| 1.2, YetAnotherOnanym (ok), 11:26, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
 Как страшно жЫть!
Я как-то раньше был уверен, что при DMA устройство имеет доступ только к строго ограниченному диапазону памяти. Кажется, я что-то важное пропустил...
| | |
| |
| 2.10, Аноним (-), 12:33, 08/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Доступ-то имеет в любой памяти, просто при нормальном использовании DMA с устройством сначала договариваются о том, куда оно будет писать и/или откуда будет читать. А так — шина доверяет устройствам на ней. Даже если это шина USB.
| | |
| |
| |
| |
| 5.18, правдоруб (?), 13:19, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Я хочу, чтобы подключение непоймичего не было физическим доступом. Нужна примерно такая схема:
1. клава/мышь/джойстик, сюда совать только доверенное железо
2. носители информации с возможностью как-то ограничить DMA
3. мониторы (такие требования по каналу и отсутствию задержек, что нет смысла совмещать с чем-то ещё)
4. всё остальное через нечто типа Ethetnet
| | |
| |
| 6.22, Аноним (-), 13:31, 08/05/2015 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> 1. клава
Когда то так и делали, потом ушли в пользу унификации.
> 4. всё остальное через нечто типа Ethetnet
Прошивка Ethernet карты может содержать закладки для чтения памяти через DMA?
| | |
| |
| 7.27, правдоруб (?), 13:53, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
>Прошивка Ethernet карты может содержать закладки для чтения памяти через DMA?
Не знаю, но подключение к сети почему-то не считают физическим доступом.
| | |
| 7.45, Pahanivo (ok), 22:40, 08/05/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Пачиму бы и нет - бивосы давно научились быть скрытыми гепервизорами (как то дааааавно читал о том как чувак обнаружил гипервизоры в китайских модифицированных образах биосов).
| | |
| 7.86, user (??), 12:38, 09/05/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
карта с другой стороны кабеля может содержать что угодно, у неё просто нет доступа к МОЕЙ памяти
| | |
| |
| 8.111, Аноним (-), 13:28, 11/05/2015 [^] [^^] [^^^] [ответить] | +1 +/– | Зато firmware твоей сетевухи может содержать бекдор PS Подозреваю, что автомати... текст свёрнут, показать | | |
|
|
| 6.28, Khariton (ok), 14:15, 08/05/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Я хочу, чтобы подключение непоймичего не было физическим доступом. Нужна примерно такая
> схема:
> 1. клава/мышь/джойстик, сюда совать только доверенное железо
> 2. носители информации с возможностью как-то ограничить DMA
> 3. мониторы (такие требования по каналу и отсутствию задержек, что нет смысла
> совмещать с чем-то ещё)
> 4. всё остальное через нечто типа Ethetnet
udev вам в руки.
Ограничьте какое хотите железо по типу или засуньте его в определенную группу.
В чем вопрос? В том, что за вас сие не сделали по-умолчанию?
Так никто не знает, что вам надо...
А так все унифицированно и все работает из коробки.
| | |
| |
| 7.29, правдоруб (?), 14:41, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
Я хочу, чтобы можно было втыкать любые флэшки и они не имели возможности притвориться клавиатурой. Насколько я понимаю, так не сделать by design, понадобится как минимум запрет хабов.
| | |
| |
| 8.36, GG (ok), 16:15, 08/05/2015 [^] [^^] [^^^] [ответить] | +/– |  В биосе отключи и usb-клаводрова из ОС удали И будут тебе клавы работать только... текст свёрнут, показать | | |
| |
| 9.77, Аноним (-), 04:10, 09/05/2015 [^] [^^] [^^^] [ответить] | +2 +/– | А в PS 2 клавиатуре тоже есть какой-то контроллер И у него тоже есть фирмваре ... текст свёрнут, показать | | |
|
| |
| 9.47, user (??), 23:43, 08/05/2015 [^] [^^] [^^^] [ответить] | +/– | А если сломается клава и купил другую - через какое место подтверждать ... текст свёрнут, показать | | |
| |
| |
| 11.51, user (??), 00:47, 09/05/2015 [^] [^^] [^^^] [ответить] | +/– | Единственое устройство ввода автоматически доверенное Одобряю на уровне биоса, ... текст свёрнут, показать | | |
| |
| |
| 13.59, user (??), 01:41, 09/05/2015 [^] [^^] [^^^] [ответить] | +/– | моменты перезагрузки можно хоть как-то контролировать, а втыкание флэшек нереаль... текст свёрнут, показать | | |
|
|
|
|
|
|
| 7.76, Аноним (-), 04:08, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
> В чем вопрос? В том, что за вас сие не сделали по-умолчанию?
> Так никто не знает, что вам надо...
Типа, подождем пока кто-нибудь посообразительнее не соберет из юзерей ботнет? :)
| | |
|
|
|
| 4.79, Аноним (-), 04:12, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> USB - это одна большая дыра в безопасности.
Ну если обобщать - жить так вообще вредно: от этого умирают. Так что вы все уже попали.
| | |
| 4.90, Синяя таблетка (?), 16:30, 09/05/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
Ещё как только USB стандарт появился, его Линукс ещё долго не поддерживал, я тогда сразу сказал, что нинужно. Мы тогда собирались в одной кофейне, общались, обменивались дискетами со своими патченными ядрами - все тогда ненавидели USB. Если у кого флешку находили, то высмеивали и гнали прочь. Пусть на венду идёт со своими usb. Я до сих пор эту гнилую проприетарь не использую. А также DVD, BD, WiFi - это всё от лукавых проприерастов. Вы нас не поработите!
| | |
|
|
| 2.19, Нанобот (ok), 13:21, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Вроде как доступ должен разруливаться средствами IOMMU, но...что-то я уже начинаю сомневаться
| | |
| |
| 3.32, XXasd (?), 15:06, 08/05/2015 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Только в случае, если операционная система *умеет* и *хочет* использовать IOMMU.
Linux умеет, но не хочет :-) -- разработчики считают что беспокоится неочем, если пару человек взломают через DMA :-)
| | |
| |
| 4.73, Аноним (-), 03:51, 09/05/2015 [^] [^^] [^^^] [ответить] | +/– | Это кто тебе такую глупость сказал, ламо На как минимум AMD - IOMMU совершенно ... большой текст свёрнут, показать | | |
|
| 3.43, meow (??), 20:14, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
но большинство X86 процессоров не поддерживает IOMMU - ноутбуки, pentium, celeron, i3 и даже i5/i7 k-серий до Devil Canyon (2014)
| | |
| |
| 4.53, Xasd (ok), 00:55, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > но большинство X86 процессоров не поддерживает IOMMU - ноутбуки, pentium, celeron, i3 и даже i5/i7 k-серий до Devil Canyon (2014)
к счастью -- большенство средненьких ноутбуков -- работают на intel-видео и не имеют fireware-портов :-)
USB-3.0 использует DMA в своём хост-контроллере, а не напрямую для внешних USB-устройств.
так что тут беспокоится не-о-чем :)
| | |
| |
| 5.60, Аноним (-), 02:08, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
у Intel тоже есть OpenCL. но, насколько помню, там хитрый MMU, и память помечается - "код", "текстуры". Да и декодер команд хитрый, проверяет, что операция "безопасна" (в смысле - не обращается к той памяти, к которой не должна), и пропускает инструкцию, если это не так.
http://lxr.free-electrons.com/source/drivers/gpu/drm/i915/i915_cmd_parser.c
| | |
| |
| 6.98, Аноним (-), 02:31, 10/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
Для начала - а где в этом рутките шаро...нг по всей памяти хоста? Там только ламерство типа XOR на GPU и ныкание буфера памяти в память GPU. Что конечно позволит сныкать часть данных от авера на CPU, но ни о каком чтении буфера клавиатуры через DMA там речь не идет.
| | |
|
|
|
|
| |
| 3.54, Xasd (ok), 00:56, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
> к строго ограниченному диапазону памяти.
> теперь будет
надеюсь! :)
а кто-нибудь из разработчиков уже анонсировал это? :-)
| | |
| |
| 4.72, Аноним (-), 03:45, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> а кто-нибудь из разработчиков уже анонсировал это? :-)
IOMMU анонсировали и релизовали довольно давно. Без него проброс PCI девайсов в виртуалку не получается: без IOMMU ничего не подозревающий драйвер простреливает череп хосту, через DMA железки. Он то понятия не имеет что когда он программирует параметры DMA, это не в его систему прилетит, а собственно хосту. У которого по этим адресам... что-то может и было. Но уж точно не то что ожидал там видеть драйвер.
| | |
|
|
|
| |
| 2.5, Аноним (-), 12:15, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> хорошо что на линуксе нормальных дров для видеокарт нет
Прочитал новость и тоже об этом подумал. Но есть системы типа SteamBOX где по идее будут нормальные драйвера
| | |
| |
| 3.6, Аноним (-), 12:17, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
Забыл добавить, но в качестве придумают какую нить приблуду типа UEFI
| | |
| |
| 4.7, Аноним (-), 12:22, 08/05/2015 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Забыл добавить, но в качестве придумают какую нить приблуду типа UEFI
uefi secure dma, доступ к памяти с авторизацией по ключам, которые подписал микрософт
| | |
| |
| 5.48, user (??), 00:31, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
если владелец микрософт, то за что я буду деньги платить?
| | |
| |
| 6.61, Аноним (-), 02:11, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
за ограниченное лицензией право пользоваться своей материнкой без гарантий работоспособности, как обычно
| | |
| 6.71, Аноним (-), 03:42, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> если владелец микрософт, то за что я буду деньги платить?
Время вышло. Отвечать будет General Motors.
"За право долговременной аренды семейства технологий". Ну вот как-то так, да: http://auto.onliner.by/2015/04/27/auto-11/
//да, копирасия - это заразно! Скоро будете сидеть за выпечку нелицензионных булочек.
| | |
|
|
| 4.70, Аноним (-), 03:36, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Забыл добавить, но в качестве придумают какую нить приблуду типа UEFI
IOMMU уже сто лет как придумали.
| | |
|
|
| 2.91, Синяя таблетка (?), 16:34, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Видеокарты не нужны. Вы что, под Линуксом в игры играете? Линукс должен быть выше этого. Он для настоящих профессионалов, знатоков своего дела, Мужчин с большой буквы.
| | |
| 2.100, Аноним (-), 02:39, 10/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> хорошо что на линуксе нормальных дров для видеокарт нет
А если проц из сокета вынуть - во руткиты обломаются! :)
| | |
|
| 1.8, MPEG LA (ok), 12:32, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 ну накейлоггили паролей, дальше-то че? к сети или ФС из GPU стучать умеем?
| | |
| |
| 2.14, Анончик (?), 12:56, 08/05/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Находим сегмент памяти, который выливает данные в сетевой интерфейс и пишем туда.
Принципиально это возможно, на практике — пока нет, ждём-с.
| | |
| 2.15, YetAnotherOnanym (ok), 12:58, 08/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ничто не мешает встроить в него минимальный сетевой стек, и тогда, если я правильно понял комент 2.10, зловред может отправлять данные, пользуясь доступом в область DMA сетевого адаптера.
| | |
| |
| 3.69, Аноним (-), 03:17, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> IoT, (*$&#@%!^ его в &!@#(%^#&#&.
За тобой они тоже придут. Как раз вон ядро 4.1 уже почти готово.
| | |
| 3.107, user (??), 21:15, 10/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, можно ли через эту гадость сделать нечто типа cjdns?
| | |
| |
| 4.124, Аноним (-), 17:51, 13/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Кстати, можно ли через эту гадость сделать нечто типа cjdns?
Да гомно вопрос - раскидал cjdns по роутерам и порядок. Не забудь собрать самоконфигурирующийся меш и пробить тоннели в гиперборию.
| | |
|
|
|
| 1.9, Аноним (-), 12:33, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
руткит впервые. а бут-киты - давно были. и на других firmware-ей/BIOS-ов расширений. например на лету, рандомный модуль BIOS, патчит один из новых буткитов АНБ(созданный на базе исследований Дж. Рутковски, на них поработавшей в ту пору).
| | |
| 1.12, axredneck (?), 12:40, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Прототип руткита реализован в пространстве пользователя и загружается при помощи LD_PRELOAD
То есть, из виртуалки или жабаскрипта оно все-таки не сможет атаковать? Или я что-то недопонял?
| | |
| 1.17, Аноним (-), 13:16, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это соревнование меча и щита. Один человек тут не решает, всё что мы можем просто ждать или влиться в сообщество занятое защитой систем, покину при этом какое-то другое.
| | |
| |
| 2.52, user (??), 00:52, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я не хочу быть участником этого ненужного соревнования, я хочу проголосовать кошельком за правила этого соревнования. Есть ли у меня легальная возможность это сделать?
| | |
| |
| 3.62, Аноним (-), 02:13, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть ли у меня легальная возможность это сделать?
нету, жри, что даёт интел под чутким руководством анб.
| | |
| |
| 4.92, Синяя таблетка (?), 17:17, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
А мы не будем жрать. Паяли же злые гении раньше сами в гаражах свои Альтаиры и Эпплы. Значит и мы, свободные люди, так можем. Пусть эти наши открытые компьютеры будут не такие быстрые, как современные проприетарные чипы, зато свободные от зла и зондов.
| | |
|
| 3.68, Аноним (-), 03:16, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Я не хочу быть участником этого ненужного соревнования,
Тебя спросить забыли.
> легальная возможность это сделать?
Твои права интересны только тебе. Поэтому как их получить и насколько это легально - это для начала именно твои проблемы, а не чьи-нибудь еще.
| | |
|
|
| |
| 2.67, Аноним (-), 03:15, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Ставьте отрытые драйверы, там OpenCL нет!
У амдшников более-менее есть :)
Да, кстати, у тебя на процессоре тоже руткит может работать. Может тебе того, компьютер то не включать? Так безопаснее.
| | |
|
| 1.31, Типчик Анонимчик (ok), 14:59, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 >Для организации выполнения кода на GPU применяется OpenCL API, что требует наличия драйверов с поддержкой OpenCL.
А ну клево, то есть еще и OpenCL им установи и настрой. Свободные драйверы иммунны к этой уязвимости :) А заодно и старые видеокарты, типа моей HD3470 :)
| | |
| 1.33, Аноним (-), 15:15, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Некоторые интел системы ругаются если устройство пишет не по своим адресам. Проверял сам.
| | |
| |
| |
| |
| 4.56, Xasd (ok), 01:05, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Она тупо по чужим адресам писала из-за бага в прошивке
охренеть кстати баг.. просто прекраснейший!! :-)
писать по чужим адресам -- хуже этого даже не знаю что можно придумать :-)
| | |
|
|
| 2.65, Аноним (-), 03:12, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Некоторые интел системы ругаются если устройство пишет не по своим адресам. Проверял сам.
Да и свежие AMDшные тоже. IOMMU это называется.
| | |
|
| 1.39, Ahulinux (ok), 17:04, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Проблемы с дровами от Nvidia были т.к. последняя не хотела руткиты и кейлоггеры в линуксе
| | |
| |
| 2.66, Аноним (-), 03:13, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я так понимаю, что в общем и целом поддержка или есть или
> намечается. А пользовательская база там огого. Как следствия - будут и решения.
Там и IOMMU довольно часто встречается. В основном больше из копирастических соображений, но ему ж все-равно кого рубать: юзера и его софт или троянов.
| | |
|
| |
| 2.102, asd (??), 05:00, 10/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Параноиков тред...
Ну да, пока идет параноидальная часть цикла. Сам то цикл уже просматривается
параноики1->сноуден1->параноики2->сноуден2->и т.д.
| | |
| |
| 3.115, Xasd (ok), 18:12, 11/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> сноуден1->параноики2
вот тут всё ясно. да
но...
> параноики1->сноуден1
а вот тут не понятно!
как такое возможно? где тут связь? каким образом параноики могли привести к появлению Сноудена?
| | |
|
|
| |
| 2.125, Аноним (-), 17:59, 13/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> снова без рута не работает? тьфу, халтура!
Работает. Правда толку то? Тебе надо ускорение XOR средствами GPU? Или инновационное хранение части данных в VRAM вместо системной DRAM? А больше этот крЮтой концепт ничего и не умеет. Пипец руткит - школьники открыли для себя OpenCL и узнали что GPU оказывается тоже процессор и его можно программить. Жаль правда что бла-бла про DMA так и осталось бла-бла. Я уж надеялся увидеть что-нибудь крутое, инновационное. А там нубские упражнения в OpenCL.
| | |
|
| |
| 2.126, Аноним (-), 18:00, 13/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> На видяхе уже вирусы работают, зато MD-RAID до сих пор XOR делает на ЦП ((
Тамошний "вирус" умеет 2 вещи: ускорять XOR на GPU и хранить данные в VRAM.
| | |
|
|
