Vlákno názorů k článku MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel od par - Mám otázku.. Ak to správne chápem ten subsystém nemá...

Mám otázku..
Ak to správne chápem ten subsystém nemá problém nájsť vygenerovaný RSA kľúč na disku, poslať ho sieťou a brutforcom zlomiť passphrase?
Bráni im v tom niečo?
Lebo takto fakt nie je šanca mať zašifrovanú komunikáciu nijako.. (alebo je?)

No pokud to má lajnu na root complex a integrovaný switch mezi oficiální MAC a PHY, tak mají přístup do RAM a na všechny periferky. Takže jsou jenom tři překážky, který můžou zkomplikovat život tomu, kdo tohle ovládá: externí filtr paketů, neintelí síťovka mimo chipset (od prvního připojení) a struktura dat, které nerozumí.
Btw, ovladač nemusí být problém, program toho bazmeku je v SPI FLASH a typ zařízení vidí na PCIe. Když útočník moc chce a opatří si ovladač... :(

Normálně když dělám nějakou embeďárnu s LANkou, tak je tam CPU-(systémová sběrnice)-MAC-(MII/RMII)-PHY. (v závorce sběrnice)

Intel má CPU-Root complex-MAC-(GMII?)-SWITCH-(GMII/RGMII)-PHY. K tomu paralelně kompl s jádrem, RAM, FLASH a MAC. MAC je připojená do toho switche, navíc to má bridge na root complex po PCIe a dostane se na cokoliv, co je dosažitelný po PCIe.

Pokud se někdo zmocní tohohle separátního stroje, může cokoliv. Ochrana je jenom tím, že se nikomu neřekne, co a jak.

Z pohledu admina jsou dvě možnosti. Nepustit to ven (= musí dropnout konkrétní, nedokumentovaný spojení), nebo to nechat být. Pokud to nechá být, dostane možnost update od Intelu (s možností, že mu tam něco rozsekají) a rizikem, že někdo odhalí backdoor a může v jeho stroji kamkoliv. Nebo to odříznout s tím, že backdoor může zneužít kdokoliv na stejným segmentu sítě (napříkad nějaký červík nebo podobná potvora).

Tak nebo tak, tahle bestie je ekvivalent GDB serveru spuštěšnýho na jádře OS (bez virtualizace) a dostupnýho bez firewallu na veřejné IP adrese. S ochranou tím, že o něm nikomu neřeknu.