDS?
Er is op internet genoeg over het technische aspect van deze lekken te vinden, dus daar zal ik hier niet te diep op ingaan. Wat is nu simpel gezegd precies het probleem? Dit wil ik met behulp van een analogie proberen duidelijk te maken.
Stel, je wisselt geheimen uit met Bert. Je spreekt af dat je deze geheimen altijd in elkaars oor fluistert. Daarnaast gebruiken jullie geheimtaal. Worden jullie dan toch afgeluisterd, dan zal zo niemand jullie begrijpen. Nou maakt Bert wat mee wil hij je een geheim vertellen. Hij moet dit naar geheimtaal omzetten, zoals is afgesproken. Dit vereist dat Bert over het geheim moet nadenken, waardoor het in zijn kortetermijngeheugen komt.
Nu komen de kwetsbaarheden om de hoek kijken. Cees is razend nieuwsgierig naar wat jij nou toch telkens met Bert bespreekt. Hij daarom heeft een manier gevonden om een deel van Berts hersenen uit te lezen, en dan specifiek het kortetermijngeheugen. Wel moet Cees hiervoor heel dicht bij hem zijn. Lukt Cees dat, dan kan het dus zijn dat hij het geheim leert. Zelfs al voordat Bert dit aan jou heeft verteld!
De vertaalslag naar webhosting
Laten we dit nu vertalen naar ons webhostingplatform. Het verkeer kan daar niet zomaar worden afgeluisterd, wij voorzien immers standaard al onze websites van encryptie. Zie dit als de geheimtaal van jou en Bert. Data wordt dus versleuteld en specifiek naar diegene die het aangaat gestuurd. Dit laatste kun je zien als het fluisteren. Je data is zo veilig.
Nu kun jij met jouw website ook geheimen delen. Stel dat iemand een account heeft voor jouw webshop en inlogt. Diegene heeft dan een sessie en die is geheim. Alleen jullie weten dat je in het account zit. Weet een aanvaller het lek succesvol te misbruiken, dan kan die de sessiegegevens achterhalen voordat het wordt versleuteld. Zelfs als het niet wordt verstuurd. De aanvaller kan dan bijvoorbeeld je sessie overnemen en iets onder jouw account bestellen.
Belangrijke kanttekening
Hoewel het een zeer ernstige kwetsbaarheid is, kan een aanvaller niet kiezen welke informatie hij gaat opvragen. Hij kan alleen maar een deel uitlezen van wat er voorbij komt. Praktisch is het dus erg lastig om op deze manier een bewuste aanval uit te voeren.
Welke maatregelen hebben wij getroffen?
Dit is een hardwareprobleem, net als bij Spectre en Meltdown. Deze hardware vervangen, is ook hier de beste oplossing. Alleen, gezien de enorme schaal is dit in de praktijk niet reëel. De microcode updaten is dat wel en hebben we daarom natuurlijk direct gedaan. Dit is echter niet voldoende. Hyperthreading uitzetten via een kernel update is ook noodzakelijk.
Wat is hyperthreading?
Hyperthreading of SMT (Simultaneous MultiThreading) is een techniek die doet lijken alsof je het dubbele aantal CPU-cores hebt dan er fysiek aanwezig zijn. Voor sommige toepassingen zorgt dit voor fors minder belasting van je processoren. Bijvoorbeeld als veel verschillende taken tegelijk CPU willen gebruiken. SMT kan juist ook een negatief effect hebben, vooral als het om toepassingen gaat waarbij een enkele core zo snel mogelijk moet zijn.
Op ons platform draaien meerdere websites van verschillende klanten. Bij ons heeft SMT hierdoor een positief effect. Wij hebben echter vanwege de ontdekte issues SMT moeten uitschakelen. We zagen daarna een duidelijke toename in het CPU-gebruik. Gelukkig hebben we bij de aanschaf van ons platform niet bezuinigd en voldoende overcapaciteit om dit op te vangen.
Vergelijk dit met een auto. Daarmee mag je op de snelweg maximaal 130 km/h rijden. Je auto kan echter veel harder, snelheden van 300 km/h of meer zijn geen probleem. Nu blijkt de fabrikant een foutje te hebben gemaakt en is het alleen nog maar veilig om maximaal 200 km/h te rijden. Geen probleem, want het is nog steeds harder dan dat je mag, maar je voelt je toch wat bedrogen…
Nieuwe kernel uitgerold
Naast de nieuwe microcode en de uitgeschakelde SMT, is als laatste ook een gepatchte kernel noodzakelijk. Daarin zitten aanpassingen die ervoor zorgen dat de kwetsbaarheden niet kunnen worden misbruikt. Nu waren wij enige tijd geleden al begonnen met de uitrol van een nieuwere kernel-versie. Tijdens het uitschakelen van SMT viel ons op dat bij deze nieuwe kernel de impact relatief meeviel, maar dat op de oude variant de overcapaciteit nagenoeg weg was.
Om die reden hebben we besloten om gelijk overal onze nieuwere kernel uit te rollen, inclusief de patches voor MDS. Zo is het hele platform weer volledig up-to-date en veilig. Overigens zou een kernel updaten met behulp van KernelCare zonder reboot moeten kunnen. Hun patch laat echter dusdanig lang op zich wachten, dat wij gekozen hebben het zelf op te lossen. Reboots waren daardoor nodig, maar veiligheid is de eerste prioriteit.
We’ve got your back
Aanvallen worden steeds complexer en de oplossing daarvoor ook. Gelukkig hoef je als klant van Antagonist hier geen zorgen over te maken, dit doen wij voor je! Veilig op één oor, terwijl wij het nachtelijk onderhoud uitvoeren. Wil je ook zorgeloos je website hosten bij een webhost die zich flink inzet voor online veiligheid? Neem gerust eens een kijkje bij onze pakketten!
P.S. Op de hoogte blijven van alle artikelen, updates, tips en trucs die op ons blog verschijnen? Volg ons via Facebook, Twitter, Instagram, RSS en e-mail!