forum.opennet.ru

Составление сообщения

Исходное сообщение

"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..."
Отправлено Аноним, 24-Янв-23 15:01

Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает какие адреса фиг знает почему. Ну вот решит какой-то блобик их многочисленных фирмвар что им так хочется - и запрограммит DMA со стороны железки вот так, немного пропатчив кернел операционки в процессе, например.
Обычный MMU - со стороны проца, он для железок арбитраж прав доступа к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить доступы, так что для виртуалки все будет выглядеть как будто запрос сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые без задней мысли скормит железкам с DMA и прочему, а поскольку это настоящие железки, они без специальных мер вот именно эти адреса и задействуют. Что там у хоста было по этим адресам - обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации это и просто секурити фича, ловящая явно внеплановые доступы железок в левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить по мнению их дров, а если получилось не это - окей, это заворачивается и вместо этого генерится исключение показывающее что нечто пошло не по плану.

Исходное сообщение
"ФСТЭК РФ опубликовал рекомендации по обеспечению безопасной ..." Отправлено Аноним, 24-Янв-23 15:01
Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен знает какие адреса фиг знает почему. Ну вот решит какой-то блобик их многочисленных фирмвар что им так хочется - и запрограммит DMA со стороны железки вот так, немного пропатчив кернел операционки в процессе, например. Обычный MMU - со стороны проца, он для железок арбитраж прав доступа к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить доступы, так что для виртуалки все будет выглядеть как будто запрос сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые без задней мысли скормит железкам с DMA и прочему, а поскольку это настоящие железки, они без специальных мер вот именно эти адреса и задействуют. Что там у хоста было по этим адресам - обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации это и просто секурити фича, ловящая явно внеплановые доступы железок в левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить по мнению их дров, а если получилось не это - окей, это заворачивается и вместо этого генерится исключение показывающее что нечто пошло не по плану.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Чтобы какой-нибудь GPU или вайфай адаптер не сделал ВНЕЗАПНЫЙ DMA в хрен > знает какие адреса фиг знает почему. Ну вот решит какой-то блобик > их многочисленных фирмвар что им так хочется - и запрограммит DMA > со стороны железки вот так, немного пропатчив кернел операционки в процессе, > например. > Обычный MMU - со стороны проца, он для железок арбитраж прав доступа > к памяти не обеспечивает. А IOMMU это как раз логичное дополнение, > обеспечивающее энфорс прав доступа и для железок. Одно из очевидных применений > это виртуализация - т.к. кроме всего прочего можно перехыватывать и редиректить > доступы, так что для виртуалки все будет выглядеть как будто запрос > сработал, хотя его виртуализатор перехватил и оттранслировал адреса как надо. Если > этого не сделать, драйвер в VM видит свои адреса, виртуалочные. Которые > без задней мысли скормит железкам с DMA и прочему, а поскольку > это настоящие железки, они без специальных мер вот именно эти адреса > и задействуют. Что там у хоста было по этим адресам - > обычно без IOMMU все быстро и жестоко умирает. Однако кроме виртуализации > это и просто секурити фича, ловящая явно внеплановые доступы железок в > левые регионы памяти. В IOMMU прописывается куда какие железки должны лазить > по мнению их дров, а если получилось не это - окей, > это заворачивается и вместо этого генерится исключение показывающее что нечто пошло > не по плану.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру