Security versus performance

Status
Er kan niet meer gereageerd worden.
Kwurqx

Kwurqx

Happy synthing
Lid sinds
16 mei 2017
Berichten
918
In een andere thread werd ruimte gecreeerd om de huidige issues met Intel processoren te bespreken. Met name de potentieel forse impact op performance van software patches.

Die thread ontaarde helaas in een pandemonium van conspiracy theories.

Er is echter wel echt iets gaande dat diegene raakt die erg aan perfomance hechten.

Dus....

Bij dezen een nieuwe thread, maar dan voor objectief inhoudelijke zaken. Geen stemmingmakerij deze keer.

Hoe gaan jullie om met het conflict tussen security en performance?

Zelf laat ik mijn workstation wel verbinden met internet. Niet permanent, maar as needed. Ook doe ik gewoon mee met de automatische updates (Win10 op Intel i7).

Maar als de Spectre/Meltdown patches bijvoorbeeld me 5% tot 30% (of meer?) performance gaan kosten....dan sla ik wellicht over.

Maar dan loop ik wel een risico dat ik dan op een andere manier moet mitigeren.

https://www.wired.com/story/meltdown-and-spectre-patches-take-toll/
 
Wellicht kun je updates downloaden op een andere machine en daarna installeren op je workstation? Ik weet niet in hoeverre dat nog mogelijk is, maar op die manier hoef je je workstation helemaal niet meer te verbinden met internet en is de noodzaak om de 'Spectre/Meltdown'-patches te installeren niet meer zo groot. Wat ik ervan begrijp is dat het verlies aan performance vooral servers treft met veel netwerkverkeer, de gemiddelde desktop zou minder inleveren. Maar het is allemaal nog niet duidelijk wat de consequenties zijn, dat is nog even afwachten.
 
Je workstation nooit aan internet hangen en gecontroleerd en selectief updaten is zeker een goede risico beperkende maatregel. Vergt dan wel meer van je tijd en aandacht....

En...alleen al het openhouden van een netwerk/internet verbinding kost al performance. En het blijft ook niet bij (vaak onnodig) pollen/reageren en afhandelen van netwerkverkeer.

Onstabiel/veel/inconsistent netwerkverkeer leidt ook vaak tot excepties/foutsituaties/timeouts/retries die soms ook nog niet netjes afgehandeld worden en leiden tot crashes. Of nog erger: data corruptie.

Dus...wees ook selectief in het openzetten/houden van onnodige netwerkverbindingen tijdens belangrijke en/of (tijd)kritische processen zoals realtime audio toepassingen.
 
Haha, wat een oudewijvenpraat weer. Het is geen 1995 meer hoor jongens.

-edit- Om even wat minder kort door de bocht te gaan, vrijwel alle security- en performanceproblemen worden veroorzaakt door mensen die juist NIET updaten, eindeloos door blijven werken met NIET langer gesupporte systemen, met verouderde browsers rondsnuffelen in hoeken van het internet waar geen oppassende burger iets te zoeken heeft, zonder te lezen op "ja" klikken bij iedere vraag die ze gesteld wordt bij het installeren van (gratis) software, illegale software zoeken, downloaden en installeren en klakkeloos alle attachments openen die ze in hun mailbox krijgen. Vergeleken bij de schade die dagelijks wordt veroorzaakt door dit soort onkundig gedrag en gebruik zijn zaken als Meltdown / Spectre klein bier, maar natuurlijk beeft iedereen als een rietje omdat deze issues zulke schitterende krantenkoppen opleveren.

Wat betreft performance helpt het om naast gezonde computerhuishouding bijvoorbeeld alle 'agents' uit te zetten die je niet nodig hebt, zorgen dat je voldoende RAM aan boord hebt en werkt met SSD. Als het even kan zou je eigenlijk ook geen virusscanner moeten gebruiken, al weet ik niet of ik dat zelf aan zou durven op een Windows systeem. Mijn Mac draai ik in elk geval al 8 jaar 'bareback'. Een condoom om je netwerkkabel doen en hem maar 1x in de maand inpluggen om te kijken of er een update is en dan zo snel mogelijk weer eruit trekken heeft echt geen enkele zin. Vergelijk het maar met altijd binnen zitten omdat je bang bent dat je ziek wordt als je naar buiten gaat. En wat gebeurt er dan die ene keer dat je toch eens naar buiten moet? Juist, je loopt het op, want je hebt geen enkele weerstand en bent niet voorbereid - je computer loopt immers dagen, weken, maanden achter wat betreft de laatste security patches en updates.
 
Laatst gewijzigd:
De laatste paar ontdekte veiligheidslekken zijn erg irritant want:
  1. Het ene lek in Intel processoren moet gedicht worden ten koste van tot wel 30% performance verlies.
  2. Het tweede processor-lek is niet eens op te lossen.
  3. Er is een lek in het WiFi protocol ontdekt een paar maanden geleden dat in veel (mobiele) apparaten niet gedicht is.
Vroegâh was alles op te lossen met een virusscanner. MacOS (ik heb het niet over iOS) en Linux zijn impopulaire besturingssystemen en daarom worden er nauwelijks virussen voor gemaakt. Hoe makkelijk het is om vanuit een browser vanuit een ander OS dan Windows (zoals daar zijn: iOS, Android, Linux, MacOS, etc.) dat WiFi lek of het processor lek uit te buiten weet ik niet. Of dat laatste vereist of je dat je daadwerkelijk ergens op klikt weet ik ook niet.

Een nieuw router kopen (WiFi lek), een nieuwe mobiele telefoon, een nieuw tablet en wachten tot er een processor op de markt komt die het "on-dichtbare" lek niet meer heeft is geen doen. Het is een risico waarvan niet in te schatten is hoe groot het is. Kan klein zijn, kan een groot risico zijn. De volgende beredenering vind ik gevaarlijk: ik heb het Anna Kournikova virus nooit in mijn inbox gehad, nog nooit een "valse factuur" gehad om op te klikken, voor Linux (en Mac) zijn er geen virussen (en ook geen virusscanner) en de millennium bug bleek ook non-existent. Verder zijn we niet gewaarschuwd voor het gevaarlijkste virus van de afgelopen jaren (die ransomware hijack) ook al was er al een oplossing voor in de Windows Update. Je moet echter wel je gezond verstand gebruiken en zoveel mogelijk oppassen en upgraden.

Ik vrees dat de enige oplossing is: backuppen! En backuppen vind ik irritant. Want backuppen op een schijf die altijd aan mijn PC hangt doe ik niet meer: dat hijack Windows virus v/e paar maand geleden versleutelde alles in/aan je PC en ik heb een keer (schaam, schaam! :o:) per ongeluk mijn backup schijf geformatteerd i.p.v. het SD kaartje. En om de dag een externe schijf aan mijn PC hangen vind ik ook gedoe maar ik doe het nu wel.

Ik hoop dat dat processor-lek niet gebruikt wordt door boeven want ik ga voorlopig mijn besturingssysteem niet updaten naar een "lek-vrije" variant die 30% langzamer is. Bovendien weet ik niet of een evt. lek via mijn mobieltje binnenkomt of via mijn PC.
 
Zoals gezegd, dramatische krantenkoppen scoren goed. Want die 30% performance verlies is zo'n getal dat iedereen van elkaar na loopt te praten maar uiteindelijk gebaseerd is op één specifieke functie tijdens één specifieke benchmark in één specifieke processor. In de meeste gevallen is het verschil minimaal of non-existent. Maar de gemiddelde Telegraaflezer denkt dat zijn PC nu nog maar op 70% van de oude snelheid gaat lopen "zodat ze me zeker dwingen weer een nieuwe te kopen".
intel-meltdown-performance-chart.png
 
Vroegâh was alles op te lossen met een virusscanner. MacOS (ik heb het niet over iOS) en Linux zijn impopulaire besturingssystemen en daarom worden er nauwelijks virussen voor gemaakt. Hoe makkelijk het is om vanuit een browser vanuit een ander OS dan Windows (zoals daar zijn: iOS, Android, Linux, MacOS, etc.) dat WiFi lek of het processor lek uit te buiten weet ik niet. Of dat laatste vereist of je dat je daadwerkelijk ergens op klikt weet ik ook niet.
Zie meer...

Het beste is natuurlijk je pc/mac niet aan het internet hangen.
En als ik een serieuze producer zou zijn dan zorgde ik dat ik voor internet, m'n mail ed een extra pctje erbij zou hebben.
Op die manier heb je alleen je muziek gerelateerde zaken op je pc/mac en heb je het meeste rendement.
Ik moet eerlijk zeggen dat ik voor m'n muziek een aparte laptop heb die wel met internet verbonden is maar waar ik niet veel anders op doe dan af en toe mail checken/versturen, youtube en wat bankzaken enz.
Verder regelmatig updaten en niet allerlei vage sites bezoeken en allerlei mails zomaar openen.
Feit blijft dat je altijd de lul kan zijn in een onbewaakt ogenblik.

Ik heb in de huiskamer een linux os op m'n pc maar dat vind ik niet geweldig voor muziek, de keuze is te beperkt wat mij betreft.
Vaak problemen met drivers enz.
 
Als "serieuze producer" je DAW niet aan internet hangen zal voor een hoop uitdagingen zorgen, want niet alleen loop je constant achter met alles, veel plugins en andere software gebruiken een internet connectie voor beveiligingsdoeleinden.
 
MeneerJansen schreef:
Ik hoop dat dat processor-lek niet gebruikt wordt door boeven want ik ga voorlopig mijn besturingssysteem niet updaten naar een "lek-vrije" variant die 30% langzamer is. Bovendien weet ik niet of een evt. lek via mijn mobieltje binnenkomt of via mijn PC.
Zie meer...


Die 30% valt over het algemeen wel mee.

https://newsroom.intel.com/editoria...tial-performance-data-results-client-systems/

https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Blog-Benchmark-Table.pdf

Oh, en vooral niet op security.nl kijken, dan wordt je helemaal paranoïde van alle lekken. 8)
 
We zijn naturrlijk keihard genaaid door Intel. Eerst het ME verhaal en nu meltdown. Er is dan ook weinig te vertouwen vanaf mijn kant. Dus al helemaal niet in hun benchmarks. (wij van wc eend adviseren wc eend ;)
Microsoft is ook niet echt te vertrouwen ( Die hadden ooit hele mooie maar valse waardes in hun system monitor in Vista)

Red Hat Benchmarks:


  • Measureable: 8-19% - Highly cached random memory, with buffered I/O, OLTP database workloads, and benchmarks with high kernel-to-user space transitions are impacted between 8-19%. Examples include OLTP Workloads (tpc), sysbench, pgbench, netperf (< 256 byte), and fio (random I/O to NvME).
  • Modest: 3-7% - Database analytics, Decision Support System (DSS), and Java VMs are impacted less than the “Measurable” category. These applications may have significant sequential disk or network traffic, but kernel/device drivers are able to aggregate requests to moderate level of kernel-to-user transitions. Examples include SPECjbb2005, Queries/Hour and overall analytic timing (sec).
  • Small: 2-5% - HPC (High Performance Computing) CPU-intensive workloads are affected the least with only 2-5% performance impact because jobs run mostly in user space and are scheduled using cpu-pinning or numa-control. Examples include Linpack NxN on x86 and SPECcpu2006.
Niet dat je Red Hat direct blind moet vertrouwen maar intensief DAW gebruik kom je dan niet in de Modest category terecht? *(significant sequential disk traffic)

Je DAW weinig aan het net hangen is dus niet zo een slecht idee. Wellicht wel achter een proxy een goed geupdate browser, noflash, noscript, adblock.
 
flyweight schreef:
[...] Je DAW weinig aan het net hangen is dus niet zo een slecht idee. Wellicht wel achter een proxy een goed geupdate browser, noflash, noscript, adblock.
Zie meer...
Ik denk niet per se dat je je muziek computer van het net hoeft te halen, als je maar niet op rare website gaat (met naakte dames enzo). Dus op je muziek-compu dit forum bekijken, VST-tje downloaden v/e bekende site, zorgen dat je zo vaak mogelijk "httpS" (met het slotje) ziet staan en niet "http" (zonder de S van 'secure') etc. moet kunnen. De exploits waar we het over hebben besmetten je niet "vanzelf": je moet er wel iets voor doen. Er moet kwaadaardige code uitgevoerd worden op je compu. Vervelende is dat naast Office visual basic, code in e-mail attachments ook code v/e website (Java ofzo?) vervelend kan doen. Maar de kans is klein dat dergelijke code op de website van Arturia of de Hema draait. Websites van dat soort grote betrouwbare bedrijven zijn wel eens gehackt (bijv. website en CD-image van Linux Mint!) maar dat is zeldzaam en valt snel op. We leven helaas in een tijd waarin 100% veilig computeren niet meer kan.
 
Bij mij hangt alles aan het internet. En met oude versies. 10.5.8, 10.8.5 (hackintosh), 10.9.5 en ik moest naar ios 11 voor een nieuwe iphone 7 omdat ie raar deed. Maar anders bleef die ook op 10.9.

En mac wordt niet gehacked omdat het weinig gebruikt wordt. Dat is absoluut onzin tegenwoordig. Probleem is dat Apple hacken gewoon fucking moeilijk is. En je bij veel van die exploits fysiek aanwezig moet zijn of de meest stomme dingen doet.

En ik heb ook geen sticker over mijn camera op mijn laptop omdat ze de voeding voor het lampje en de camera hardware matig aan elkaar hebben hangen.

En qua websites klik ik echt op alles. Draai ook verouderde versies van chrome. Maar ik hou wel een aantal standaard regels in check op het internet qua downloaden of root acces,

Wat mij betreft is het dus echt bangmakerij.
 
MadR schreef:
En mac wordt niet gehacked omdat het weinig gebruikt wordt. Dat is absoluut onzin tegenwoordig. Probleem is dat Apple hacken gewoon fucking moeilijk is.
Zie meer...
Ik vrees dat ik hier een OS-war ga starten maar ik kan me niet inhouden. Bij voorbaat excuses voor de topic-steal. Als ex-IT-er en Linux gebruiker sedert 2005 (ik gebruik 10 jaar geen Windows meer) kan ik je verzekeren dat het hacken van op UNIX gebaseerde systemen (Android, MacOS, Linux, etc.) net zo makkelijk is als het hacken van Windows. Nou ja makkelijk, de recente Wannacry ransom-ware zit zo ingewikkeld in elkaar dat het lek moest worden door de FBI (geen conspiracy theorie, is bewezen). De exploit van het lek is vervolgens ontwikkeld door de Russische overheid, waarschijnlijk om ooit eens Oekraïne plat te leggen. De populariteit van Windows wereldwijd op de computersystemen die er toe doen is hier debet aan, niet de robuustheid van UNIX dat niet te kraken zou zijn.

Dat webservers die draaien op LAMP (Linux + Apache + MySQL + Php) niet meer gekraakt zijn de laatste tijd komt omdat professionele serverbeheerders beter opletten en updaten dan consumenten thuis met een Windows compu. Bedenk dat de update tegen het lek van Wannacry voor Win 10 er al was voordat het uitbrak. Door een inschattingsfout is de veiligheidsupdate te laat geïntroduceerd voor oudere Win versies en men updatet niet vaak genoeg.


P.S. Het ontwikkelteam van MacOS is eind 2016 ontbonden. Apple ontwikkelt alleen nog maar iOS en dat zal op de Macs moeten gaan draaien later. Zie Nu.nl: "Techgigant Apple heeft niet langer een vast team dat werkt aan updates voor besturingssysteem macOS." (http://www.nu.nl/gadgets/4368820/apple-heeft-macos-team-geschrapt.html)
 
Ik begrijp al het gedoe rond Meltdown en Spectre helemaal niet. Een lek. Het klinkt alsof nu iedereen zo je computer binnen kan dringen. Dat is absoluut niet het geval. Zolang je niet al sowieso gehackt bent, kunnen ze ook geen gebruik maken van Meltdown en/of Spectre. Ze kunnen er alleen bij als ze toch al bij je binnen zijn. Als je een beetje voorzichtig bent, kan er niets gebeuren. Op mijn studio PC heb ik geen e-mail en ik bezoek alleen websites van grote merken en online winkels om mijn klanten pro-audio producten te tonen die ze zouden kunnen kopen om een issue op te lossen of andere dingen in hun studio aan te sluiten. De studio PC hangt gewoon aan het internet en ik heb (allemaal Windows machines) thuis nog nooit een hack opgemerkt. Mijn gezinsleden ook niet. Gewoon je systeem en virussoftware up-to-date houden en geen rare linkjes of bestanden aanklikken. That's it.

En dat inboeten van performance heb ik nog niets van gemerkt in ieder geval (werk met én Intel én Windows 10).
 
Als "serieuze producer" je DAW niet aan internet hangen zal voor een hoop uitdagingen zorgen, want niet alleen loop je constant achter met alles, veel plugins en andere software gebruiken een internet connectie voor beveiligingsdoeleinden.
Zie meer...

Zo strikt bedoel ik het niet natuurlijk want je zal met enige regelmaat toch updates voor je os en/of je software moeten doen maar als je dan 1 of 2 keer per maand je updates doet en voor de rest het internet afkoppelt dan heb je in ieder geval dat er maar weinig aan cpu gebruik door het internet wordt geaktiveerd.
 
MeneerJansen schreef:
Ik vrees dat ik hier een OS-war ga starten maar ik kan me niet inhouden. Bij voorbaat excuses voor de topic-steal. Als ex-IT-er en Linux gebruiker sedert 2005 (ik gebruik 10 jaar geen Windows meer) kan ik je verzekeren dat het hacken van op UNIX gebaseerde systemen (Android, MacOS, Linux, etc.) net zo makkelijk is als het hacken van Windows. Nou ja makkelijk, de recente Wannacry ransom-ware zit zo ingewikkeld in elkaar dat het lek moest worden door de FBI (geen conspiracy theorie, is bewezen). De exploit van het lek is vervolgens ontwikkeld door de Russische overheid, waarschijnlijk om ooit eens Oekraïne plat te leggen. De populariteit van Windows wereldwijd op de computersystemen die er toe doen is hier debet aan, niet de robuustheid van UNIX dat niet te kraken zou zijn.

Dat webservers die draaien op LAMP (Linux + Apache + MySQL + Php) niet meer gekraakt zijn de laatste tijd komt omdat professionele serverbeheerders beter opletten en updaten dan consumenten thuis met een Windows compu. Bedenk dat de update tegen het lek van Wannacry voor Win 10 er al was voordat het uitbrak. Door een inschattingsfout is de veiligheidsupdate te laat geïntroduceerd voor oudere Win versies en men updatet niet vaak genoeg.


P.S. Het ontwikkelteam van MacOS is eind 2016 ontbonden. Apple ontwikkelt alleen nog maar iOS en dat zal op de Macs moeten gaan draaien later. Zie Nu.nl: "Techgigant Apple heeft niet langer een vast team dat werkt aan updates voor besturingssysteem macOS." (http://www.nu.nl/gadgets/4368820/apple-heeft-macos-team-geschrapt.html)
Zie meer...

Die p.s. laat precies zien hoe je redeneert. Lees dat Nu.nl stuk nog eens goed en denk dan nog eens na of je conclusies daarover kloppen en dat wat je zegt gebaseerd is op echt bewijs.

Verder is er nog geen enkele remote hack op Mac waarbij je zonder medewerking van de gebruiker binnenkomt. Gebruikers moeten echt wat fout doen willen 'ze' remote binnenkomen. En daarvan is maar 1 echt schadelijk geweest. De rest, en dat zijn er heel weinig, zijn vooral ontdekt in 'het lab'

Bij Windows zijn er legio voorbeelden en idd wannecry is daar het meest recente voorbeeld van. Die machines kon je in zonder gebruik te maken van fouten van de gebruiker. En dat was de reden waarom het zo snel verspreidde.

Daarom dat ik zeg dat Mac moeilijker te hacken is. Gewoon omdat het beter dicht getimmerd zit tov Windows.

En dat is ook precies de reden waarom ik oude mac/iOS-en aan het internet durf te hangen.

En nee iemand die alleen roept dat ik iets moet aannemen zonder ook maar 1 millimeter bewijs ga ik echt niet serieus nemen. Sorry man!
 
MadR schreef:
En ik heb ook geen sticker over mijn camera op mijn laptop omdat ze de voeding voor het lampje en de camera hardware matig aan elkaar hebben hangen.

Wat mij betreft is het dus echt bangmakerij.
Zie meer...

Vraag het anders Zuckerberg even, die heeft inside info.
Die led en camera kunnen btw wel onafhankelijk werken. Ik zal de bronnen achterwege laten ivm, kans op betichten van conspiracy...
 

Attachments

  • Mark-Zuckerberg-Tape-camera-and-mic.jpg
    Mark-Zuckerberg-Tape-camera-and-mic.jpg
    240,5 KB · Bekeken: 117
MadR schreef:
[...]
Daarom dat ik zeg dat Mac moeilijker te hacken is. Gewoon omdat het beter dicht getimmerd zit tov Windows.
[...]
En nee iemand die alleen roept dat ik iets moet aannemen zonder ook maar 1 millimeter bewijs ga ik echt niet serieus nemen. Sorry man!
Zie meer...
Dat is waarom ik fanboys niet serieus neem. Waarom zou iemand van jou moeten aannemen dat MacOS/UNIX zo goed "dichtgetimmerd" zit? Ben je IT-er? Kun je dit aannemelijk maken? Noem je bronnen? Neen. UNIX systemen zijn even ingewikkeld als Windows systemen. Laatst is er nog en veiligheidslek geweest in WPA (genaamd "Krack") waar uiteraard ook Apple systemen last van hadden (link). Zelfde geldt voor het lek in de Intel processoren (Meltdown en Spectre): daar zijn Mac's ook gevoelig voor (link).

Zonder ook maar enige computerkennis te bezitten iets roepen (MacOS is beter "dichtgetimmerd") is stemmingmakerij: iets waartegen dit topic juist tegen geopend is. Dus, verstandige computergebruikers (Apple, Windows, Andoid, Lunux): installeer de updates en patches ook al is de kans klein dat je de Sjaak bent door deze veiligheidslekken die geen onderscheid maken tussen het ene of het andere besturingssysteem omdat ze daar niet in zitten (zitten in Intel processoren en in het WPA protocol).

Verder zal ik opmerkingen jouwerzijds negeren qua computers (zijn nergens op gebaseerd) en ik kan iedereen aanraden hetzelfde te doen.
 
Algemene constatering van de topic starter:

Ook een tweede poging om een voor ons allen nuttige discussie te starten over security versus performance dreigt te ontsporen in randzaken en polarisatie.

<<beetje sippe smiley>>

Gelukkig ook wel nuttige tips en informatie.

Ik blijf gewoon doen wat ik al deed voor mijn workstation: bewust gebruiken en beheren.
Zeker met enige omzichtigheid, maar zonder paranoia.

En ook ik heb met deze instelling de afgelopen vele jaren nog nooit ernstige issues gehad met mijn opeenvolgende workstations.
 
Status
Er kan niet meer gereageerd worden.
Back
Top