OVH NEWS | ATUALIDADE, INOVAÇÃO E TENDÊNCIAS TI


Descobrir, compreender e antecipar









04/01/2018
Partilhe

Artigo redigido por ...


Vulnerabilidades Meltdown/Spectre que afetam os CPU x86-64: A OVH totalmente mobilizada


Os dois documentos publicados no dia 7 de janeiro pela OVH, por forma a informar, em tempo real, do estatuto de cada um dos nossos serviços relativamente às falhas de segurança Meltdown e Spectre e da disponibilidade dos corretivos para cada sistema operativo, foram, regularmente, atualizados durante as últimas 48 horas, isto para lhe fornecer a informação mais completa possível.

Neste dia, publicamos uma nota, escrita por um dos nossos técnicos em segurança, relativa às diferentes variantes de Spectre e de Meltdown, para que possa perceber os detalhes técnicos. Atenção, esta leitura está, unicamente, destinada ao publico especializado sobre esta questão!

Por fim, para quem não tenha visto, um dos nossos engenheiros em segurança partilhou no GitHub uma ferramenta para testar a vulnerabilidade da sua distribuição Linux para as 3 variantes do Spectre e Meltdown.








[Atualização do dia 9 de janeiro às 14h00]


As equipas da OVH estiveram a trabalhar muito a semana toda, incluindo no fim de semana.
Já protegemos alguns serviços, através da implantação dos corretivos disponíveis até então.
Para outros serviços a proteção está em curso ou para breve.
O conjunto das operações associadas a este plano de ação vão aparecer no site travaux.ovh.net.



No geral, a situação está sob controlo.



No entanto, estamos conscientes da dificuldade que os utilizadores podem ter que enfrentar para apreciar a situação e para perceber o que devem fazer para proteger os próprios serviços contra as vulnerabilidades Meltdown e Spectre.



Esta complexidade acontece devido à variedade de configurações de software e de hardware e devido ao facto que os seus serviços são, em parte ou totalmente, geridos pela OVH, portanto, por vezes, não precisa de executar nenhuma operação enquanto que em outros casos será necessária a sua intervenção. Além disso, quando os corretivos estão disponíveis, estes podem proteger só um ou dois dos 3 vetores de ataque.



Assim, criamos uma página que apresenta, serviço OVH por serviço OVH, duas informações importantes:



- o que a OVH está a fazer para proteger o serviço;



- o que tem que fazer para proteger o serviço (quando isso é necessário).



Vamos atualizar essa página de forma regular, assim que a situação evoluir.
Desta forma, estamos sempre informá-lo da evolução das operações de proteção e, quando tem que efetuar algum procedimento, indicamos-lhe o que deve fazer e, sobretudo, quando é recomendável efetuar esse procedimento.



Consulte o estatuto, serviço a serviço



Para melhorar o acompanhamento que fornecemos, colocamos on-line uma outra página que explica, caso seja necessário, o que fazer em função do sistema operativo dos seus servidores por forma a aplicar o corretivo necessário ao núcleo.



Consultar o estatuto de acordo com o sistema operativo



Além da atualização regular das informações colocadas à sua disposição, o nosso objetivo é, agora, tornar este grande conjunto de informações num discurso claro, por forma a que cada um de vocês, seja qual for a sua situação, possa facilmente encontrar o que precisa.



Agradecemos a sua compreensão.



Comunicado do dia 4 de janeiro de 2017


Estas vulnerabilidades, divulgadas publicamente na noite do 3 para 4 de janeiro pelo Projeto Zero da Google, são agora conhecidas com os nomes Meltdown e Spectre. Agrupam 3 vetores de ataque distintos:



CVE-2017-5715 (branch target injection – Spectre)



CVE-2017-5753 (bounds check bypass – Spectre)



CVE-2017-5754 (rogue data cache load – Meltdown)



Neste momento, a OVH não recebeu nenhuma informação que prova que as vulnerabilidades referidas foram exploradas fora dos laboratórios de investigação. Hoje em dia, a exploração destas vulnerabilidades exige processos tecnicamente complexos, mas é certo que outros processos mais simples vão acabar por aparecer.



Intel, líder mundial dos microprocessadores, [url="https://newsroom.intel.com/news/intel-responds-to-security-research-findings/" target="_blank" rel="noopener"] confirmou a existência das vulnerabilidades nos seus CPU. Com ajuda dos seus parceiros, e principalmente com os criadores de sistemas operativos, a empresa está a desenvolver soluções para reduzir a exposição das suas componentes a este tipo de ataque, através de corretivos a implementar a vários níveis:



sistema operativo e Virtual Machine Manager



microcódigo processador (via BIOS/UEFI)



Na OVH, uma equipa de especialistas em segurança está totalmente mobilizada. Estamos em contacto estreito com os principais protagonistas responsáveis pelo desenvolvimento dos corretivos, ou seja, com os principais criadores de sistemas operativos livres (em particular distribuições GNU/Linux) ou com proprietários (Microsoft, VMware), assim como com fabricantes de placas-mãe.

A grande maioria destes protagonistas foram avisados destas vulnerabilidades já há várias semanas e estão a desenvolver atualizações corretivas sujeitas a embargo. Vários patch começam então a serem anunciados e difundidos pelos diferentes fabricantes e comunidades. As nossas equipas estão, aos poucos, a testar estes patch por forma a torná-los disponíveis o mais rapidamente possível, isto depois de poder garantir a estabilidade destes. Para os corretivos que implicam grandes modificações no núcleo, os riscos de instabilidade são elevados.



Ainda é muito cedo para perceber exatamente qual o impacto dos corretivos disponíveis e dos que estão previstos para breve sobre os desempenhos dos servidores. Os testes internos que efetuamos até agora indicam que os eventuais impactos sobre os desempenhos são extremamente variáveis de acordo com o ambiente computacional (workload) e os serviços executados. Além disso, é muito provável que a eficácia das primeiras atualizações seja melhorada com o passar do tempo, o que irá reduzir progressivamente os efeitos provocados por essa alteração de design ao nível do núcleo.



Tendo em conta que o tempo de desenvolvimento destes corretivos é muito reduzido, é praticamente impossível testar todas as configurações do mercado. Portanto, é muito provável que surjam outras atualizações para corrigir os problemas ocorridos. Já sabemos que os corretivos oficiais só estarão disponíveis, salvo exceção, para versões de núcleos e de sistemas operativos (consoante o fabricante) ainda suportadas.



Por outro lado, estudamos em detalhe a exploração possível das vulnerabilidades reveladas, por forma a medir melhor os riscos e a partilhar as nossas recomendações com os nossos clientes. As nossas equipas estão também atentas às medidas corretivas a adotar para proteger as eventuais vulnerabilidades dos processadores que não sejam Intel.



Estamos também em ligação com a Agência Francesa de segurança dos sistemas de informação (Agence nationale de la sécurité des systèmes d’information - ANSSI) que publicou um alerta de segurança relativo às vulnerabilidades Meltdown e Spectre.



Por fim, também analisamos as diferentes hipóteses que permitem uma rápida implementação dos corretivos oficiais, ao mesmo tempo que minimizam o impacto sobre a disponibilidade dos seus serviços. Muito provavelmente vai ser necessário uma reinicialização de algumas infraestruturas, por forma a permitir a atualização dos servidores afetados pelas vulnerabilidades.



Iremos informá-lo, o mais rapidamente possível, do plano de ação e de planeamento das operações de atualização associadas a este processo. No momento oportuno, iremos apresentar mais detalhes relativos às eventuais operações que terá que efetuar para aplicar os corretivos nas suas máquinas físicas ou virtuais.