Byla vydána nová major verze 5.0.0 svobodného multiplatformního nástroje BleachBit (GitHub, Wikipedie) určeného především k efektivnímu čištění disku od nepotřebných souborů.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).
Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.
Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.
Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.
V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.
Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).
Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.
Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.
Lidi dělají divné věci. Například spouští Linux v Excelu. Využít je emulátor RISC-V mini-rv32ima sestavený jako knihovna DLL, která je volaná z makra VBA (Visual Basic for Applications).
Příspěvek na blogu Nadace pro svobodný software (FSF) poukazuje na problém s Intel Management Engine (ME) a především jeho součástí Intel Active Management Technology (AMT). Jedná se o blob, který má kompletní přístup k PC a v dnešní době je v podstatě nemožné nahradit jej svobodným softwarem nebo jej alespoň vypnout, jak je tomu například u notebooku Libreboot X200 s certifikací RYF (Respects Your Freedom, Respektuje vaši svobodu).
Tiskni
Sdílej:
12.6.2016 20:10
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Bráni niečo niekomu frflajúcemu sa s tým pohrať?Nevím, koho frflajícího myslíte, ale hlavně to hraní bude každému zcela k hovnu. Jak již bylo řečeno, ten křáp nelze zlikvidovat a je aktivní i při "vypnutém" počítači.
13.6.2016 12:39
k3dAR | skóre: 63
13.6.2016 16:32
k3dAR | skóre: 63
Ak Ti to nevyhovuje, tak to nekupuj a problém sa Ťa nebude týkať.Není pravda. 1) Mizerná nabídka svobodného (aspoň do nějaké snesitelné míry) HW je problém, 2) špatné zabezpečení cizích strojů je můj problém mnohdy úplně stejně jako bezpečnost mých strojů.
Mobil ktorý sleduje tvoje kroky, a sociálne siete sledujúce okruhy tvojich známych a tvoje návyky Ti tiež nevadiaNevím jak předřečník, za mě tohle taky není pravda.
keď nebojuješ za ich otvorenie a rešpektovanie tvojich právNon sequitur, to se přece navzájem nevylučuje.
13.6.2016 18:16
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Intel® ME Firmware Version 9.5
Ten procesor nemá vPro a tak to nepodporuje ani v Tebou spomenutej verzii.No hele nevim, vPro sice implikuje AMT, ale obráceně to být nemusí. Verzi ME tam máš, máš tam Anti-Theft a taky u Intel ME driveru je tvé CPU v seznamu HW, pro který to je určený.
Dá niekto podnet na Respect Your Privacy aby prestali sledovať užívateľov cez teleóny alebo sociálne siete?RYF je certifikace HW, takže sociální sítě do toho úplně nespadají. Telefonama se už určitě zabývají. Jakou souvislost mají telefony s Intel ME/AMT mi ale není úplně jasný...
Naozaj sa jedná o búrku v pohári vody.Jasně. Když to ještě 20x zopakuješ, tak to zaručeně bude pravda.
hacknúťTak určitě. Každý se napíše vlastní firmware procesoru. Zkus přirození 3x denně omývat vlažnou vodou a na hlavu kbelík ledu.
Intel ME a ani Anti Thieft v UEFI nemám keďže tieto vymoženosti sa nedávali do lacných šuniek.Ok, nicméně jestli tvá rada je Nechcete ME, kupte si lacnú šunku, tak to děkuju pěkně, to je opravdu skvělá rada...
Telefónmi RYF sa nezaoberajú, a ani sociálnymi sieťami.Myslímže nějakou sociální síť někdo v rámci projektu GNU vytvořil, ale (kupodivu
) to nikdo nepoužívá...
Samozvaná. Takú certifikáciu si v kľude navrhne aj Krakonoš zo Šumavy. Nevravím že nebojujú za dobrú vec, ale bojujú len pomocou blogískov a zasadaní.Hmm, v tomhle s tebou asi celkem souhlasim, třeba EFF je IMHO produktivnější. Ale stejně si myslím, že certifikace RYF je dobrá věc.
Keď chceli ľudia slobodný BIOS, tak si ho urobili.Nicméně HW se svobodným BIOSem není ani 1%...
Ale aspoň je krásne vidno kde je dopyt a ktorým smerom sa tým pádom smeruje ponuka.Vzhledem k tomu, že 99% lidí kupujících tyhle produkty o tom neví nebo neodmítnou ten produkt z jiných důvodů, je z toho co se poptávky/nabídky týče, vidět naprostý kulový. Vždyť ani ty nevíš pořádně, jestli máš nebo nemáš ME ve svém laptopu, tak jakápak nabídka/poptávka
Jediné, z čeho usuzuješ je nějaké marketingové označení, které nedokazuje celkem nic. Můžeš zkusit intelmetool, ale funguje jen na některém HW.
IMHO z toho je vidět maximálně to, že lidé budou počítače s ME poptávat, pokud budou mít o ME dostatečně málo informací a také dostatečně špatné alternativní možnosti. Což je opravdu skvělé.
Ak to chceš, tak si to kúpiš. Ale potom neplač nad zlým výberom.Vždycky se najde někdo, kdo tohle falešné dilema zopakuje a pokusí se tím umlčet stížnosti ostatních... Reálně samozřejmě není důvod, proč bych nemohl na špatnou nabídku nadávat i po koupi toho produktu.
Takže ja to neviem ale mám si to overiť pomocou nástroja ktorý funguje len na niektorom HW.Ano, v čem je takový problém? Kdybych věděl o lepším nástroji, řekl bych to. Zabralo by ti to tak 3 minuty max. Na mém laptopu to nefunguje, zřejmě protože je příliš nový (nedávno koupený). Můžu ještě později zkusit starší až se k němu dostanu...
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.czBad news, you have a `HM55 Chipset LPC Interface Controller` so you have ME hardware on board and it is very difficult to remove, continuing...
A následně to zfailuje na nějakém mapování paměti, ale to už mě netankuje...
15.6.2016 02:34
k3dAR | skóre: 63
Jun 14 17:51:09 x220t kernel: [3137155.219511] mei_me 0000:00:16.0: FW not ready: resetting. Jun 14 17:51:09 x220t kernel: [3137155.219535] mei_me 0000:00:16.0: unexpected reset: dev_state = ENABLED fw status = 1E000245 68000006 Jun 14 17:51:09 x220t kernel: [3137155.219542] mei_me 0000:00:16.0: H_RST is set = 0x80000011 Jun 14 17:51:09 x220t kernel: [3137155.235406] mei_me 0000:00:16.0: no destination client found 0x80140007 Jun 14 17:51:09 x220t kernel: [3137155.235408] mei_me 0000:00:16.0: no destination client found 0x80140007 Jun 14 17:51:09 x220t kernel: [3137155.235410] mei_me 0000:00:16.0: no destination client found 0x80140007 [...] cca 35 milionu stejnejch radku [...] Jun 14 17:52:52 x220t kernel: [3137258.358778] mei_me 0000:00:16.0: no destination client found 0x80140007 Jun 14 17:52:52 x220t kernel: [3137258.358780] mei_me 0000:00:16.0: no destination client found 0x80140007 Jun 14 17:52:52 x220t kernel: [3137258.358782] mei_me 0000:00:16.0: no destination client found 0x80140007btw: bylo to na Thinkpad X220 s CPU 2520M. AMT/ME/AntiTheft "(?)vypnute"(?), po restartu sem to zkusil znovu, tentokrat presmeroval vystup do textu a zaroven zamezil zapisu do syslog/kern.log, disk to sice nezaplnilo ale zatuh to byl stejnej, tu je vystup:
Bad news, you have a `QM67 Express Chipset Family LPC Controller` so you have ME hardware on board and it is very difficult to remove, continuing... RCBA at 0xfed1c000 MEI not hidden on PCI, checking if visible MEI found: [8086:1c3a] 6 Series/C200 Series Chipset Family MEI Controller #1 ME Status : 0x1e000245 ME Status 2 : 0x390a0006 ME: FW Partition Table : OK ME: Bringup Loader Failure : NO ME: Firmware Init Complete : YES ME: Manufacturing Mode : NO ME: Boot Options Present : NO ME: Update In Progress : NO ME: Current Working State : Normal ME: Current Operation State : M0 with UMA ME: Current Operation Mode : Normal ME: Error Code : No Error ME: Progress Phase : Policy Module ME: Power Management Event : Non-power cycle reset ME: Progress Phase State : Received AC<>DC switch PCI READ [bc] : 0x000000bc ME: Extend SHA-256: c20401a7f4baa166f69c313455db4ed508fd484bf2b89b42eba9a2395cb0f205 ME seems okay on this board WRITE [00] : CB: 0x80040007 WRITE [00] : CB: 0x000002ff ME: timeout waiting for data: expected 8, available 5 ME: GET FW VERSION message failed WRITE [00] : CB: 0x80080007 WRITE [00] : CB: 0x00000203 WRITE [00] : CB: 0x00000000 READ [08] : CB: 0x800d0007 READ [08] : CB: 0x00008203 READ [08] : CB: 0x00000000 READ [08] : CB: 0xf65c6504 READ [08] : CB: 0x58fa520d ME Capability: Full Network manageability : ON ME Capability: Regular Network manageability : OFF ME Capability: Manageability : ON ME Capability: Small business technology : OFF ME Capability: Level III manageability : OFF ME Capability: IntelR Anti-Theft (AT) : ON ME Capability: IntelR Capability Licensing Service (CLS) : ON ME Capability: IntelR Power Sharing Technology (MPC) : ON ME Capability: ICC Over Clocking : ON ME Capability: Protected Audio Video Path (PAVP) : ON ME Capability: IPV6 : ON ME Capability: KVM Remote Control (KVM) : ON ME Capability: Outbreak Containment Heuristic (OCH) : OFF ME Capability: Virtual LAN (VLAN) : ON ME Capability: TLS : ON ME Capability: Wireless LAN (WLAN) : ON exitingPripominam ze AMT(tedy ani ME ktere lze az pak) ani Anti-Theft nebylo v BIOSu aktivovane...
15.6.2016 08:04
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Pripominam ze AMT(tedy ani ME ktere lze az pak) ani Anti-Theft nebylo v BIOSu aktivovane...Ono se zda, ze vypnuti v BIOSu nepomuze, treba McAfee tooly to pouzivaji a nastaveni BIOSu ignorovali.
15.6.2016 13:19
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Ale to nie je chyba AMT albo ME. To je chyba alebo vlastnosť návrhu použitej architektúry keď cez DMA majú plný prístup do RAM už všetky "inteligentné" komponenty v počítači.To je hovadina. Implementace DMA nesouvisi s moznosti uzivatele deaktivovat AMT/ME.
15.6.2016 14:43
k3dAR | skóre: 63
15.6.2016 14:45
k3dAR | skóre: 63
15.6.2016 16:08
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
McAfee, to pamatuju snad v minulem stoleti :)McAfee je ted vlastnen Intelem a integruje podporu techto veci primo do systemu, i na Linux.
13.6.2016 22:21
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
AMT vyžaduje vPro.Ne. vPro je marketingove oznaceni pro celou skupinu technologii, a AMT je jeji subset, viz Intel® vProTM Technology Reference Guide, strana 6.
15.6.2016 13:19
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
15.6.2016 15:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
17.6.2016 00:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
, a to má PCIe v docking portu :-/ )
17.6.2016 02:06
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
autonómne počítače majúce kompletný prístup do celej pamäte.Ne, nemaji. Jak Linux, tak Windows - jsou dale - implementuji opatreni omezujici DMA attack, vcetne uziti IOMMU a navic dalsi ochranou je prichazenici on-fly sifrovani dat v pameti, jako AMD memory encryption v Zen ci Intel Secure Guard Extensions ve Skylaku. Obe reseni uz maji pocatecni podporu v kernelu, viz zde a zde. AMD reseni mi prijde diky transparenci lepsi a navic v pripade Intelu je to integrovane s AMT.
17.6.2016 13:06
Jendа | skóre: 78
| blog: Jenda
| JO70FB
17.6.2016 13:20
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
V tom prípade by bolo zablokovanie ME (AMT) vecou triviálnej konfigurácie, a táto búrka v pohári vody by neexistovala. Jednoducho, samotné ME by sa samo odrezalo.ME ma podle vsecho moznost v chipsetu bypass-nout IOMMU, narozdil od jinych zarizeni, a ziskat primy pristup k NIC a diskum.
19.6.2016 13:00
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Keby IOMMU obmedzovalo DMA attack, tak to IOMMU odstaví AMT/ME.Ne. Co ti nebylo jasné na této větě v little.owlově komentáři?
ME ma podle vsecho moznost v chipsetu bypass-nout IOMMU
Tvrdí že to funguje, a následne pridáva výnimky kedy to nefunguje. Keby mal pravdu že to funguje, ta to odreže prístup DMA pre ME/AMT. Nemá, a tak pridáva výnimky.Ale má pravdu, tu výnimku nepřidal little.owl, ale Intel, přesně pro AMT/ME. Viz tyhle slajdy, strana 74 a okolo:
So, if Intel allowed its AMT/ME code to bypass VT-d (in order to allow rootkit detectors in the chipset), then our AMT rootkit would automatically gain ability to bypass VT-d as well!Mluví se tam o VT-d, ale IOMMU je ditto. AMT/ME není na úrovni nějakého udělátka připojeného přes USB/FireWire, je spíše na úrovni BIOSu. Koneckonců, firmware má uložený na stejným místě jako BIOS. Nebo si chceš začít stěžovat, že IOMMU je placebo, protože BIOS může přistupovat do RAM jak chce?
22.6.2016 11:22
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
.
22.6.2016 22:17
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
nereálnej kombinácii 16Bit BIOSu a 64Bit CPUOdhlednuli od vasi zuzene definice co je BIOS, opet je to totalni nesmysl
. I ten 64-bitovy procesor je zpetne kompatibilni s predchozimi procesory, doslova se jedna o 64-bitove rozsireni predchazejici architektury, ktere se musi implicitne zapnout. x86_64 bootuje v 16-bitovem real mode a BIOS ho muze (a nemusi) po inicializaci zarizeni prepnout do protected mode nebo long mode (64-bit), vcetne compatible mode, ktery podporuje i 16-bitove aplikace. Tedy i 16 bitovy BIOS muze nabootovat na 64 bit CPU a spustit GRUB, ktery potom udela zbytek.
BIOS je 16Bit kódMinimálně na 486 se už přepínal do 32bit protected módu. Na disassemblované LOADALL emulaci jsem se naučil chráněnej mód. Takže BIOS není jen 16bit kód. Otázka: je podle tebe coreboot BIOS/UEFI, 64bit 32bit nebo 16bit?
Keď si za hrušku dosadíš mesiac, tiež to bude slovo. V záhrade.Wut? Víš co, BIOS necháme raději bejt BIOSem. Zapomeň na BIOS. Dovol, abych to přeformuloval: AMT/ME není na úrovni nějakého udělátka připojeného přes USB/FireWire, je spíše na úrovni UEFI firmware. Koneckonců, firmware ME je uložený na stejným místě jako UEFI firmware. Nebo si chceš začít stěžovat, že IOMMU je placebo, protože firmware může přistupovat do RAM jak chce? Lepší?
Ale apoň je krásne vidno aké je IOMMU placebo keď nedokáže obmedziť ten omieľaný prístup.Ano přesně tak. Stejně tak zámky na dveřích jsou placebo, když ani nedokáží omezit majitele domu.
Pokiaľ tu niekto v jednom príspevku tvrdí že technológia zamedzí prístupu k DMA a v druhom to poprie, ta je evidentne trol.Nikdo nic takového netvrdil, to jsi špatně pochopil.
Pokiaľ niekto prirovnáva majiteľa domu k technológii Intel AMT/ME, tak sa vzdáva vlastníctva.Ano, to je do značné míry podstata AMT/ME, proto je tady s ním taková nespokojenost.
Takže načo to kupovať ak to človek nechce, len aby potom mohol človek plakať na nesprávnom hrobe? Pfff ....Opět pořád dokola: Člověk je nabídkou nucen do špatných kompromisů. Další věc je, že mi tak nebo onak může škodit i AMT/ME v počítači jiných lidí.
Je dobré poznať hlavný argument bojovníkov modernej doby používaný v blogísku. Nepochopenie. Ďakujem za potvrdenie toho tvojho argumentu.Pokiaľ tu niekto v jednom príspevku tvrdí že technológia zamedzí prístupu k DMA a v druhom to poprie, ta je evidentne trol.Nikdo nic takového netvrdil, to jsi špatně pochopil.
A pri kúpe domu človek kupuje vlastníka. Argument jak noha, vychádzajúci z predchádzajúceho.Pokiaľ niekto prirovnáva majiteľa domu k technológii Intel AMT/ME, tak sa vzdáva vlastníctva.Ano, to je do značné míry podstata AMT/ME, proto je tady s ním taková nespokojenost.
Ďalšia perla. Neviem ako u vás v kaviarenskej komunite, ale všeobecne nie je človek povinný byť kupujúcim ktorý musí kupovať aj veci čo mu nevyhovujú. A ak mu vyhovujú, tak ich však môže kúpiť.Takže načo to kupovať ak to človek nechce, len aby potom mohol človek plakať na nesprávnom hrobe? Pfff ....Opět pořád dokola: Člověk je nabídkou nucen do špatných kompromisů. Další věc je, že mi tak nebo onak může škodit i AMT/ME v počítači jiných lidí.
Je dobré poznať hlavný argument bojovníkov modernej doby používaný v blogísku. Nepochopenie. Ďakujem za potvrdenie toho tvojho argumentu.Jestli tu někdo něco nechápe, tak jsi to ty. Můžu se pokoušet to vysvětlovat opakovaně. IOMMU slouží pro ochranu paměti při DMA přístupu. Tato ochrana ale nemá za účel chránit hardware proti jeho vlastnímu firmware. Vzhledem k tomu, že AMT/ME je součástí firmware, nepodléhá IOMMU. Neznamená to ale, že jiný hardware může také obejít IOMMU, nemůže. Čili z toho neplyne, že IOMMU je placebo. Jestli se ti na tom něco nezdá, měl bys přesně a konkrétně popsat, jak například obejdeš IOMMU z FireWire, to by mě opravdu zajímalo.
Neviem ako u vás v kaviarenskej komunite, ale všeobecne nie je človek povinný byť kupujúcim ktorý musí kupovať aj veci čo mu nevyhovujú. A ak mu vyhovujú, tak ich však môže kúpiť.V tvojí kavárenské komunitě to možná funguje takhle primitivně / černobíle. V reálném životě je o trochu víc možností než jen "produkt mi zcela nevyhovuje se všemi součástmi / vlastnostmi" a "produkt mi zcela vyhovuje se všmi součástmi / vlastnostmi".
TakŽe ono to má chrániť, ale s výnimkami.Přesně tak, resp. chrání to pouze před cizím firmware, ned před samo sebou.
Takže sme znova u definícii placeba na ktoré sa tu spoliehajú miestny hrdinovia.Měl jsem dojem, že spíš ty jsi byl ten hrdina, který tvrdil, že o nic nejde...
IOMMU tu spomínali bojovníci modernej doby ako obranu pred "záškodníckou" činnosťou ktorou sa prejvuje AMT/ME.NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! NE! A kdybys to náhodou nepochopil v češtině, tak pro extra natvrdlý ještě překlad do hornouherštiny: NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE! NIE!
AMT/ME je rovnak nebezpečné ako FireWire, PCI, PCI Express a hociaká iná zbernica ktorá stále umožňuje priamy prístup do pamäte.Sice nemám čipset s IOMMU, takže jsem ještě nestudoval datasheet specifikace, ale myslím, že můžu říct, že správně nakonfigurovaný IOMMU tě plně ochrání od busmaster útoku na PCI(e) a firewire.
IOMMU tu spomínali bojovníci modernej doby ako obranu pred "záškodníckou" činnosťou ktorou sa prejvuje AMT/ME.To jsi příslušné komentáře nepochopil, IOMMU tady IMHO nikdo jako ochranu před AMT/ME nezmiňoval.
AMT/ME je rovnak nebezpečné ako FireWire, PCI, PCI Express a hociaká iná zbernica ktorá stále umožňuje priamy prístup do pamäte. Vrátane napríklad ThunderBolt-u. Samotné IOMMU je rovnaká ochrana, ako keby si si zamykal vchod do rodinného domu na prízemí, ale dvere na balkóne nehal otvorené dokorán.Podpoř to prosím nějakou citací, zejména by mě zajímal ten způsob, jakým obejdeš IOMMU z FireWire, prosil bych konkrétně a detailně. Pravděpodobně by mělo být vytvořeno CVE.
Pozri si stav v akom je SW podpora IOMMU.Nechápu, proč bys chtěl SW podporu pro něco, co považuješ za placebo.
A ak chceš priamo exploit, tak sa zapoj do bežnej dražby.Myslel jsem, že o něčem víš, když tady tak sebevědomě tvrdíš, že to je placebo.
10.7.2016 17:46
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Jednoducho. Pozri si stav v akom je SW podpora IOMMU.SW support pro IOMMU je obecne v dobrem stavu, nebot se pouziva jako zakladni stavebni blok u virtualizace a pripadna chyba se ukaze tvrdym padem na cumak. Kdyz je to jednoduche, dejte nam hint, ktery vas vede myslet si to.
[ 0.000000] e820: BIOS-provided physical RAM map: [ 0.000000] BIOS-e820: [mem 0x0000000000000000-0x000000000009d7ff] usable [ 0.000000] BIOS-e820: [mem 0x000000000009d800-0x000000000009ffff] reserved [ 0.000000] BIOS-e820: [mem 0x00000000000e0000-0x00000000000fffff] reservedVolání e820 je volání přes přerušení INT 15h (snad už z dob 8086). Je to doslova 16bit hodnota v registru AX. Implementuje ho i coreboot/libreboot (OT: a byl dost opruz udělat tu mapu správně pro "novej" stroj
).
20.6.2016 23:22
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
IOMMU je akorát bloček, co má vstup adresy, nějakou funkci a výstup adresy.Mnohem komplikovanejsi. Kvuli virtualizaci se zacali pouziva dve urovne prekladu, vse probiha asynchronne a parallelne ve frontach, podporuji se vnorene a vicenasobne pametove prostory, podpora protokolu, takze se treba zablokuje cely PCI transfer na pocatku, periferie se mohou pripadne zotavit. IOMMU mi prijdou komplikovanejsi nez MMU.
. Ale zajímalo by mě, jak se provádí "page walking".
21.6.2016 00:25
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Ale zajímalo by mě, jak se provádí "page walking".Page-walk? To souvisi s DMAR (DMA Remapping) pro zarizeni nepodporujici long adresy nebo u virtualizace. Pokud dojde ke cache miss u IO TLB, musi se sahnout do hlavni pameti a projit struktury mapujici DMAR stranky, coz se IMHO naziva page-walk. Jak jsem zminoval nahore, cache miss u IO TLB prinasi overhead.
21.6.2016 00:26
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Pripadá mi to ako keby chcelo FSF decentne zamiesť pod koberec niečo iné.A pak kdo tu je na konspirační teorie
13.6.2016 22:33
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
... se tomu špehování prý dá bránit samostatnejma síťovkama na PCI[teoretický backdoor] Ten řadič by měl bejt schopnej ovládat i hlavní x86 procesor (zvlášť když je teďka integrovanej). Je teoreticky možný aby buď vyvolat SMI (a spustit třeba šifrovanej blob z biosu, vlastní firmware má šifrovanej) nebo poslat code injection v cyklech sběrnice. Kód pro nejobvyklejší OS si pak může posílat cokoliv po normálním OS driveru. [/teoretický backdoor] Jinak PCI slot je irelevantní, za ~1kKč si můžeš koupit redukci z PCIe na PCI. V čipsetech už někde od prvních PCIe desek bude ten adaptér v čipsetu. PCIe je totiž jen serializovanej PCI (zjednodušeno).
.
14.6.2016 08:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
15.6.2016 02:13
k3dAR | skóre: 63
13.6.2016 12:46
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Je to na úrovni ME/AMT?Ano. Včetně wifiny. (K "dokonalosti" už schází jen podpora 3/4G.)
13.6.2016 14:09
Tomáš Bžatek | skóre: 29
| Brno
FYI, ME neni obsazeny ve vsech chipsetech, nizsi rady typu H110, B150 a Q150 prave ME nemaji. Stejne tak ne vsechny sitovky maji podporu ME - je to suffix V vs. LM v modelovem oznaceni (napr. i219-LM).
Uvedeny blogpost je rant, nicmene je dobre, ze zvysuje povedomi nebezpecnosti teto technologie.
