Impact Spectre- en Meltdown-bescherming op Linux gemeten
De afgelopen maanden zijn verschillende beveiligingsmaatregelen voor de Spectre- en Meltdown-aanvallen verschenen, alsmede voor varianten zoals L1 Terminal Fault (L1TF)/Foreshadow. De aanvallen maken gebruik van de technieken die processors toepassen om de prestaties te verbeteren.
De beveiligingsmaatregelen die chipfabrikanten en ontwikkelaars van besturingssystemen ontwikkelden hebben in veel gevallen dan ook een impact op de systeemprestaties. Website Phoronix wilde zien wat de gevolgen van de recente mitigaties zijn voor systemen met Linux-kernel 4.19. Vervolgens werden de systeemprestaties van een kernel zonder beveiligingsmaatregelen vergeleken met die van een kernel die wel tegen Spectre, Meltdown en Foreshadow bescherming biedt.
De testsystemen waren zowel met een AMD- als Intel-processor uitgerust. Tijdens een benchmark waarbij de prestaties tijdens het compileren werden gemeten bleek de Linux-kernel met beveiligingsmaatregelen in combinatie met een Intel-processor 7 tot 16 procent langzamer te zijn. In het geval van AMD was de impact met 3 tot 4 procent veel minder groot.
Tijdens de test met Hackbench, een benchmark en stresstest voor de Linux-kernelscheduler, moesten de Intel-processors zo'n 20 procent aan prestaties inleveren. Wederom was er bij AMD geen impact waarneembaar. Bij een andere test werd gewerkt met een PostgreSQL-databaseserver, waarbij de impact direct aan reële situaties is te koppelen. De Intel-processors met een beveiligde Linux-kernel leveren zo'n 7 tot 5 procent in. Ook bij deze tests is de impact op de AMD-systemen verwaarloosbaar.
De test met de NGINX-webserver liet bij het Intel Xeon-systeem een 20 procent impact zien. Ook bij het tekenprogramma GIMP zorgen de beveiligingsmaatregelen tegen Spectre en Meltdown voor prestatieverlies. Intel-processors moeten 5 tot 10 procent van de prestaties inleveren, tegenover 0 tot 2 procent bij de AMD-systemen. De tests waren vooral op serversystemen gericht, maar Phoronix overweegt ook meer desktopgerelateerde tests uit te voeren als hier belangstelling voor is.
Maar ik geloof deze meting natuurlijk wel. Liever een iets trager systeem dan een onveilig systeem.
Dan nog is 20% bij Xeons extreem veel. Dat betekent voor veel organisaties halsoverkop nieuwe hardware bijplaatsen. Je bent zomaar een vijfde van je rekenkracht kwijt.
Dan nog is 20% bij Xeons extreem veel. Dat betekent voor veel organisaties halsoverkop nieuwe hardware bijplaatsen. Je bent zomaar een vijfde van je rekenkracht kwijt.
Dat is inderdaad nogal wat voor een webserver :-(
Aan de andere kant is het niks nieuws, veel apparatuur gaat met opzet minder lang mee zodat je weer nieuw spul kunt kopen.
Maar ik geloof deze meting natuurlijk wel. Liever een iets trager systeem dan een onveilig systeem.
Ik denk dat je ook niets merkt als je 10% van je salaris mist, dus maakt het maar over aan mij. ;)
Kan ik nu ook 10%-20% van het aankoop bedrag van de processor terugvorderen ergens?
waarvan we weten dat het doorsnee gewone gebruikers zijn die ze gebruiken,
hoeveel systemen die nu spectre lek zijn,de gewone gebruikers weten het wellicht niet eens,
en als ze het wel weten lossen zij dat probleem van spectre niet zo snel op,dus heel
veel systemen blijven lek met spectre aan het internet,bedankt google.
Koop een nieuwe pc is het advies van google,
en Nee intel patch niet alle cpu's en oudere chipsets en zeker niet die ouder dan 5 jaar zijn,
en nee het is na een spectre microcode update als je geluk heb nog niet voorbij
en Ja er komen weer nieuwe spectre bugs bij 1,2,3,4 etc etc
en Nee je pc word er absoluut niet sneller van,je levert zelfs snelheid in.
Tot daar ook een keer iets dergelijks gevonden wordt... En ik ga thuis ook niet al mijn pc's inruilen voor AMD types, dat wordt ook een dure grap.
Deze kwetsbaarheden hebben kwaadaardige code nodig om het gedrag van de CPU te monitoren en daaruit conclusies te trekken. En die kwaadaardige code is moeilijk te onderscheiden van normale code.
A) de code zal eerst op je systeem moeten komen
B) de code zal enige kennis van je systeem moeten hebben om de cruciale onderdelen van je systeem te monitoren
C) de code zal het gevonden resultaat op de één of andere wijze naar de aanvaller moeten weten te krijgen
Mijn conclusie: Ja het is een kwetsbaarheid, maar gezond computergebruik maakt het benutten van die kwetsbaarheden nogal academisch. Net zoals het monitoren van stroomgebruik, warmteontwikkeling en geluidsproductie van de spoelen van spanningsdelers. Ja hoog risico doelen moeten zeker maatregelen nemen, maar die kunnen wat mij betreft beter op de gebruiker van de computersystemen gericht zijn. Maar de gewone computergebruiker met niet veel andere skills dan browsen, word en E-mail? Ik vraag het me af.
Deze kwetsbaarheden hebben kwaadaardige code nodig om het gedrag van de CPU te monitoren en daaruit conclusies te trekken. En die kwaadaardige code is moeilijk te onderscheiden van normale code.
A) de code zal eerst op je systeem moeten komen
B) de code zal enige kennis van je systeem moeten hebben om de cruciale onderdelen van je systeem te monitoren
C) de code zal het gevonden resultaat op de één of andere wijze naar de aanvaller moeten weten te krijgen
Mijn conclusie: Ja het is een kwetsbaarheid, maar gezond computergebruik maakt het benutten van die kwetsbaarheden nogal academisch. Net zoals het monitoren van stroomgebruik, warmteontwikkeling en geluidsproductie van de spoelen van spanningsdelers. Ja hoog risico doelen moeten zeker maatregelen nemen, maar die kunnen wat mij betreft beter op de gebruiker van de computersystemen gericht zijn. Maar de gewone computergebruiker met niet veel andere skills dan browsen, word en E-mail? Ik vraag het me af.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.