Отвлекитесь, эмбеддеры! Отвлеченные темы - обсудить проблемы тепловой смерти вселенной, или просто пиво. Этот раздел - для отдыха. |
15.07.2019, 11:19
|
|
Гуру портала
Регистрация: 26.01.2007
Адрес: Дивное, Россия
Сообщений: 14,676
Сказал спасибо: 7,223
Сказали Спасибо 18,154 раз(а) в 6,325 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
3. Заключение
Таким образом, нами была найдена уязвимость Intel ME, которая позволяет выполнять произвольный код. Это ставит под угрозу все технологии такие технологии как Intel Protected Audio Video Path (PAVP), Intel Platform Trust Technology (PTT или fTPM), Intel BootGuard, Intel Software Guard Extention (SGX) и многие другие.
Эксплуатируя найденную нами уязвимость в модуле bup, нам удалось включить механизм, называемый PCH red unlock, который открывает полный доступ ко всем устройствам PCH, для использование их через DFx chain, иначе говоря с помощью JTAG. Одним из таких устройств и является само ядро ME. Это дало возможность отлаживать код, выполняемый на ME, читать память всех процессов и ядра, а так же, управлять всеми устройствами внутри PCH. Мы насчитали в совокупности порядка 50 внутренних устройств, полный доступ к которым имеет только ME, а основной процессор только к весьма ограниченному их подмножеству.
Мы не утверждаем, что в нашем исследовании нет ошибок или оно является исчерпывающим. Тем не менее, мы надеемся, что оно поможет другим исследователям, интересующимся безопасностью и «начинкой» Intel ME.
Авторы: Марк Ермолов и Максим Горячий
http://blog.ptsecurity.ru/2018/01/intel-me.html
__________________
Любое утверждение верно, включая и это.
|
|
|
Эти 2 пользователя(ей) сказали Спасибо VladimirIvan за это сообщение:
|
|
|
15.07.2019, 11:48
|
|
Заблокирован
Регистрация: 23.03.2008
Адрес: Ukraine
Сообщений: 1,306
Сказал спасибо: 1,749
Сказали Спасибо 1,878 раз(а) в 493 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
...................
Сообщение от verdana
|
Но большинство подобной информации, покупается за "шоколадку секретарше"
|
Цитата:
|
Один старый партийный работник учил меня:
"Если ты не спишь со своей секретаршей, то с ней спит кто-то другой.
А если с ней спит кто-то другой, то он знает твои секреты.
Поэтому спать с секретаршей - это не блажь, это часть аппаратной работы".
|
|
|
|
Эти 4 пользователя(ей) сказали Спасибо igor1000 за это сообщение:
|
|
|
15.07.2019, 12:34
|
|
Модератор
Регистрация: 04.08.2010
Адрес: Москва СЗАО
Сообщений: 11,246
Сказал спасибо: 11,165
Сказали Спасибо 3,854 раз(а) в 2,925 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
В дополнение к варианту VM для работы с критичными данными.
Тип диска VM immutable с шифрованием позволит избавится от головной боли с лишними файлами в образе - они существуют только во время работы и доступ к ним весьма неординарная задача. Все постоянные данные на отдельных дисках с EFS.
Несколько систем подобного рода прошли все тесты и сертификацию.
А вот вариант работы с сетью внутри VM пока так и остался в состоянии тестирования.
Единственная пока проблема - невозможность использования OVF для манипуляций с encrypted образами дисков.
__________________
rtfm forever должно быть основой для каждого. Альтернатива грустна, поскольку метод слепого щенка успешно работает при весьма малом числе вариантов…
|
|
|
|
15.07.2019, 22:34
|
|
Почётный гражданин KAZUS.RU
Регистрация: 14.03.2009
Сообщений: 1,601
Сказал спасибо: 1,069
Сказали Спасибо 1,560 раз(а) в 857 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
У меня друзья в далекие от IP камер времена продавали в США системы видеонаблюдения. На основе ISA потом PCI карты своей разработки. В России тоже продавали, но проблема случилась в США. Китайцы украли дизайн, вырезали логотип, просто оставив белый прямоугольник. Т.е. вообще бессовестно.
Решение было найдено. Сделали свой процессор на FPGA со своей системой команд. Ну и возможности систем все время улучшались. Китайцы застарели и "отшелушились".
|
|
|
Эти 2 пользователя(ей) сказали Спасибо laser532 за это сообщение:
|
|
|
16.07.2019, 05:23
|
|
Почётный гражданин KAZUS.RU
Регистрация: 03.05.2012
Сообщений: 1,411
Сказал спасибо: 1,016
Сказали Спасибо 2,014 раз(а) в 556 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
Сообщение от laser532
|
Китайцы застарели и "отшелушились".
|
Очень хочется, чтобы это было так. Но Майк, вспомните, что мы надысь наблюдали у китаев. И распознавание лиц, и сопровождение идущего вторженца, и виртуальный периметр, и оповещение о событии -- очень даже продвинуто. Вполне на уровне. И судя по тому, что они на вопросы отвечают туговато, а говорят: мы вам образец продадим по дешёвке, сами у него всё спросите -- судя по этому, они это скорее скопировали, чем разработали. Правда, скопировали "изнутри" или "снаружи" -- не знаю.
Не, ну, Майк правильно не стал уходить в сторону, в отличие от меня: мы здесь признаём, что прятаться надо. Задача -- разобраться, как это делать. Уважаемый Laser532 предлагает ещё способ. Ну, что; способ пристойный.
|
|
|
|
16.07.2019, 10:18
|
|
Почётный гражданин KAZUS.RU
Регистрация: 15.11.2010
Сообщений: 2,378
Сказал спасибо: 338
Сказали Спасибо 328 раз(а) в 253 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
Сообщение от laser532
|
У меня друзья в далекие от IP камер времена продавали в США системы видеонаблюдения.
|
А потом уехали в США и стали называться Arecont Vision/ Не они?
|
|
|
|
16.07.2019, 10:46
|
|
Гражданин KAZUS.RU
Регистрация: 02.11.2008
Адрес: Одесса
Сообщений: 668
Сказал спасибо: 336
Сказали Спасибо 328 раз(а) в 182 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
Не холивара ради, но из практических наблюдений.
Секретность на винде? Шутите ?
Она сама повыкидывает в мир всё ваше содержимое, даже не спросив.
*nix-системы вам в помощь. Если конечно осилите сами.
Иначе придется раскошелиться на оплату трудов специалиста.
|
|
|
Эти 2 пользователя(ей) сказали Спасибо b_raven за это сообщение:
|
|
|
16.07.2019, 12:29
|
|
Модератор
Регистрация: 04.08.2010
Адрес: Москва СЗАО
Сообщений: 11,246
Сказал спасибо: 11,165
Сказали Спасибо 3,854 раз(а) в 2,925 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
Инн, на тему тугих ответов - очень возможно, что у тех китайцев только производство по заказной спецификации, а сама разработка ведется thirdparty и доступ к ним закрыт…
По поводу системы защиты, то тут самый главный критерий - соотношение стоимости защищаемой информации к стоимости и времени взлома с учётом стоимости защиты. При вполне достижимой разнице в порядок и вменяемой цене решения - уже стоит использовать.
Правда появятся некоторые дополнительные расходы в стоимости владения - сопровождение, аудит безопасности,…
__________________
rtfm forever должно быть основой для каждого. Альтернатива грустна, поскольку метод слепого щенка успешно работает при весьма малом числе вариантов…
|
|
|
|
16.07.2019, 15:58
|
|
Почётный гражданин KAZUS.RU
Регистрация: 03.05.2012
Сообщений: 1,411
Сказал спасибо: 1,016
Сказали Спасибо 2,014 раз(а) в 556 сообщении(ях)
|
Re: Секретные файлы: нужно ли физически изолировать комп?
Сообщение от mike-y-k
|
некоторые дополнительные расходы в стоимости владения - сопровождение, аудит безопасности
|
Майк, та назачем все эти заморочки и вумные слова?!
Отключить от сети к поморам -- и забыть всех этих пиндов. Достали они уже всех, ей-ей. Я думаю, они уже и в ту Вашу коробочку вкрутили каю-нить свою ню.
Пускай теперь интел впаивает в свой проц р.передатчик 0,5 кВт.
И чо им, дям, неймётся?!
|
|
|
|
16.07.2019, 18:47
|
|
Почётный гражданин KAZUS.RU
Регистрация: 14.03.2009
Сообщений: 1,601
Сказал спасибо: 1,069
Сказали Спасибо 1,560 раз(а) в 857 сообщении(ях)
|
Сообщение от parovoZZ
|
А потом уехали в США и стали называться Arecont Vision
|
Извините, отвечу тезисно.
1. При всей моей любви к американской продукции и к камерам Ареконт, в частности (у меня в деревне 2 купольных панорамных трудятся с 2011 и пара "простых" с узкой диаграмой), в России есть хорошие специалисты по работе с видео. Некоторые интересные решения по совмещению 2-х разных камер в одной (одна для обзора, вторая на механике для детализации) или совмещении видеоматрицы и процессора были получены еще до миллениума. Отставание в микроэлектронике - это бесспорный факт, мешавший наладке производства подобной продукции. Сейчас возможностей побольше, но и скорость рассеивания информации несравненно больше. Уже ты только подумал, а кто-то в серию запустил.
2. Насчет "уехал" у меня тоже свой взгляд. В основном, уехать хотят те, у кого не хватает денег на еду или их какие-то бандито-чиновнико-менты достали, но нужно понимать, что первые вряд ли что сделают в Америках, ибо конкуренции не выдержат, а среди вторых слишком много просто конфликтных людей и они не впишутся в другую культуру. Мне кажется, стоит отказываться от слова "уехал" как от слова "иномарка". Оно обесценено и обессмысленно в контексте смены места жительства. Есть более сложные процессы, обусловленные простыми мотивами. Люди (в мире) находят хороший заработок в техническо развитом регионе, а живут, где им приятно по климату, восприятию. Другие люди тоже так хотят или хотят равенства и или завидуют или борятся. Все вполне естественно с этологической точки зрения.
Сообщение от b_raven
|
*nix-системы вам в помощь.
|
Ну, если уж на то пошло, сейчас народ и ядро сам собирает. Причем это школьники делают. А если вы (и я) не умеем, то к детям и надо обратиться. И будет вам бухтеть, что они ничего не умеют, а будет сближение поколений и новый результат. Вы идеи и контроль, а дети работу и безопасность. А винды домохозяйкам и работникам таких сфер, где утечка ничего не даст, у вас просто нет таких ядерных реакторов, лабораторий и химических или авиастроительных заводов. У меня как минимум двое родственников Боингу, что-то "рисуют" в Юниграфиксе. Под какой ОС? - правильно!
Последний раз редактировалось mike-y-k; 16.07.2019 в 21:50.
|
|
|
Эти 3 пользователя(ей) сказали Спасибо laser532 за это сообщение:
|
|
|
Ваши права в разделе
|
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 23:14.
|
|