forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выполнение rm -rf / может привести к неработоспособности UEF..."
Отправлено CodeRush, 01-Фев-16 18:04

> 1) если путём нетривиальных манипуляций владелец свою железку таки угробил - это
> его вина и его проблемы. Будь то "левая" смазка в шуруповёрте,
> стёртая с процессора термопаста или залитая левая прошивка - случай явно
> не гарантийный. Конечно, если при такой ситуации будет какая-то возможность сбросить
> устройство в дефолты, это плюс - но, вообще говоря, не обязательно.
Тем не менее, системы с какой-то защитой, даже если она по факту или не работает, или не работает как надо, продаются значительно веселее, чем без совсем без нее, поэтому сейчас их делает каждый IBV, и у всех практически она не работает как надо. Маркетинг - он такой.
> 2) "защита" прошивки от нетривиальных действий рута, запущенного на этом же устройстве
> (то есть после прохождения всех верификаций на этапе запуска системы) -
> это не "дополнительные трудности", а нечто совершенно неприемлемое. Это не security,
> а банальное ограничение прав якобы владельца устройства.
Не согласен. Если вы действительно владелец устройства, у вас есть физический доступ, т.е. джампер для вас переставить - проблемы не составляет. Защита от изменения прошивки ограничивает не пользователя, а вредоносный код, получивший у этого пользователя рута каким-либо образом. В Linux за год находят 3-5 локальных повышений привилегий, и еще 1-2 удаленных выполнения кода, т.е. вероятность атаки на прошивку от рута ниже того порога, после которого нужна защита от такого рода атак. Проблема в том, что кроме Linux у нас сейчас используются некоторые другие ОС одной известной компании, в которой получить рута легче, а разрушительные последствия - такие же. Тем более, что с внедрением UEFI сложность разработки вредоносного кода для прошивки уменьшилась даже не на порядок, а еще сильнее, и если не защищать её сейчас - потом будет уже поздно. Не нравится - не покупайте, я не заставляю, у Gigabyte и EVGA нет вообще никаких защит до сих пор, все платы шьются flashrom'ом из любой ОС. Coreboot есть для тех, кто реализациям UEFI не доверяет, опять же. Хотите сидеть с открытой прошивкой - у вас есть такая возможность, только вот мы не хотим, и клиенты наши тоже.

Исходное сообщение
"Выполнение rm -rf / может привести к неработоспособности UEF..." Отправлено CodeRush, 01-Фев-16 18:04
> 1) если путём нетривиальных манипуляций владелец свою железку таки угробил - это > его вина и его проблемы. Будь то "левая" смазка в шуруповёрте, > стёртая с процессора термопаста или залитая левая прошивка - случай явно > не гарантийный. Конечно, если при такой ситуации будет какая-то возможность сбросить > устройство в дефолты, это плюс - но, вообще говоря, не обязательно. Тем не менее, системы с какой-то защитой, даже если она по факту или не работает, или не работает как надо, продаются значительно веселее, чем без совсем без нее, поэтому сейчас их делает каждый IBV, и у всех практически она не работает как надо. Маркетинг - он такой. > 2) "защита" прошивки от нетривиальных действий рута, запущенного на этом же устройстве > (то есть после прохождения всех верификаций на этапе запуска системы) - > это не "дополнительные трудности", а нечто совершенно неприемлемое. Это не security, > а банальное ограничение прав якобы владельца устройства. Не согласен. Если вы действительно владелец устройства, у вас есть физический доступ, т.е. джампер для вас переставить - проблемы не составляет. Защита от изменения прошивки ограничивает не пользователя, а вредоносный код, получивший у этого пользователя рута каким-либо образом. В Linux за год находят 3-5 локальных повышений привилегий, и еще 1-2 удаленных выполнения кода, т.е. вероятность атаки на прошивку от рута ниже того порога, после которого нужна защита от такого рода атак. Проблема в том, что кроме Linux у нас сейчас используются некоторые другие ОС одной известной компании, в которой получить рута легче, а разрушительные последствия - такие же. Тем более, что с внедрением UEFI сложность разработки вредоносного кода для прошивки уменьшилась даже не на порядок, а еще сильнее, и если не защищать её сейчас - потом будет уже поздно. Не нравится - не покупайте, я не заставляю, у Gigabyte и EVGA нет вообще никаких защит до сих пор, все платы шьются flashrom'ом из любой ОС. Coreboot есть для тех, кто реализациям UEFI не доверяет, опять же. Хотите сидеть с открытой прошивкой - у вас есть такая возможность, только вот мы не хотим, и клиенты наши тоже.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> 1) если путём нетривиальных манипуляций владелец свою железку таки угробил - это 
>> его вина и его проблемы. Будь то "левая" смазка в шуруповёрте, 
>> стёртая с процессора термопаста или залитая левая прошивка - случай явно 
>> не гарантийный. Конечно, если при такой ситуации будет какая-то возможность сбросить 
>> устройство в дефолты, это плюс - но, вообще говоря, не обязательно.

> Тем не менее, системы с какой-то защитой, даже если она по факту 
> или не работает, или не работает как надо, продаются значительно веселее, 
> чем без совсем без нее, поэтому сейчас их делает каждый IBV, 
> и у всех практически она не работает как надо. Маркетинг - 
> он такой.

>> 2) "защита" прошивки от нетривиальных действий рута, запущенного на этом же устройстве 
>> (то есть после прохождения всех верификаций на этапе запуска системы) - 
>> это не "дополнительные трудности", а нечто совершенно неприемлемое. Это не security, 
>> а банальное ограничение прав якобы владельца устройства.

> Не согласен. Если вы действительно владелец устройства, у вас есть физический доступ, 
> т.е. джампер для вас переставить - проблемы не составляет. Защита от 
> изменения прошивки ограничивает не пользователя, а вредоносный код, получивший у этого 
> пользователя рута каким-либо образом. В Linux за год находят 3-5 локальных 
> повышений привилегий, и еще 1-2 удаленных выполнения кода, т.е. вероятность атаки 
> на прошивку от рута ниже того порога, после которого нужна защита 
> от такого рода атак. Проблема в том, что кроме Linux у 
> нас сейчас используются некоторые другие ОС одной известной компании, в которой 
> получить рута легче, а разрушительные последствия - такие же. Тем более, 
> что с внедрением UEFI сложность разработки вредоносного кода для прошивки уменьшилась 
> даже не на порядок, а еще сильнее, и если не защищать 
> её сейчас - потом будет уже поздно. Не нравится - не 
> покупайте, я не заставляю, у Gigabyte и EVGA нет вообще никаких 
> защит до сих пор, все платы шьются flashrom'ом из любой ОС. 
> Coreboot есть для тех, кто реализациям UEFI не доверяет, опять же. 
> Хотите сидеть с открытой прошивкой - у вас есть такая возможность, 
> только вот мы не хотим, и клиенты наши тоже.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру