Vlákno názorů k článku
Experimetální AMD openSIL s Coreboot pro základní desku MSI PRO B850-P
od ITFUN - Tak toto je veľká vec! Coreboot pre AMD...
-
Tak toto je veľká vec! Coreboot pre AMD s AMD openSIL je vlastne trošku ako ME_CLEANER pre osekanie INTEL MANAGMENT ENGINE. Super.
Momentálne pracujem so Thinkpadom T480s s librebootom.
Ak, chcete novšie CPU s coreboot - tak máte na výber jedine CPU od Intel.
System76 má dosť dobrú podporu pre coreboot. Tuším aj nejaký produkt od TUXEDO vie vypnúť Intel ME - ale neviem, či majú aj coreboot. Potom ešte nejakí menší výrobcovia. A nakoniec Chromebooky s Intel CPU.
Aj som rozmýšľal nad chromebookom, ale vôbec sa mi nechce ísť do ACER/HP/DELL notebookov. Radšej starší ThinkPad kvôli kvalite.
Veľmi sa teším na ZEN6 a dúfam, že AMD openSIL+coreboot bude podporovať čo najviac hardvéru. Je to obrovský posun.
AMD PSP - Intel ME - ARM TrustZone a binárne bloby v ovládačoch sú to, čo nám berú kontrolu nad naším hardvérom, za ktorý sme si poctivo zaplatli - čím viac kontroly získame späť - tým lepšie.
Držím projektu palce! -
Ahoj RDa - vďaka za upresňujúce informácie ohľadne inicializácie AMD CPU skrz PSP - nie je to také "ružové", ako sa na prvý pohľad zdá - veľká škoda.
To, že niekde v BIOSE máme "ME DISABLED" - vôbec nič neznamená, nakoľko to vypína iba ME, a to tak, že ho OS nevidí - to je celé. Intel ME nemôže byť z princípu úplne vypnutý - to nedokáže ani coreboot a ani libreboot - pretože ak je Intel ME až príliš osekaný napríklad pomocou upraveného ME_CLEANER-a - tak sa takýto počítač po 30 minútach automaticky reštartuje.
Výskumníci objavili takzvaný HAP_BIT, ktorý sa prepína vtedy, ak Intel CPU compy idú napríklad do služieb NSA. ME_CLEANER osekáva Intel ME na minimum, avšak nie úplne a plus prepína HAP_BIT.Prečo by to malo ľudí zaujímať? Intel ME, AMD PSP, ARM TrustZone a ovládača ako binárne bloby môžu skrývať backdoory do systému. Taký backdoor, ktorý nedokáže detegovať ani samotný OS lebo ten beží "vyššie" ako Intel ME. Viem o novinároch, ktorým takto zmizli súbory z notebookov.
Proste je to o zabezpečení a o kontrole vlastného hardvéru, a hlavne o tom, či môžem danému hardvéru ešte ako tak dôverovať.
-
DELL na ty "ME disabled" veci pouziva ten HAP bit. Pak samozrejme nejede AMT / remote pristup a nekdy ani nektere DRM veci.
Pokud mi realne jde o bezpecnost, tak bych nepouzil zadnou z komercnich platforem (ale spis nejaky soft-core ve FPGA treba, ke kteremu budu mit zdrojaky), resp ten komoditni hw jde pouzit v airgapped nasazeni - zcela offline, coz je snadneji praktikovatelne, kdyz delate seriozni praci.
Me prekvapuje ze lidi povazuji ME/PSP/TZ za takovej strasak - pritom v procesorech od 486SLC bylo SMM, ktere bezelo mimo jakykoliv OS a melo pristup vsude.. a kod byl v nepodepsanem/nechranenem biosu. Jsem si prave u jednoho moderniho (Haswell-EP) stroje vsiml blikajici LEDku, ktera znacila ze procesor je v SMM. A kdyz nechcete krast cas hlavniho jadra z procesoru, tak tam date jadro navic... coz delaji uplne vsichni, protoze manazovat nezavisly a uceleny SW je snazsi, nez to lepit na hlavni cpu.
A samozrejme plno reci ohledne backdooru.. ale ze si nainstaluji OS z torrentu, nebo jinak upravuji instalacku... nebo proste nahodej linux z prvniho mirroru a image nikdy neprozenou kontrolou checksumu - protoze veri ze https je zachrani... tak je to holt jen plkani "expertu". No a pak tady mame OS updaty, kterym davate zelenou, a pokud by agentura chtela.. cinklej mikrokod taky nebude problem. Ten si ostatne muzete jednoduse upect pro ZENy dnes uz i sam.
Nevim o tom, ze by realne doslo k zneuziti ME - ktere je zdokumentovane a kdyz ano tak by zrejme zmizl i ten novinar s notasem, nejenom soubor z notasu.
Jiste je na miste otazka zda to muze byt bezpecnostni dira (coz pri te slozitosti dnesnich stroju - nepujde nikdy vyloucit, a klidne si muze fw disku popovidat s fw sitovky), ale nesirte nepodlozene vesnicke plky.
Hlavne bezpecnost nelze zakladat na ne-existenci jedne proprietarni hw/sw komponenty.
One click spasa se fakt nekona.
