Meltdown en Spectre: de plannen van Level27

De echte nerds hebben dit al gelezen: https://meltdownattack.com. Voor de rest van de bevolking zullen we in klare taal uitleggen wat Meltdown & Spectre zijn.

Wij vinden het erg belangrijk om jullie correct en volledig te informeren.

Wat is er aan de hand?

Het gaat om twee bugs die al heel lang bestaan, vooral in processoren van Intel. Zoals dit de gewoonte is zijn er namen verzonnen die een beetje dreigend klinken: Meltdown en Spectre.

In moderne processoren zit er namelijk iets met de naam 'speculative execution'. Dit zorgt ervoor dat de processor altijd iets verder leest, voor het geval die informatie later nodig is. Een beetje zoals je computer die, terwijl je dit artikel leest, ook al de pagina's waarnaar deze pagina linkt aan het inladen is. Zo kan je computer die pagina sneller tonen als je erop besluit te klikken. Dat is wat de processoren ook doen, zo wordt je computer gewoon sneller.

Het probleem dat nu ontdekt is, is dat programma's data kunnen lezen die ze niet mogen lezen, zoals data uit het geheugen van programma's van anderen. Denk bijvoorbeeld aan wachtwoorden, gevoelige informatie, encryptiesleutels, ...

De impact is dus potentieel erg hoog, maar het is erg moeilijk om de bug te gebruiken. Tot vandaag zijn er dan ook nog geen gevallen bekend van hackers die de bugs al effectief gebruiken. Wat niet wil zeggen dat we op onze lauweren mogen rusten, integendeel!

Is er een oplossing?

Er zijn updates beschikbaar die het probleem verhelpen. Er zijn echter twee problemen met de updates. Het eerste probleem is dat de updates in sommige gevallen de snelheid van de machines vertragen tussen de 5 en de 30%.

Het tweede probleem is dat niet alle besturingssystemen hun updates al klaar hebben. Het was immers de bedoeling dat het nieuws pas op 9 januari bekend gemaakt zou worden.

Zo heeft Ubuntu bijvoorbeeld dit bekend gemaakt: https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/.

Op dit moment wachten we dus nog op de updates van Ubuntu. Andere besturingssystemen zoals Microsoft Windows hebben wel al updates uitgebracht of zijn daar zeer kort bij.

Wat doet Level27?

Level27 volgt uiteraard de situatie op de voet en is gestart met het updaten van alle systemen waarvoor de updates verschenen zijn. Van zodra meer nieuws beschikbaar is zullen we hier ook verder over communiceren!

Update 5 januari:

• Microsoft: updates voor Windows 2008 en 2012 worden verwacht op 9 januari.
• Ubuntu: verwacht op diezelfde datum hun updates klaar te hebben

Update 8 januari:

• Ubuntu geeft Release Candidates vrij van hun updates voor Meltdown (Spectre is voor later). Release Candidate betekent dat de updates nog niet productieklaar zijn.

Update 9 januari:

• Microsoft geeft productieversies vrij van updates voor Windows 2008 en 2012 (enkel Meltdown). Spectre-updates worden verwacht einde januari. Level27 begint met installatie van deze updates.
• Ubuntu geeft 's avonds laat updates vrij voor Meltdown.  Level27 wacht nog even met installatie wegens snel gemelde problemen met deze updates.

Update 11 januari:

• Ubuntu geeft toe dat de updates voor Meltdown in bepaalde gevallen leiden tot startproblemen. Een fix werd vrijgegeven. Level27 doet intensieve testen met deze updates.

Update 16 januari:

• Ubuntu geeft betaversies vrij van updates voor Spectre. Nog niet productieklaar
• BIOS-fabrikanten geven updates vrij die op dit moment getest worden door Level27

Update 21 januari:

• Patches voor Linux zijn of worden nog geïnstalleerd.
• BIOS-updates zijn nog helemaal niet betrouwbaar, we blijven de discussie op de voet volgen.

Update 25 januari:

• Patches voor Linux worden volop geïnstalleerd op de volledige virtuele omgeving.
• BIOS-updates zijn volledig onbetrouwbaar, we blijven de discussie op de voet volgen.