forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Редакция смартфона PinePhone с postmarketOS доступна для заказа, opennews (??), 16-Июл-20, (0) [смотреть все]

Проблемы с доставкой в Россию и в Индию из-за шифрования, Аноним (1), 22:07 , 16-Июл-20, (1) +7 //

Можешь раскрыть Мне в техподдержке так и не объяснили почему , Аноним (2), 22:09 , 16-Июл-20, (2) +1 //

Пользуешся челночным сервисом, делов то При уплате смешной суммы тебе через гра, потому (?), 22:30 , 16-Июл-20, (4) +1 //

какие есть такие фирмы по доставке, достойные доверия , JL2001 (ok), 22:45 , 16-Июл-20, (9)

Грабр, например - проверено работает , Аноним (11), 22:55 , 16-Июл-20, (11) +4

Ну вот как добавят оплату хоть чем-нибудь кроме дебильного PayPal, так сразу и к, Забаньте_меня (?), 21:08 , 28-Июл-20, (122)

Подумаешь что не тот, а если и тот то побитый и хер вернёшь, КО (?), 06:48 , 17-Июл-20, (44) –1

обычно за пару баксов сверху тебе сделают фотки , перевозчик (?), 12:12 , 17-Июл-20, (75)

зачем тебе фотки побритого хера , Аноним (83), 16:59 , 17-Июл-20, (83) +1

перевезут в том же месте как и фамильные золотые часы , Аноним (55), 08:48 , 17-Июл-20, (55)

Переехать самому самый лучший вариант , Аноним (83), 09:15 , 17-Июл-20, (56) +3
Если провозить будет симпатичная девушка, то почему нет , Аноним (73), 11:51 , 17-Июл-20, (73)
нeт, все включая пограничников, фсб и транспортников будут охотиться за нонeймов, перевозчик (?), 12:14 , 17-Июл-20, (76) +1

Как грится, есть люди большие и маленькие А полковник Кольт W W академик DJB сд, Аноним (95), 18:26 , 17-Июл-20, (95)

Редакция смартфона PinePhone с postmarketOS доступен для зак..., Аноним (5), 22:31 , 16-Июл-20, (5) +3 //

Непонятно только это они перестраховываются или у них лично уже был опыт взаим, Аноним (12), 22:58 , 16-Июл-20, (12) +2

Все смартфоны имеют функцию шифрования , Аноним (26), 23:57 , 16-Июл-20, (26)

И что Вопрос был в том, почему с их стороны отказ высылать, а не почему у нас , Аноним (39), 05:07 , 17-Июл-20, (39) +1

Перестраховываются Точно так же, ноуты Lenovo с TPM не продаются в РФ Но я лет, Takishima (ok), 14:37 , 17-Июл-20, (81)

А сейчас встроенные реализации TPM практически во всех современных ПК И ничего,, Darkhon (?), 17:53 , 17-Июл-20, (86) +1

но ведь там нет хардварного шифрования искаропки, а только тот же набор что и на, Аноним (15), 23:14 , 16-Июл-20, (15) +7 //

Таможня имеет право попросить предъявить т н нотификацию на товар, имеющий функ, n80 (?), 00:17 , 17-Июл-20, (28) +3 //

Это для юрлиц Если тебе по почте приходит домой, то не нужно , Takishima (ok), 14:38 , 17-Июл-20, (82)

Поясните, в честь чего такой законодательно-исполнительный ажиотаж вокруг аппара, Аноним (30), 01:00 , 17-Июл-20, (30) +2 //

репрессивное законодательство на тему шифрования в принципе растет ушами из 20 в, Аноним (-), 03:48 , 17-Июл-20, (36) +4

Какая наивность в Штатах именно это сейчас и пытаются сделать Запретить не , Аноним (30), 07:33 , 17-Июл-20, (49) +5

Да зачем в FPGA В обычном софте Но там видите ли шифрование на уровне протокол, Аноним (95), 18:25 , 17-Июл-20, (94)

А если заказывать без предустановленной ОС просто как кусок железа , ним (?), 23:15 , 16-Июл-20, (16) +1 //

То и доедет кусок железа, прожаренный в микроволновке , Аноним (30), 07:35 , 17-Июл-20, (50) //

Что за гестапо такое прикольное До такого авангарда вроде даже тюремщики еще не, Аноним (-), 18:38 , 17-Июл-20, (98)

В Белоруссию и в Россию последнюю партию тупо нельзя было заказать с сайта, очен, Аноним (43), 06:26 , 17-Июл-20, (43) +2 //

Я заказывал весной девелоперскую версию, они тянули-тянули, потом написали на са, Takishima (ok), 14:30 , 17-Июл-20, (80) +1 //

Ты правда не понимаешь или прикидываешься , Аноним (83), 17:00 , 17-Июл-20, (84) –2
Вообще, у авиаторов есть запрет на перевозку LiIon Некоторые отменили, некоторы, Аноним (95), 18:30 , 17-Июл-20, (96)

Скрыто модератором, ann (??), 23:27 , 17-Июл-20, (104) –3 //

Скрыто модератором, Чел из Белоруссии (?), 07:38 , 18-Июл-20, (109) +1

UPDATE в Белоруссию теперь можно заказать через DHL Цена доставки - 60 евро Н, Аноним (108), 07:32 , 18-Июл-20, (108)

Что за бред Что-то не видел фсбшников на таможне проверяющих шифрование Ну не п, раопо (?), 10:46 , 17-Июл-20, (65) //

На таможне работают - таможенники И им незачем проверять Им достаточно сверя, Аноним (120), 14:37 , 20-Июл-20, (120)

Забавно, потому что необходимость иметь нотификацию на девайс уже пару лет как о, Аноним (66), 10:53 , 17-Июл-20, (66) +2
нужно доставлять только телефон без софта, а софт скачивать в Интернете, DmA (??), 14:27 , 17-Июл-20, (79)

Но ведь это неправда, в частности для PinePhone ядро на основе наработок проекта, Аноним (5), 22:21 , 16-Июл-20, (3) +2
Продукция бэкдорщиков не нужна , Аноним (30), 22:33 , 16-Июл-20, (6) –1 //

Глупые бакланы не нужны Для этих процыков народ запилил в майнлайне поддержку, , Аноним (-), 23:37 , 16-Июл-20, (18) +7 //

Кто чипы производит - тот их и контроллирует Исключений нет И нет ни одной при, Аноним (30), 00:51 , 17-Июл-20, (29) //

Одноклеточным может и невдомек, но в этом мире не все так просто как вы вообрази, Аноним (-), 01:22 , 17-Июл-20, (32) –2

а совсем небольшой trust zone, части спецификации arm, у них, ну конечно же - , Аноним (48), 07:30 , 17-Июл-20, (48) +2

Для совсем небольшого trust zone народ - вы только подумайте - портанул референс, Аноним (-), 18:36 , 17-Июл-20, (97)

Даже в очень популярном СПО, где тысячи глаз , уязвимости висят годами и всем, , Аноним (30), 08:10 , 17-Июл-20, (53) +1

Ну, собственно, если у вас есть какие-то рецепты лучше - вы вашем праве использо, Аноним (-), 18:59 , 17-Июл-20, (99) +1

Не тратить жизнь на бесполезную ерунду, не так это - не ты Это те чуваки, и н, Аноним (121), 14:45 , 20-Июл-20, (121)

Телефонов на RISC-V у нас пока нет Но я думаю, как наладить производство , Аноним (83), 04:50 , 17-Июл-20, (37) +4

Я правильно понимаю что андроид приложения на нем не заведутся , Аноним (7), 22:44 , 16-Июл-20, (7) +1 //

Для них вы можете купить что угодно в ближайшем ларьке , Аноним (-), 23:38 , 16-Июл-20, (19) +5
работы ведуться - https www opennet ru opennews art shtml num 53381, alex312 (?), 02:04 , 17-Июл-20, (33) +1
Ну и наxера тебе тогда его покупать, если тебе ведроидные приложения хочется Ку, Аноним (69), 11:09 , 17-Июл-20, (69) +3

Вообще круто, но все уже привыкли андроидным приложениям, Аноним (8), 22:44 , 16-Июл-20, (8) –2 //

Для тех кому хватает Андроида на рынке присутсвует огромное количество смартфоно, A.Stahl (ok), 23:11 , 16-Июл-20, (13) +5 //

а тебе типа не хватает и есть острое желание ненужные на смартфоне вещи крутить , раопо (?), 10:54 , 17-Июл-20, (67) //

Ну вот я и хочу иметь на телефоне ОС общего назначения без каких-то искусственны, A.Stahl (ok), 11:10 , 17-Июл-20, (70) +1
Андроидные приложения и есть гугло- и прочие зонды, а то и откровенные бекдоры , Аноним (69), 11:13 , 17-Июл-20, (71) +3

lineage f-droid не, не слышал, Аноним (108), 12:06 , 18-Июл-20, (113)

Слышал, но предпочту нормальные линуксные программы вместо угробищ на яве , Аноним (-), 05:57 , 20-Июл-20, (119)

А я вот типа хочу себе карманный компьютер Который будет моим цифровым помощник, Аноним (95), 18:22 , 17-Июл-20, (93) +3

Это у тебя на компе честный софит ну ну, как скажеш Хорошо когда овцы спокойн, microsoft (?), 22:10 , 17-Июл-20, (103) +1

Нормальный Я умею клепать себе системы И худо-бедно тестировать и валидировать, Аноним (106), 07:06 , 18-Июл-20, (106)

Вот не надо тут за всех Я не собираюсь привыкать к тормозному и ресурсожоркому , Аноним (20), 23:40 , 16-Июл-20, (20) +2 //

О, а вот и Свидетелей Андроидокaпeца подвезли Вeндoкaпeц уже дождались, болезны, Аноним (68), 11:01 , 17-Июл-20, (68) //

Не только дождался, но и активно заимплементил у меня уже 10 лет как не остало, Аноним (-), 18:20 , 17-Июл-20, (92) +3

Буквально сегодня смотрел обзор https www youtube com watch v lFELJ3E_-G4, зан, Аноним (11), 22:49 , 16-Июл-20, (10) +4
как оно в сравнении с 1 5 землекопами на убунту тач Визуально бунта выглядит гор, Аноним (15), 23:12 , 16-Июл-20, (14) +2
Магаз упал Ажиотаж Всем не хватит аааа Хватай кто успеет , ним (?), 23:23 , 16-Июл-20, (17) +1 //

Ээээ, вы мне чего-нибудь оставьте , Аноним (20), 23:41 , 16-Июл-20, (21)

Анон Ты заказал себе Пинфон , Аноним (22), 23:43 , 16-Июл-20, (22) +1 //

Я бы заказал, если бы у него дизайн был более надёжный Айфоноподобные устройств, Корец (?), 23:55 , 16-Июл-20, (24) //

Про айфоноподобные не скажу А вот сам айфон раз пять падал на асфальты, бетонные, iPony129412 (?), 07:30 , 17-Июл-20, (47) //

Ещё раз, что бы не было недопонимания моему Nokia 7 plus хватило одного падения, Корец (?), 09:51 , 17-Июл-20, (61) –1

Редакция смартфона PinePhone с postmarketOS доступна для зак..., iPony129412 (?), 09:58 , 17-Июл-20, (62)
Вон же написаноhttps xnux eu devices feature anx7688 htmlВсякие хардварные баг, iPony129412 (?), 10:25 , 17-Июл-20, (63) +1

Извините, я юзаю только самсунги , Аноним (30), 01:01 , 17-Июл-20, (31)

На этом камушке хорошо жарить яичницуА надо было ставить как на Теслу, Аноним (34), 02:04 , 17-Июл-20, (34) //

Ну так удачи сделать лучше и за те же деньги И снимать ералаш про часы 2 0 , Аноним (-), 03:28 , 17-Июл-20, (35) +3

Я для себя нашел 6 шесть штук телефонов для гиков Уникальный список, только зде, Аноним (83), 04:55 , 17-Июл-20, (38) +2 //

Можно поподробнее Почему параша, вроде он во всем выглядит лучше остальных кром, Аноним (40), 05:08 , 17-Июл-20, (40) +3 //

Потому что они позиционируются как открытый телефон, а сами используют закрытый , Аноним (83), 05:12 , 17-Июл-20, (41) +1 //

Интересно, а возможно ли процессор самому заменить на угодный вам , Аноним (30), 08:13 , 17-Июл-20, (54)

Это врядли - для этого вам придется напрочь переделать плату на которую он стави, Аноним (-), 07:27 , 18-Июл-20, (107)

Дай ссылку плиз , Аноним (83), 12:53 , 18-Июл-20, (115)

Ну нате https github com OLIMEX DIY-LAPTOP лаптопчик на A64 https githu, Аноним (116), 12:20 , 19-Июл-20, (116)

ARM это проприетарный RISC микропроцессор Есть один единственный производитель о, Аноним (83), 12:52 , 18-Июл-20, (114)

Уж лучше ши ф тфон от немцев , Аноним (83), 05:13 , 17-Июл-20, (42) //

А как насчет 1 Кто и насколько опен и какие фишки по части приватности в HW у, Аноним (46), 07:13 , 17-Июл-20, (46) +2

Я тебе що блогер чтобы статью обзор писать Ты мне заплатил чтобы я х всех заказ, Аноним (83), 09:24 , 17-Июл-20, (57) +2

Ого, аноним аноинму про наглость говорит Эпично , Аноним (-), 18:05 , 17-Июл-20, (87)

https www fairphone com en Уровень ремонтности 10 из 10https ru ifixit com T, iPony129412 (?), 07:35 , 17-Июл-20, (51) +1 //

Ненавижу всех этих леваков заботящихся об этичном производстве Я хочу чтобы тел, Аноним (83), 09:28 , 17-Июл-20, (58) –1 //

У меня есть клевая идея загнать тебя в грязную и пыльную шахту, без респиратора, Аноним (-), 18:09 , 17-Июл-20, (88)

Я не знаю как там у вас на айфонах, я на своём андроиде могу в любой момент поме, Аноним (83), 09:33 , 17-Июл-20, (59)
Перехожу по ссылке а там страшная рыжая баба Наверняка или лесбиянка или фемини, Аноним (83), 09:34 , 17-Июл-20, (60) –2 //

Так ты не на мамкину инсту переходи, а по ссылке, non (??), 12:05 , 17-Июл-20, (74) +2

Зачем мне посылка от твоей мамы , Аноним (83), 17:02 , 17-Июл-20, (85)

Да ладно тебе, даже в быдлафоне заменить батарею не особая проблема Ну да, отве, Аноним (-), 18:13 , 17-Июл-20, (89) –1
Зато дальше code Pulling off the shields reveals Qualcomm Snapdragon 632 SoC, Аноним (-), 19:07 , 17-Июл-20, (100) +2 //

А об этом речь не шала Да и ну это опенсорс - не самоцель же Не, не понял Вот , iPony129412 (?), 09:45 , 18-Июл-20, (111)

А в чем смысл отфонарные телефоны в этой новости постить Хардварных сайтов для , Аноним (117), 12:26 , 19-Июл-20, (117)

Интересна только модель SHIFTmu Т к только на ней обещается возможность устано, Аноним (69), 11:39 , 17-Июл-20, (72) +1 //

На сабж вполне реально втулить любой линух по вкусу - как максимум вам rootfs св, Аноним (-), 18:14 , 17-Июл-20, (90)

Тот момент когда выходишь на рынок уже с postmarketOS, Аноним (64), 10:30 , 17-Июл-20, (64) +1
А как там нажать Ctrl Alt Fx На линухе без этого невозможно, всегда ж что-то гл, Аноним (77), 13:28 , 17-Июл-20, (77) //

Прицепи клаву и жми Есть даже мелкие usb-клавы для планшетов всяких Ну, дене, Аноним (-), 18:16 , 17-Июл-20, (91)

В Россию доставляют телефон через FedEx DHL и другие не доставляют Проблема в к, Аноним (102), 21:19 , 17-Июл-20, (102) +4 //

Ничего себе Я как-то футболки Canonical заказывал Королевской авиа почтой - и т, iPony129412 (?), 09:34 , 18-Июл-20, (110)
У postmarketOS вроде есть своя DE на основе dwm, не должно лагать Оформил предза, Аноним (118), 22:36 , 19-Июл-20, (118)

Сообщения [Сортировка по времени | RSS]

18. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +7 +/–

Сообщение от Аноним (-), 16-Июл-20, 23:37

> Продукция бэкдорщиков не нужна.
Глупые бакланы не нужны. Для этих процыков народ запилил в майнлайне поддержку, без всяких бэкдоров. А юзать вендорский SDK от узкоглазых с инновационным ядром 4.4 (спасибо если не 3.19) и бэкдорами... нафиг нужно скажем дружно.

Ответить | Правка | Наверх | Cообщить модератору

29. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +/–

Сообщение от Аноним (30), 17-Июл-20, 00:51

Кто чипы производит - тот их и контроллирует. Исключений нет. И нет ни одной причины не внедрять бекдор, если по такой цене чипы с руками оторвут, будь в них хоть 100 бекдоров от 100 разных организаций - народу плевать на бекдоры, им демпинговые цены подавай. А ты продолжай себя утешать тем, что используешь сторонее ядро.

Ответить | Правка | Наверх | Cообщить модератору

32. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." –2 +/–

Сообщение от Аноним (-), 17-Июл-20, 01:22

> Кто чипы производит - тот их и контроллирует. Исключений нет.
Одноклеточным может и невдомек, но в этом мире не все так просто как вы вообразили. У этих чипов из вендорского кода только небольшой бутром, достаточно скромного размера чтобы его проанализировать. И кроме того - пнув "юзерский" загрузчик он навсегда отваливает в туман, отдав инициативу юзеровскому коду.
После этого остается наш код 1 на 1 с обычным ARMовским ядром и мелкий китаезный стартап не настолько крут чтобы там что-то патчить. Они и это и так еле склеили с кой-как налицензироваными блоками и койкак накорябали дрова левой пяткой - по другому узкоглазые не умеют. Те которые умеют лучше - в майнлайн комитят (rockchip, huawei). А там код до комитов видите ли еще и читают и откровенный фуфел все же не проходит.
> И нет ни одной причины не внедрять бекдор, если по такой цене чипы с руками оторвут
И как этот бэкдор выглядит, например? Я не верю в страшные бабушкини сказки, только в технически обоснованные аспекты.
Кроме того, есть еще следствия из halting problem, суть которых можно описать так: бэкдор не может предусмотреть все действия с чипом. Поэтому всегда возможны сценарии когда бэкдор не сможет нанести никакого урона, при всем на то обратном желании у атакующей стороны. Просто потому что обладатель чипа поюзал его как-то иначе чем предусмотрено.
> А ты продолжай себя утешать тем, что используешь сторонее ядро.
Я буду продолжать верить в рациональный подход к безопасности систем, а не абстрактные сказки.

Ответить | Правка | Наверх | Cообщить модератору

48. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +2 +/–

Сообщение от Аноним (48), 17-Июл-20, 07:30

> У этих чипов из вендорского кода только небольшой бутром
а совсем "небольшой" trust zone, части спецификации arm, у них, ну конечно же - нет?
> После этого остается наш код 1 на 1 с обычным ARMовским ядром и мелкий китаезный стартап не
> настолько крут чтобы там что-то патчить.
allwinner не мелкий, и уже купил спек. Все уже попатчено - только плати.
> Те которые умеют лучше - в майнлайн комитят (rockchip, huawei).
безобидные правки - комитят, чего самим-то каждый раз переделывать патч при stable api is nonsense.
Небезобидные или не ложащиеся в концепцию "порежьте помельче, переподайте с земным поклоном, а не поясным" - не комитят, все равно не примут да еще и ковырять начнут.
Ничего связанного с фуфлом про шва6одку, just a business.

Ответить | Правка | Наверх | Cообщить модератору

97. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +/–

Сообщение от Аноним (-), 17-Июл-20, 18:36

> а совсем "небольшой" trust zone, части спецификации arm, у них, ну конечно же - нет?
Для совсем небольшого trust zone народ - вы только подумайте - портанул референсный ATF. И теперь может запускать в trust zone _свое_ фирмваре собраное из опенсорсного референса. А вот так trustzone вполне себе секурити фича. Работающая на юзера. Ежели с юзеровским кодом то :)
> allwinner не мелкий,
Да ну ладно, довольно задрипаный китайский стартапчик. Достаточно посмотреть на железки которые они сами пытались разрабатывать - типа их cedrus'а. Там такой хардпорн что вообще удивительно что это как-то работает.
> и уже купил спек.
Спек на что? ARM ядра лицензирует, большинство периферии - IP блоки других фирм, типа всяких менторов, синопсисов и прочих.
> Все уже попатчено - только плати.
Максимум их потуг в патчении - кЕтайозный драйвер где вообще не понятно, специально там дыра или просто по укурке. Когда китайцы сами девелопают что-то - это дикий ужас, и вообще чудо что это работает :)

Ответить | Правка | Наверх | Cообщить модератору

53. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +1 +/–

Сообщение от Аноним (30), 17-Июл-20, 08:10

>У этих чипов из вендорского кода только небольшой бутром, достаточно скромного размера чтобы его проанализировать.
Даже в очень популярном СПО, где "тысячи глаз", уязвимости висят годами и всем, кроме специализированных фирм, продающих свою продукцию "эксклюзивно для law enforcement", на них пофиг.
Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь.
Также нет никакой гарантии, что это настоящий загрузчик, а не подделка для наивных.
Также нет никакой гарантии, что бэкдор именно в загрузчике, а не в микроархитектуре. Напр. нежелательный переход в конечном автомате.

>Кроме того, есть еще следствия из halting problem, суть которых можно описать так: бэкдор не может предусмотреть все действия с чипом. Поэтому всегда возможны сценарии когда бэкдор не сможет нанести никакого урона, при всем на то обратном желании у атакующей стороны. Просто потому что обладатель чипа поюзал его как-то иначе чем предусмотрено.
Если бэкдор предоставляет удаленный доступ, то к атаке можно подключить естественный интеллект общего назначения.
>рациональный подход к безопасности систем
включает в себя подбор поставщиков в соответствии с их кармой. У этой компании плохая карма.
>настолько крут чтобы там что-то патчить.
Мы ведь про allwinner говорим? Компания, сделанная на гос. деньги на базе гос. исследовательского института, стартапом не является. Более того, вы совершенное не понимаете, что такое КНР. Там нет независимых компаний. Все компании имеют одну задачу - работать на благо КНР. И для выполнения этой задачи государство может как приказывать компаниям изменить свою деятельность определённым образом, так и помогать им, напр. предоставлением разработок, не обязательно полученных законным путём, других компаний, не обязательно китайских и не обязательно сотрудничающих с КНР. Если ты работаешь в организации, в которой несколько совершенно разных команд, к тебя может вызвать начальник и сказать "У команды такой-то возникла нужда в интеграции нашей разработки такой-то, поручаю тебе пойти, разобраться и сделать то что они скажут". Организация не потеряет оттого, что один отдел другому бесплатно окажет услугу - даже если были бы замешаны деньги, то это просто перекладывание из одного кармана в другой. Рассматривайте КНР как одну большую централизованную органзацию, а компании - как отделы в ней, и всё встанет на свои места.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

99. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +1 +/–

Сообщение от Аноним (-), 17-Июл-20, 18:59

> всем, кроме специализированных фирм, продающих свою продукцию "эксклюзивно для law
> enforcement", на них пофиг.
Ну, собственно, если у вас есть какие-то рецепты лучше - вы вашем праве использовать именно это. Рецепт раздвинуть булки и насладиться блобами в ATF, незаменяемым кернелом, ведроидом сливающим пароль от точки доступа при первом включении и чем там еще - просьба не предлагать!
> Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь.
Ути-пути, расскажите это чувакам с linux-sunxi которые понакорябали прожек, понадампили ромов, понатравили на это дизасмы. На самом деле - для того чтобы протокол "empty flashing" расковырять, дабы уметь шить "пустые" железки пока на карте/нанде/spi еще нету загрузчика так что и грузиться типа неоткуда. А на такой случай есть режим когда тот ROM по нажатию кнопки попытается сконектиться по usb и поймать в RAM загрузчик по usb. И вот тот может попытаться раскочегарить и абсолютно пустую систему уже, инициализировав систему и поймав в RAM довески (kernel, ramdisk, ...). Ну и при этом неизбежно расковыряли струтуру рома и чего и нафига он делает.
Поразвелось блин ламерюг на опеннете, которые ни в чем не разбираются, но мнение имеют.
> Также нет никакой гарантии, что это настоящий загрузчик, а не подделка для наивных.
Процедура старта ARMовского ядра достаточно хорошо регламентирована для того чтобы знать что ищешь. Но для этого надо быть хоть немного в теме как это устроено и работает.
> Также нет никакой гарантии, что бэкдор именно в загрузчике, а не в
> микроархитектуре. Напр. нежелательный переход в конечном автомате.
Я думаю что этому узкоглазому стартапчику просто слабо запатчить армовское ядро. Особенно учитывая что первый же фэйл этсамого для них скорее всего станет и последним, у них денег достаточно лимитировано и они не могут себе позволить просто выкинуть еще миллион-другой на новые маски для чипов для лулзов, они перестанут существовать таким макаром. Это ж не интел где можно пару тим переключить на management engine и никто не заметит - там всего мизерная тима на все и вся, едва справляющаяся с тем чтобы фирма продолжила существование. В мире полном злобных и крутых конкурентов - клеить ARMы из готовых блоков сейчас много кто умеет.
> Если бэкдор предоставляет удаленный доступ, то к атаке можно подключить естественный
> интеллект общего назначения.
Знаете, даже при моей способности предложить довольно-таки generic бэкдор - я таки могу придумать сценарии когда он будет довольно бесполезен.
>>рациональный подход к безопасности систем
> включает в себя подбор поставщиков в соответствии с их кармой. У этой
> компании плохая карма.
Рациональный подход включает в себя осмысленный анализ угроз, а не какой-то абстрактный булшит на тему кармы.
> Мы ведь про allwinner говорим? Компания, сделанная на гос. деньги на базе
Вы их имхо с кем-то путаете. Уж не с лунгсоном ли случайно?
> гос. исследовательского института, стартапом не является.
Может быть, до того как умничать, хотя-бы вику, чтоли, почитать? https://en.wikipedia.org/wiki/Allwinner
... is a fabless semiconductor company that designs mixed-signal systems on a chip (SoC). The company is headquartered in Zhuhai, Guangdong, China. It has a sales and technical support office in Shenzhen, Guangdong, and logistics operations in Hong Kong.

И ни звука про институты. Какие к черту институты в мелком китайском стартапе?
> Более того, вы совершенное не понимаете, что такое КНР. Там нет независимых компаний.
> Все компании имеют одну задачу - работать на благо КНР.
КНРовское государство в отличие от совдепа понимает что бизнес - благо для государства. Потому что платит дохренища денег в бюджет.
> другой. Рассматривайте КНР как одну большую централизованную органзацию, а компании -
> как отделы в ней, и всё встанет на свои места.
Прикольная паранойя конечно, но, знаете, на мое мнение - амеровские фирмы так и пострашнее китайских. По намного более прозаичным и намного более реалистичным причинам: у них дофига операционных баблосов и избыток инженеров. Поэтому они в отличие от мелкого стартапа могут очень конкретно пострадать фигней без чрезмерного урона для текущей активности компании. И вот там примеры management engine и PSP очень даже есть. Да и даже и техасинструмент какой-нибудь дико переклинен на полубэкдорных околосекурити фичах, да настолько что в secure rom совсем не пускает - и вот у них, допустим, trustzone - "это вам нельзя". И вот так мы сразу видим what they are up to. Если в самом привилегированном режиме проца окопался какой-то незаменяемый ROM, а свой код совсем низя - вот это более чем подозрительно. И даже так - а приколитесь, даже это было задамплено однажды, и поломано. Легендарным в своем ремесле чуваком.

Ответить | Правка | Наверх | Cообщить модератору

121. "Редакция смартфона PinePhone с postmarketOS доступна для зак..." +/–

Сообщение от Аноним (121), 20-Июл-20, 14:45

> Ну, собственно, если у вас есть какие-то рецепты лучше
Не тратить жизнь на бесполезную ерунду, не?
>> Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь.
> Ути-пути, расскажите это чувакам с linux-sunxi
так это - не "ты". Это те чуваки, и неизвестно еще, на кого они (вместе все и каждый в отдельности) на самом деле работают. И насколько хорошо.
Так что все, чего ты добился - подменил одни блобы на другие, от правильных пацанов, "легендарных в своем ремесле", вот уж они-то точно не кинут, зуб дают!
А откуда у этих легендарных, кстати, нетиповые знания и нетиповые умения (и деньги/время все это получать, при том что оно явно не окупится легальным путем) - стоило бы задуматься.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	18. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+7 +/–
	Сообщение от Аноним (-), 16-Июл-20, 23:37
	> Продукция бэкдорщиков не нужна. Глупые бакланы не нужны. Для этих процыков народ запилил в майнлайне поддержку, без всяких бэкдоров. А юзать вендорский SDK от узкоглазых с инновационным ядром 4.4 (спасибо если не 3.19) и бэкдорами... нафиг нужно скажем дружно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+/–
	Сообщение от Аноним (30), 17-Июл-20, 00:51
	Кто чипы производит - тот их и контроллирует. Исключений нет. И нет ни одной причины не внедрять бекдор, если по такой цене чипы с руками оторвут, будь в них хоть 100 бекдоров от 100 разных организаций - народу плевать на бекдоры, им демпинговые цены подавай. А ты продолжай себя утешать тем, что используешь сторонее ядро.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	–2 +/–
	Сообщение от Аноним (-), 17-Июл-20, 01:22
	> Кто чипы производит - тот их и контроллирует. Исключений нет. Одноклеточным может и невдомек, но в этом мире не все так просто как вы вообразили. У этих чипов из вендорского кода только небольшой бутром, достаточно скромного размера чтобы его проанализировать. И кроме того - пнув "юзерский" загрузчик он навсегда отваливает в туман, отдав инициативу юзеровскому коду. После этого остается наш код 1 на 1 с обычным ARMовским ядром и мелкий китаезный стартап не настолько крут чтобы там что-то патчить. Они и это и так еле склеили с кой-как налицензироваными блоками и койкак накорябали дрова левой пяткой - по другому узкоглазые не умеют. Те которые умеют лучше - в майнлайн комитят (rockchip, huawei). А там код до комитов видите ли еще и читают и откровенный фуфел все же не проходит. > И нет ни одной причины не внедрять бекдор, если по такой цене чипы с руками оторвут И как этот бэкдор выглядит, например? Я не верю в страшные бабушкини сказки, только в технически обоснованные аспекты. Кроме того, есть еще следствия из halting problem, суть которых можно описать так: бэкдор не может предусмотреть все действия с чипом. Поэтому всегда возможны сценарии когда бэкдор не сможет нанести никакого урона, при всем на то обратном желании у атакующей стороны. Просто потому что обладатель чипа поюзал его как-то иначе чем предусмотрено. > А ты продолжай себя утешать тем, что используешь сторонее ядро. Я буду продолжать верить в рациональный подход к безопасности систем, а не абстрактные сказки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+2 +/–
	Сообщение от Аноним (48), 17-Июл-20, 07:30
	> У этих чипов из вендорского кода только небольшой бутром а совсем "небольшой" trust zone, части спецификации arm, у них, ну конечно же - нет? > После этого остается наш код 1 на 1 с обычным ARMовским ядром и мелкий китаезный стартап не > настолько крут чтобы там что-то патчить. allwinner не мелкий, и уже купил спек. Все уже попатчено - только плати. > Те которые умеют лучше - в майнлайн комитят (rockchip, huawei). безобидные правки - комитят, чего самим-то каждый раз переделывать патч при stable api is nonsense. Небезобидные или не ложащиеся в концепцию "порежьте помельче, переподайте с земным поклоном, а не поясным" - не комитят, все равно не примут да еще и ковырять начнут. Ничего связанного с фуфлом про шва6одку, just a business.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+/–
	Сообщение от Аноним (-), 17-Июл-20, 18:36
	> а совсем "небольшой" trust zone, части спецификации arm, у них, ну конечно же - нет? Для совсем небольшого trust zone народ - вы только подумайте - портанул референсный ATF. И теперь может запускать в trust zone _свое_ фирмваре собраное из опенсорсного референса. А вот так trustzone вполне себе секурити фича. Работающая на юзера. Ежели с юзеровским кодом то :) > allwinner не мелкий, Да ну ладно, довольно задрипаный китайский стартапчик. Достаточно посмотреть на железки которые они сами пытались разрабатывать - типа их cedrus'а. Там такой хардпорн что вообще удивительно что это как-то работает. > и уже купил спек. Спек на что? ARM ядра лицензирует, большинство периферии - IP блоки других фирм, типа всяких менторов, синопсисов и прочих. > Все уже попатчено - только плати. Максимум их потуг в патчении - кЕтайозный драйвер где вообще не понятно, специально там дыра или просто по укурке. Когда китайцы сами девелопают что-то - это дикий ужас, и вообще чудо что это работает :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+1 +/–
	Сообщение от Аноним (30), 17-Июл-20, 08:10
	>У этих чипов из вендорского кода только небольшой бутром, достаточно скромного размера чтобы его проанализировать. Даже в очень популярном СПО, где "тысячи глаз", уязвимости висят годами и всем, кроме специализированных фирм, продающих свою продукцию "эксклюзивно для law enforcement", на них пофиг. Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь. Также нет никакой гарантии, что это настоящий загрузчик, а не подделка для наивных. Также нет никакой гарантии, что бэкдор именно в загрузчике, а не в микроархитектуре. Напр. нежелательный переход в конечном автомате. >Кроме того, есть еще следствия из halting problem, суть которых можно описать так: бэкдор не может предусмотреть все действия с чипом. Поэтому всегда возможны сценарии когда бэкдор не сможет нанести никакого урона, при всем на то обратном желании у атакующей стороны. Просто потому что обладатель чипа поюзал его как-то иначе чем предусмотрено. Если бэкдор предоставляет удаленный доступ, то к атаке можно подключить естественный интеллект общего назначения. >рациональный подход к безопасности систем включает в себя подбор поставщиков в соответствии с их кармой. У этой компании плохая карма. >настолько крут чтобы там что-то патчить. Мы ведь про allwinner говорим? Компания, сделанная на гос. деньги на базе гос. исследовательского института, стартапом не является. Более того, вы совершенное не понимаете, что такое КНР. Там нет независимых компаний. Все компании имеют одну задачу - работать на благо КНР. И для выполнения этой задачи государство может как приказывать компаниям изменить свою деятельность определённым образом, так и помогать им, напр. предоставлением разработок, не обязательно полученных законным путём, других компаний, не обязательно китайских и не обязательно сотрудничающих с КНР. Если ты работаешь в организации, в которой несколько совершенно разных команд, к тебя может вызвать начальник и сказать "У команды такой-то возникла нужда в интеграции нашей разработки такой-то, поручаю тебе пойти, разобраться и сделать то что они скажут". Организация не потеряет оттого, что один отдел другому бесплатно окажет услугу - даже если были бы замешаны деньги, то это просто перекладывание из одного кармана в другой. Рассматривайте КНР как одну большую централизованную органзацию, а компании - как отделы в ней, и всё встанет на свои места.
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору


	99. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+1 +/–
	Сообщение от Аноним (-), 17-Июл-20, 18:59
	> всем, кроме специализированных фирм, продающих свою продукцию "эксклюзивно для law > enforcement", на них пофиг. Ну, собственно, если у вас есть какие-то рецепты лучше - вы вашем праве использовать именно это. Рецепт раздвинуть булки и насладиться блобами в ATF, незаменяемым кернелом, ведроидом сливающим пароль от точки доступа при первом включении и чем там еще - просьба не предлагать! > Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь. Ути-пути, расскажите это чувакам с linux-sunxi которые понакорябали прожек, понадампили ромов, понатравили на это дизасмы. На самом деле - для того чтобы протокол "empty flashing" расковырять, дабы уметь шить "пустые" железки пока на карте/нанде/spi еще нету загрузчика так что и грузиться типа неоткуда. А на такой случай есть режим когда тот ROM по нажатию кнопки попытается сконектиться по usb и поймать в RAM загрузчик по usb. И вот тот может попытаться раскочегарить и абсолютно пустую систему уже, инициализировав систему и поймав в RAM довески (kernel, ramdisk, ...). Ну и при этом неизбежно расковыряли струтуру рома и чего и нафига он делает. Поразвелось блин ламерюг на опеннете, которые ни в чем не разбираются, но мнение имеют. > Также нет никакой гарантии, что это настоящий загрузчик, а не подделка для наивных. Процедура старта ARMовского ядра достаточно хорошо регламентирована для того чтобы знать что ищешь. Но для этого надо быть хоть немного в теме как это устроено и работает. > Также нет никакой гарантии, что бэкдор именно в загрузчике, а не в > микроархитектуре. Напр. нежелательный переход в конечном автомате. Я думаю что этому узкоглазому стартапчику просто слабо запатчить армовское ядро. Особенно учитывая что первый же фэйл этсамого для них скорее всего станет и последним, у них денег достаточно лимитировано и они не могут себе позволить просто выкинуть еще миллион-другой на новые маски для чипов для лулзов, они перестанут существовать таким макаром. Это ж не интел где можно пару тим переключить на management engine и никто не заметит - там всего мизерная тима на все и вся, едва справляющаяся с тем чтобы фирма продолжила существование. В мире полном злобных и крутых конкурентов - клеить ARMы из готовых блоков сейчас много кто умеет. > Если бэкдор предоставляет удаленный доступ, то к атаке можно подключить естественный > интеллект общего назначения. Знаете, даже при моей способности предложить довольно-таки generic бэкдор - я таки могу придумать сценарии когда он будет довольно бесполезен. >>рациональный подход к безопасности систем > включает в себя подбор поставщиков в соответствии с их кармой. У этой > компании плохая карма. Рациональный подход включает в себя осмысленный анализ угроз, а не какой-то абстрактный булшит на тему кармы. > Мы ведь про allwinner говорим? Компания, сделанная на гос. деньги на базе Вы их имхо с кем-то путаете. Уж не с лунгсоном ли случайно? > гос. исследовательского института, стартапом не является. Может быть, до того как умничать, хотя-бы вику, чтоли, почитать? https://en.wikipedia.org/wiki/Allwinner ... is a fabless semiconductor company that designs mixed-signal systems on a chip (SoC). The company is headquartered in Zhuhai, Guangdong, China. It has a sales and technical support office in Shenzhen, Guangdong, and logistics operations in Hong Kong. И ни звука про институты. Какие к черту институты в мелком китайском стартапе? > Более того, вы совершенное не понимаете, что такое КНР. Там нет независимых компаний. > Все компании имеют одну задачу - работать на благо КНР. КНРовское государство в отличие от совдепа понимает что бизнес - благо для государства. Потому что платит дохренища денег в бюджет. > другой. Рассматривайте КНР как одну большую централизованную органзацию, а компании - > как отделы в ней, и всё встанет на свои места. Прикольная паранойя конечно, но, знаете, на мое мнение - амеровские фирмы так и пострашнее китайских. По намного более прозаичным и намного более реалистичным причинам: у них дофига операционных баблосов и избыток инженеров. Поэтому они в отличие от мелкого стартапа могут очень конкретно пострадать фигней без чрезмерного урона для текущей активности компании. И вот там примеры management engine и PSP очень даже есть. Да и даже и техасинструмент какой-нибудь дико переклинен на полубэкдорных околосекурити фичах, да настолько что в secure rom совсем не пускает - и вот у них, допустим, trustzone - "это вам нельзя". И вот так мы сразу видим what they are up to. Если в самом привилегированном режиме проца окопался какой-то незаменяемый ROM, а свой код совсем низя - вот это более чем подозрительно. И даже так - а приколитесь, даже это было задамплено однажды, и поломано. Легендарным в своем ремесле чуваком.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	121. "Редакция смартфона PinePhone с postmarketOS доступна для зак..."	+/–
	Сообщение от Аноним (121), 20-Июл-20, 14:45
	> Ну, собственно, если у вас есть какие-то рецепты лучше Не тратить жизнь на бесполезную ерунду, не? >> Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь. > Ути-пути, расскажите это чувакам с linux-sunxi так это - не "ты". Это те чуваки, и неизвестно еще, на кого они (вместе все и каждый в отдельности) на самом деле работают. И насколько хорошо. Так что все, чего ты добился - подменил одни блобы на другие, от правильных пацанов, "легендарных в своем ремесле", вот уж они-то точно не кинут, зуб дают! А откуда у этих легендарных, кстати, нетиповые знания и нетиповые умения (и деньги/время все это получать, при том что оно явно не окупится легальным путем) - стоило бы задуматься.
	Ответить \| Правка \| Наверх \| Cообщить модератору