Секретные файлы: нужно ли физически изолировать комп?

[VladimirIvan]

3. Заключение
Таким образом, нами была найдена уязвимость Intel ME, которая позволяет выполнять произвольный код. Это ставит под угрозу все технологии такие технологии как Intel Protected Audio Video Path (PAVP), Intel Platform Trust Technology (PTT или fTPM), Intel BootGuard, Intel Software Guard Extention (SGX) и многие другие.

Эксплуатируя найденную нами уязвимость в модуле bup, нам удалось включить механизм, называемый PCH red unlock, который открывает полный доступ ко всем устройствам PCH, для использование их через DFx chain, иначе говоря с помощью JTAG. Одним из таких устройств и является само ядро ME. Это дало возможность отлаживать код, выполняемый на ME, читать память всех процессов и ядра, а так же, управлять всеми устройствами внутри PCH. Мы насчитали в совокупности порядка 50 внутренних устройств, полный доступ к которым имеет только ME, а основной процессор только к весьма ограниченному их подмножеству.

Мы не утверждаем, что в нашем исследовании нет ошибок или оно является исчерпывающим. Тем не менее, мы надеемся, что оно поможет другим исследователям, интересующимся безопасностью и «начинкой» Intel ME.

Авторы: Марк Ермолов и Максим Горячий

http://blog.ptsecurity.ru/2018/01/intel-me.html

[igor1000]

...................

Сообщение от verdana

Но большинство подобной информации, покупается за "шоколадку секретарше"

Цитата:

Один старый партийный работник учил меня: "Если ты не спишь со своей секретаршей, то с ней спит кто-то другой. А если с ней спит кто-то другой, то он знает твои секреты. Поэтому спать с секретаршей - это не блажь, это часть аппаратной работы".

[mike-y-k]

В дополнение к варианту VM для работы с критичными данными.
Тип диска VM immutable с шифрованием позволит избавится от головной боли с лишними файлами в образе - они существуют только во время работы и доступ к ним весьма неординарная задача. Все постоянные данные на отдельных дисках с EFS.
Несколько систем подобного рода прошли все тесты и сертификацию.
А вот вариант работы с сетью внутри VM пока так и остался в состоянии тестирования.
Единственная пока проблема - невозможность использования OVF для манипуляций с encrypted образами дисков.

[laser532]

У меня друзья в далекие от IP камер времена продавали в США системы видеонаблюдения. На основе ISA потом PCI карты своей разработки. В России тоже продавали, но проблема случилась в США. Китайцы украли дизайн, вырезали логотип, просто оставив белый прямоугольник. Т.е. вообще бессовестно.

Решение было найдено. Сделали свой процессор на FPGA со своей системой команд. Ну и возможности систем все время улучшались. Китайцы застарели и "отшелушились".

[Инн]

Сообщение от laser532

Китайцы застарели и "отшелушились".

Очень хочется, чтобы это было так. Но Майк, вспомните, что мы надысь наблюдали у китаев. И распознавание лиц, и сопровождение идущего вторженца, и виртуальный периметр, и оповещение о событии -- очень даже продвинуто. Вполне на уровне. И судя по тому, что они на вопросы отвечают туговато, а говорят: мы вам образец продадим по дешёвке, сами у него всё спросите -- судя по этому, они это скорее скопировали, чем разработали. Правда, скопировали "изнутри" или "снаружи" -- не знаю.

Не, ну, Майк правильно не стал уходить в сторону, в отличие от меня: мы здесь признаём, что прятаться надо. Задача -- разобраться, как это делать. Уважаемый Laser532 предлагает ещё способ. Ну, что; способ пристойный.

[parovoZZ]

Сообщение от laser532

У меня друзья в далекие от IP камер времена продавали в США системы видеонаблюдения.

А потом уехали в США и стали называться Arecont Vision/ Не они?

[b_raven]

Не холивара ради, но из практических наблюдений.
Секретность на винде? Шутите ?
Она сама повыкидывает в мир всё ваше содержимое, даже не спросив.

*nix-системы вам в помощь. Если конечно осилите сами.
Иначе придется раскошелиться на оплату трудов специалиста.

[mike-y-k]

Инн, на тему тугих ответов - очень возможно, что у тех китайцев только производство по заказной спецификации, а сама разработка ведется thirdparty и доступ к ним закрыт…

По поводу системы защиты, то тут самый главный критерий - соотношение стоимости защищаемой информации к стоимости и времени взлома с учётом стоимости защиты. При вполне достижимой разнице в порядок и вменяемой цене решения - уже стоит использовать.
Правда появятся некоторые дополнительные расходы в стоимости владения - сопровождение, аудит безопасности,…

[Инн]

Сообщение от mike-y-k

некоторые дополнительные расходы в стоимости владения - сопровождение, аудит безопасности

Майк, та назачем все эти заморочки и вумные слова?!

Отключить от сети к поморам -- и забыть всех этих пиндов. Достали они уже всех, ей-ей. Я думаю, они уже и в ту Вашу коробочку вкрутили каю-нить свою ню.
Пускай теперь интел впаивает в свой проц р.передатчик 0,5 кВт.

И чо им, дям, неймётся?!

[laser532]

Сообщение от parovoZZ

А потом уехали в США и стали называться Arecont Vision

Извините, отвечу тезисно.
1. При всей моей любви к американской продукции и к камерам Ареконт, в частности (у меня в деревне 2 купольных панорамных трудятся с 2011 и пара "простых" с узкой диаграмой), в России есть хорошие специалисты по работе с видео. Некоторые интересные решения по совмещению 2-х разных камер в одной (одна для обзора, вторая на механике для детализации) или совмещении видеоматрицы и процессора были получены еще до миллениума. Отставание в микроэлектронике - это бесспорный факт, мешавший наладке производства подобной продукции. Сейчас возможностей побольше, но и скорость рассеивания информации несравненно больше. Уже ты только подумал, а кто-то в серию запустил.
2. Насчет "уехал" у меня тоже свой взгляд. В основном, уехать хотят те, у кого не хватает денег на еду или их какие-то бандито-чиновнико-менты достали, но нужно понимать, что первые вряд ли что сделают в Америках, ибо конкуренции не выдержат, а среди вторых слишком много просто конфликтных людей и они не впишутся в другую культуру. Мне кажется, стоит отказываться от слова "уехал" как от слова "иномарка". Оно обесценено и обессмысленно в контексте смены места жительства. Есть более сложные процессы, обусловленные простыми мотивами. Люди (в мире) находят хороший заработок в техническо развитом регионе, а живут, где им приятно по климату, восприятию. Другие люди тоже так хотят или хотят равенства и или завидуют или борятся. Все вполне естественно с этологической точки зрения.

Сообщение от b_raven

*nix-системы вам в помощь.

Ну, если уж на то пошло, сейчас народ и ядро сам собирает. Причем это школьники делают. А если вы (и я) не умеем, то к детям и надо обратиться. И будет вам бухтеть, что они ничего не умеют, а будет сближение поколений и новый результат. Вы идеи и контроль, а дети работу и безопасность. А винды домохозяйкам и работникам таких сфер, где утечка ничего не даст, у вас просто нет таких ядерных реакторов, лабораторий и химических или авиастроительных заводов. У меня как минимум двое родственников Боингу, что-то "рисуют" в Юниграфиксе. Под какой ОС? - правильно!