Portál AbcLinuxu, 27. července 2025 07:25
21.3.2015 15:59
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Zkurvený Micro$hitSpíš výrobci počítačů, ne? MS bych vinil kdyby tam bylo napsáno, že to nesmí jít vypnout (jako je to u Windows Mobile), nikoli že je mu to jedno.
že to nesmí jít vypnout (jako je to u Windows Mobile),... to be continued... ?
21.3.2015 12:31
mikirc | skóre: 19
| blog: MikiSoft
| Vsetín
21.3.2015 19:53
the.max | skóre: 46
| blog: Smetiště
21.3.2015 14:59
Rezza | skóre: 25
| blog: rezza
| Brno
21.3.2015 16:01
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Dokud budou bez reci podepisovatTakže teď ti podepíšou třeba GRUB, který ti umožní spustit cokoli dalšího? Nebo kernel s podporou kexec libovolného kódu? Jaký pak má celá ta šaškárna smysl?
Takže teď ti podepíšou třeba GRUB, který ti umožní spustit cokoli dalšího?Nepodepíšou. AFAIK se podepsat smí jenom to, co zajistí, že nepůjde spustit nepodepsaný kód. Tj. GRUB nevyhovuje a Linux s povoleným kexec taky ne.
). BTW kompilace vlastních kernel driverů taky může modifikovat paměť.
21.3.2015 20:41
Rezza | skóre: 25
| blog: rezza
| Brno
22.3.2015 00:06
pavlix | skóre: 54
| blog: pavlix
24.3.2015 14:35
Rezza | skóre: 25
| blog: rezza
| Brno
So don't expect to see blacklists roll out for it until somebody ships the UEK kernel as part of their exploit.
To zní jako návod… Automaticky se mi vybavuje ta scéna z Obecné školy, jak Hnízdo (Tříska) říká "Já bych to do školního rozhlasu neříkal."
21.3.2015 12:57
M!ky8 | skóre: 9
| blog: Miky8
Co vlastně ono logo přinese výrobci HW kromě marketingových výhod?
22.3.2015 18:50
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
21.3.2015 13:31
xkucf03 | skóre: 49
| blog: xkucf03
21.3.2015 16:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
21.3.2015 17:25
xkucf03 | skóre: 49
| blog: xkucf03
Ale jak z toho ven? IMHO jsou dvě základní cesty:
Přičemž oboje může probíhat současně, bojovat na dvou frontách a časem se to někde sejde. Notebook s RYF nálepkou je příklad té první cesty – znamená posun o kus k lepšímu.
Případně jsou další možnosti:
21.3.2015 18:01
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Případně ovládnout policejní, armádní a vládní počítače nebo počítače zaměstnanců, kteří pracují v těch továrnách na HWNepomůže. Například bylo odhaleno, že Sony instaluje do počítačů zákazníků backdoory, že Samsung instaluje zákazníkům do mobilů backdoory a pak spousta věcí které se mi nevejdou do komentáře. A vůbec nic se nezměnilo.
Já se přiznám že si nedokážu ani představit, jak by měl auditable open design vlastně vypadat. Obzvláště od té doby co jsem četl Stealthy Dopant-Level Hardware Trojans.Ten problém je, že ani specifikaci toho HW nejde verifikovat nebo nejde verifikovat až fyzický kus toho HW?
21.3.2015 18:18
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pokud je možné bezpečnost specifikovat, tak by se program mohl dodávat s důkazem, že je bezpečný.Ano, to jsem myslel tím bezpečným SW.
Ten problém je, že ani specifikaci toho HW nejde verifikovat nebo nejde verifikovat až fyzický kus toho HW?Specifikaci by mělo jít, ale vyrobený kus právě těžko.
Specifikaci by mělo jít, ale vyrobený kus právě těžko.To by pak člověk musel mít nějaké důvěryhodné zařízení, které by mu ten HW vyrobilo podle specifikace
21.3.2015 20:23
xkucf03 | skóre: 49
| blog: xkucf03
Specifikaci by mělo jít, ale vyrobený kus právě těžko.
IMHO se to dost blíží softwaru. Specifikace HW ~ zdrojový kód softwaru napsaný někým třetím. Výroba HW ~ distribuce softwaru.
Distributor SW ti taky kompiluje binární balíčky a ty mu většinou prostě věříš a dekompiluje se to taky špatně. Máš ale zajištěnou bezpečnou cestu mezi distributorem a tebou – pomocí elektronického podpisu. Totéž bychom potřebovali pro HW – různé zapečetěné obaly, krabice, u kterých se po otevření nenávratně změní stav, takže je poznat, že s tím někdo manipuloval. Nebo aspoň znát přesnou hmotnost výrobku → poznáš, že tam někdo přidal nějaký čip navíc, třeba HW keylogger (aby zachoval původní hmotnost, tak by zase musel odbrousit třeba kus plastu, což by bylo poznat). Pokud by jen přehrál firmware, mohl by sis po obdržení HW nahrát vlastní stažený přímo od výrobce a elektronicky podepsaný.
Kdyby někdo vyráběl Arduina nebo RPi s backdoorem, tak je to podobné, jako když někdo začne dělat distribuci a bude dodávat binárky Firefoxu, LibreOffice a dalších programů s malwarem.
Totéž bychom potřebovali pro HW – různé zapečetěné obaly, krabice, u kterých se po otevření nenávratně změní stav, takže je poznat, že s tím někdo manipuloval.To by byl zajímavej projekt na komunitní financování. Akorát v případě distribuce do USA (apod.) by ti brzo na dveře zaklepali zástupci třípísmenkových agentur s neodmítnutelnou nabídkou.
21.3.2015 22:35
xkucf03 | skóre: 49
| blog: xkucf03
V podstatě by to mohla být krabice protkaná dráty + napojený jednočip s displejem, na kterém by se zobrazovalo generované číslo (každých třeba deset minut jiné) a ty by sis ho mohl zkontrolovat proti nějaké službě odesílatele (nebo proti offline algoritmu a klíči). Při přerušení/zkratování drátů by ten jednočip vymazal paměť a nezobrazoval nic nebo čas, kdy k incidentu došlo.
.
21.3.2015 20:56
Jendа | skóre: 78
| blog: Jenda
| JO70FB
22.3.2015 09:01
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
22.3.2015 10:15
pavlix | skóre: 54
| blog: pavlix
22.3.2015 11:37
Jendа | skóre: 78
| blog: Jenda
| JO70FB
22.3.2015 14:23
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Udělat opravdu bezpečný software je strašně složité, ale alespoň tuším, jak by se taková věc dělala.Pokud je možné bezpečnost specifikovat, tak by se program mohl dodávat s důkazem, že je bezpečný.
).
21.3.2015 18:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Případně ovládnout policejní, armádní a vládní počítače nebo počítače zaměstnanců, kteří pracují v těch továrnách na HW… protože oni mají taky často procesor od Intelu. Je otázka, kolik lidí na to má schopnosti a žaludek…To může být obecně těžké provided that signed payload is used. (ten blábol cituju snad nejčastěji ze všech věcí co jsem kdy napsal :)
.
21.3.2015 16:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Mizerne displeje, jeste horsi klavesniceMeh, same nedulezite kraviny. Dulezite je prece, ze je o 24% tenci! Jo a tady ti Apple engineer vysvetli jak se dnes delaj laptopy
22.3.2015 17:31
Jendа | skóre: 78
| blog: Jenda
| JO70FB
21.3.2015 16:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jak se uz nekolikrat u opensource projektu ukazalo, pokazde se najde dost financne silna cilova skupina schopna zaplatit vyrobu a vyvoj opensource HWTo mi právě moc nepřijde… O jaké projekty třeba šlo?
21.3.2015 16:32
Pavel 'TIGER' Růžička | skóre: 54
Ale to je právě ta největší hrozba pro "hobbyisty" - velmi reálně si dovedu představit situaci, kdy existuje vyvolená sada distribucí (RHEL/Centos, Ubuntu, Debian), kterým bude bootování povoleno, ale jen pokud mají podepsaný kernel, který neumožní spouštět nepodepsané moduly. To nevadí v 98% komerčního nasazení linuxu. My, kteří si kompilujeme vlastní kernely, prostě ostrouháme (najdeme si jiný HW).
A nevěřím v žádné "Red Hat / SuSE / Canonical / FSF to nedovolí" - pokud půjde o rozhodnutí mezi nedodáváním produktu zákazníkům (krach) nebo zklapnutí a pokračování v pochodu, je volba pro firmy jasná. A nemyslím, že prostředníček od Linuse tentokrát zabere.
22.3.2015 09:15
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
22.3.2015 11:35
Rezza | skóre: 25
| blog: rezza
| Brno
Řezza asi myslel secure boot skutečně jen jako technologii - v tom případě by sis mohl v BIOSu nahrát vlastní seznam klíčů a zahodit ty od MS (jak to umí většina x86 základek dneska), pak by ani podepsaný rootkit neuspěl. Na druhou stranu ochrana před NSA/KGB/.. to není, výrobce HW tam vždy může mít tajně schované výjimky pro tyto agentury, aniž by o tom uživatel či dokonce MS tušil.
V důsledku to pak ochrání možná před spolubydlícím, který by mi mohl chtít vecpat svůj kernel / initramfs, ale už ne před "autoritami". Stejně jako "zamknutí" bootu, jak to uměly starší Thinkpady. Stejně jako HW šifrování v některých dražších HDD.
21.3.2015 17:11
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
21.3.2015 18:06
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
21.3.2015 18:18
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
. Teď už jen aby zakázali vlastní klíče a přikázali secureboot a linux bude vydán na milost a nemilost několika bitů (klíče) vydávaných v MS.
.
.
2. Hmm možná, ale až za hodně dlouho a cenově o řád víc (navíc ještě nezačli ani distribuci). Jinak samozřejmě tyhle věci (čipy) je nejlepší kupovat přes společný projekt (asi jako openmoko), kde se koupí třeba tisíc kusů a dostaneš superslevu.
3. Čím víc, tím líp . Na fast-single-thread náročné aplikace to ale nebude.
4. Koukal jsem se do seznamu zařízení a snad by to už mohlo mít pár host PCIe linek (ale blbě se v tom orientuje). Ostatní rozhraní budou tipuju +- stejné jako obvyklý ARM SoC, zbytek si napíšeš .
.
4. Představ si jak by Linux používali lidi, co neumí programovat kernel kód .
že mě bude možná šmírovat FSB je mi mnohem méně proti srstiTo souvisí s politickou orientací. Proč by člověka s tvými názory měla FSB šmírovat? Aby ti udělila vyznamenání?
) a prej, že to nešlo, protože jednak ten interface není kompatibilní a jednak, že to jejich řešení má vyšší rychlost (už nevím přesně co, ale tipoval bych, že místo 64bit sběrnice použili dvě 32bity pro nezávislé paralelní přístupy).
. Ale reálná cena sériové nebo amatérské výroby je často o řád nižší.
21.3.2015 18:24
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
21.3.2015 19:12
Rezza | skóre: 25
| blog: rezza
| Brno
Jako zpráva hezký ale trotl každý kdo se k tomu vyjadřuje s nějakými závěry, když je to jen nepodložený článek, bez oficiálního vyjádření a navíc když W10 ještě ani nevyšlo.
admin: Odstraněno formátování.
22.3.2015 10:17
pavlix | skóre: 54
| blog: pavlix
22.3.2015 13:57
pavlix | skóre: 54
| blog: pavlix
22.3.2015 13:51
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
22.3.2015 10:47
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
23.3.2015 15:10
Gilhad | skóre: 20
| blog: gilhadoviny
22.3.2015 12:16
paul2no | skóre: 16
| blog: Paulovo doupě
| Praha
.
22.3.2015 21:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pořád může kontaktovat podporu výrobce a když nebude ani s vyjádřením spokojen, prostě to kupovat nebude.Doporučil bych ti tento postup někdy vyzkoušet třeba u mobilních telefonů nebo tiskáren a DRM. Pak nám můžeš napsat co ti výrobce řekl :).
23.3.2015 01:35
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Telefon mám stále Nokia E51 a Android nechciNo a? DRM není žádná novinka, má ho i Siemens S6 z roku 1998.
Tiskárnu bych koupil od Brotheru kompatibilní s Linuxem a DRM neřeším, protože mi nevadí.A mně zase jo.
Než něco koupím pořádně si to ověřím dle recenzí které si umím snad vyhodnotit, jestli jsou to opravdové recenze nebo zaplacené výrobcem.Ještě jsem neviděl recenzi na mobil nebo tiskárnu kde by psali o přítomnosti či absenci DRM. Navíc k tomu aby se to zjistilo si to musí ten první chudák koupit. A taky to že najdeš recenzi na nějaký model vůbec nic neznamená, výrobce klidně vymění vnitřnosti nebo alespoň firmware a prodává to pod stejným označením dál.
22.3.2015 12:52
Jendа | skóre: 78
| blog: Jenda
| JO70FB
29.3.2015 00:32
the.max | skóre: 46
| blog: Smetiště
29.3.2015 00:38
Fluttershy, yay! | skóre: 93
| blog:
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
21.3.2015 13:40
21.3.2015 15:07
21.3.2015 14:07