Názory k článku Projekt Bolt zabezpečí váš Thunderbolt, povolí přístup jen známým zařízením

Shrnuto: Je to k nicemu, user stejne klikne povolit aby mu vse slapalo jak ma.

ale musí kliknout, takže takhle nenapadneš zamčený počítač, tvůj příspěvek je k ničemu :)

Naopak, Radek má pravdu. Přidal se jeden další krok, který musí útočník udělat, aby zaútočil, ale problém se zdaleka nevyřešil. V době, kdy drtivá většina uživatelů výpočetní techniky (tj. běžný uživatel) nemá elementární návyky a znalosti z bezpečnosti, jsou takové ochrany směšné.

Je to asi tak, jako že buď necháte děti v mateřské školce hrát si přímo s naostřeným nožem, nebo ten nůž zabezpečíte a sice tak, že ho uložíte do stojánku na nože, který před ty děti postavíte...

Jediný opravdu zabezpečený počítač je počítač, ke kterému nemá nikdo ani vzdálený ani fyzický přístup.

Ta ochrana není směšná a je plně funkční. Pokud to nemáte nainstalováno, tak můžu přijít k vašemu zamčenému počítači a k němu připojit "zlé zařízení". A to bude fungovat. Pokud to nainstalováno máte, tak to zařízení fungovat nebude a vy až přijdete k počítači a odemknete ho, tak uvidíte, že se někdo o něco pokusil.

O nějakého uživatele tu vůbec nejde. Jde o ochranu v situaci, kdy útočník má fyzický přístup k počítači ale nemá čas a prostor pro nějaký velký zásah, případně chce aby to nikdo nepoznal. On je trochu rozdíl mezi "někomu restartovat počítač, nabootovat z live CD, vytáhnout data a pak zrebootovat zpátky" a "na pár sekund zastrčit do thunderboltu malé zařízení a pak zase odejít". Navíc v tom prvním případě se můžete dostat do stavu, kdy máte jen zašifrované soubory, ke kterým neznáte heslo, zatímco v tom druhém se dostanete ke kompletnímu obsahu RAM po té, co uživatel už heslo zadal.

Řečeno ještě jinak: to není ochrana proti tomu, aby si uživatel sám nezasvinil počítač. To je ochrana proti tomu, aby někdo jiný nedokázal během chvilky a beze stopy zasvinit cizí běžící počítač.

2Karel: Ty ses tarar ze? kdyz poslu milion SMS na milion cisel s tim, ze zpet maji zaslat pro overeni platby PIN svy karty, tak dostanu 999 000 PINu. A je uplne jedno, jestli mi ty telefony ten PIN poslou samy, nebo jestli pockaj, az user potvrdi, ze mi ho poslat maj.

Takze takovyhle "zabezpeceni" je leda khovnu. Je to uplne stejny jako antivirak, kterej se pta, jestli to dotycnej vazne chce spustit/otevrit/... a co jinyho by s tim asi tak chtel delat, kdyz na to prave klipnul. Presne stejnej vopruz jako UAC, ktery kazdej clovek co si chce zachovat zdravej rozum okamzite vypne.

Tenhle patch nedělá pouze možnost potvrdit připojené zařízení, ale umožňuje tohle potvrzení úplně vypnout a takové zařízení nikdy nepřipojit, stejně tak umožňuje dobře autorizovat konkrétní zařízení a pak se již na nic nedotazovat.

Vyhodit hlášku a tu nechat uživatele potvrzdit je jen jeden ze způsobů a záleží na správci (či výrobci/prodejci) počítače jakou variantu zvolí.

Ty upřednostňuješ variantu, kdy není žádná obrana a stačí pouze cizí zařízení připojit, protože stejně uživatel je kokot, tak si to zaslouží?

Reseni, ktere navrhujete je naprosto k nicemu. Uzivatele by takovy system prestali pouzivat.

Pokud mam fyzicky pristup k PC, tak nezabranis nicemu. Jsi kompromitovany. Tohle opravdu mohlo byt pouze pro usera, ala UAC. Spravne se to melo udelat uplne jinak, ve spolupraci OS, firmware HW a Thunderboltu. OS musi byt ten, kdo rozhoduje komu a kam povolit tak nebezpecnou vec jako je DMA.

"musí to schválit uživatel s administrátorskými právy a obrazovka nesmí být zamčená"

Ach jo, zase jeden windowsoidní debilismus!

Kdo říká, že admin musí být připojen lokálně a vůbec přistupovat přes GUI?

Jde tu o fyzicke pripojeni zarizeni. Pokud nekdo vezme a pripoji kabel, je fyzicky pritomen.

To neřeší připojení k headless PC/serveru.

A co mi brání připojit HW fyzicky a povolit si ho "vzdáleně" na mém notebooku, který leží na stole vedle toho "uzamčeného" počítače, do kterého jsem se dostal přes SSH/VNC? A vůbec, proč bych ten počítač nemohl zrestartovat, když u něho fyzicky stojím, vymazat mu heslo v biosu a nabootovat tam Konboot nebo nějaké LiveCD, kterým si resetuju hesla? Fyzicky přístupný počítač je bezpečný možná s šifrovaným diskem...

Dokážete to udělat během 20 sekund a vrátit to pak do původního stavu tak, aby si majitel nevšiml, že se s tím něco dělo?

No Konboot startuje celkem rychle a hesla zůstanou nezměněná, pouze se jeho zavedením dočasně obejde jejich kontrola. No a když pak průměrný uživatel najde počítač vypnutý, tak si řekne "pitomý Windows" nebo "sakra, ta baterka dojít neměla"...

Jako chápu to, že současný stav umožňuje fatální zásah do počítače v řádu desítek vteřin pouhým zasunutím do jednoho konektoru, ale nabízené "řešení" není řešením, ale pouze omezením, které prodlouží potřebnou dobu útoku řádově na minuty...

Takže si koupím externí čínskou grafiku, která mi jako bonus vyčte z disku a paměti, na co si vzpomene a ještě si její firmware vytěžené bitcoiny pošle po síti výrobci. Aby se to nestalo, budu jí to muset prvně explicitně povolit :-D.

Tuhle technologii vymyslel evidentně právník. Je asi tak geniální jako požadavek podepisovat v nemocnici souhlas s operací. Pokud nejsem sám vzdělaný lékař, který navíc má k dispozici všechny rozbory a nálezy, stejně se nejsem schopen správně rozhodnout a nemohu za takové rozhodnutí nést zodpovědnost. Jediná možnost je důvěřovat nebo nedůvěřovat doktorovi a to zas můžu tak leda na základě intuice...

Takže se návrh nového HW (Intel ME, Thunderbolt) skutečně nezdá dementní jenom mě? "Dáme tomu DMA, aby to bylo rychlý, ale vynecháme IOMMU, aby to nebylo drahý..." Co si sakra "mysleli"?!

Mozno to bol zamer, aby sa trjpismenkovym agenturam zjednodusila praca :-)

Stejně jako komukoliv jinýmu, schopnýmu zneužít stejných chyb...

Ale "ktokolvek iny" nema az take "paky" na vyrobcov.
https://zpravy.idnes.cz/lide-z-bis-tlacili-na-podnikatele-za-prolomene-sifrovani-nabizeli-penize-14p-/domaci.aspx?c=A100912_210704_domaci_mad

Jdou na to naprosto špatně.
Správný přístup je vyvíjet a ve velkém prodávat zařízení, která po vsunutí do thunderboltu těch děr využije.
Pokud někdo prodá pár desítek tisíc "flashek", které po vsunutí do MACa ten MAC odemknou, či do něj nainstalují malware, tak by za ně bezpečnostní SW vyvinul a nasadil Apple.

Jen abych objasnil právní otázky:
Představoval bych si to jako prodej "testovacího kitu pro thunderbolt", kde já budu prodávat něco, co vypadá jako hezký flashdisk, a do čeho půjde snadno naprogramovat a nahrát libovolný program, který bude moct libovolně zacházet s thunderboltem podle toho, jak si usmyslí. Přičemž by samozřejmě bylo všechno pěkně zdokumentované, bylo by k tomu IDE, a tak.

Já bych k tomu dodával základní testovací program, která otestuje, že funguje DMA, že se přes thunderbolt lze připojit na PCIe a podobně.

Prezentoval bych to na pár konferencích o svobodném HW, a po chvíli by "někdo" na internet vypustil i požadovaný hackerský SW s návodem k instalaci na tenhle kus HW.

mám takový dojem, že právě Apple již tohle má implementované, poslední slabina byla možnost napadnout OS při samotném bootu právě přes DMA, ale to bylo už někdy vloni, předpokládám, že již také je vyřešené.

Třeba někdo ví přesněji a opraví mě.

Jinak tyhle mechanismy se dají obejít tím, že někdo bude používat nějaký pciexpresss adaptér, ten v systému povolí a pak se do něj dá připojit jakékoliv zařízení a to již není potřeba povolit.