Здравствуйте, vsb, Вы писали:
vsb>Проприетарные драйверы для линукса найти — постараться надо.
Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.
vsb>в линуксе весь код проходит через нескольких людей.
Чтобы пройти через тех людей, код должен как-то к ним попасть. Если я опубликую софтину для линукса на гитхабе — через сколько лет она пройдет через них?
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".
Фишка, как я понял, в том, что насосавшись оттуда софта оно, особо никак не проверяя насосаннуе, его автоматически и применяет. Т.е., подменив те сайты, с которых сосется софт, можно подсунуть туда что-нибудь более интересное, чем скучный и унылый апдейт биоса.
Здравствуйте, Евгений Музыченко, Вы писали:
vsb>>Проприетарные драйверы для линукса найти — постараться надо.
ЕМ>Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.
Я не знаю, о чём речь. Сколько я линуксом пользовался, я драйверы ставил только на nvidia. Ну вру, ещё на HP один раз ставил проприетарные драйверы для ихнего рейда, но там такое, от кривого железа больше.
vsb>>в линуксе весь код проходит через нескольких людей.
ЕМ>Чтобы пройти через тех людей, код должен как-то к ним попасть. Если я опубликую софтину для линукса на гитхабе — через сколько лет она пройдет через них?
Если ты опубликуешь софтину на гитхабе, то на мой компьюютер она вероятно не попадёт никогда, по крайней мере в ядро. Чтобы она попала на мой компьютер, твою софтину должны опакетить в дебиане, это уже как минимум мейнтейнер, конечно вряд ли он будет код ревьюить особо, но всё же лучше, чем ничего. По крайней мере убедится, что исходники есть. Но всё же речь о ядре, а не о софтинах. В ядро попасть сложней.
Как уже отметили предыдущие комментаторы, отсутствие прямого выхода в WWW это вполне нормальная практика.
Для этого достаточно пограничного роутера с http-прокси. Для каждого приложения, использующего ресурсы WWW, своя учетка к прокси с белым списком адресов.
Технически пограничный роутер можно организовать и в виде VM, запускаемой прямо на защищаемой системе. Это менее надежно, но уже лучше, чем ничего.
Здравствуйте, vsb, Вы писали:
vsb>>>Проприетарные драйверы для линукса найти — постараться надо.
ЕМ>>Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.
vsb>Я не знаю, о чём речь. Сколько я линуксом пользовался, я драйверы ставил только на nvidia. Ну вру, ещё на HP один раз ставил проприетарные драйверы для ихнего рейда, но там такое, от кривого железа больше.
А не надо смотреть, что _ты_ ставишь. Смотри, что система сама тянет. dpkg-query -L linux-firmware на свежей убунте 20.04 показывает 3023(!) файла. Из них до чёрта, например, прошивок WiFi карт (Atheros, Broadcom), проводных сетевух, видео (даже Intel)...
(Да, я понимаю разницу между прошивкой в карте и драйвером в ядре. Но для данного обсуждения их однозначно лучше рассматривать вместе — неизвестная блобня, без которой работать не будет.)
Здравствуйте, vsb, Вы писали:
vsb>>>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.
vsb>>>Если и переносить, то на CD.
N>>А то, что на CD есть служебные области и туда можно записать что-то, что ты не подумаешь контролировать — ты учитываешь?
vsb>CD это CD. Пиши что хочешь куда хочешь. Он сетевой картой не притворится. Всё общение с CD приводом идёт по стандартному протоколу обычным драйвером.
1. Ты, наверно, думаешь про IDE/SATA приводы. Сейчас такие ещё поискать надо, и куда и как подключать... на рынке в разы больше USB, чем таких. Возвращаемся к твоему примеру с флэшкой.
2. Даже если SATA: Что заложил туда автор прошивки привода — ты не определишь. И это может быть даже легче скрыть, чем если флэшка объявит себя клавиатурой — что можно увидеть в диспетчере устройств. Подменит данные — и поехали.
А на IDE оно ещё и само частично контролирует DMA.
Здравствуйте, vsb, Вы писали:
vsb>Я не знаю, о чём речь.
О драйверах железа, которые производители оного выпускают для линукса.
vsb>Сколько я линуксом пользовался, я драйверы ставил только на nvidia.
Значит, у Вас никогда не было мало-мальски нетипичной периферии, под которую в линуксах нет собственных или одобренных сторонних драйверов.
vsb>Если ты опубликуешь софтину на гитхабе, то на мой компьюютер она вероятно не попадёт никогда, по крайней мере в ядро.
Как "на мой компьютер" соотносится с "в линуксе весь код проходит через нескольких людей"?
Здравствуйте, netch80, Вы писали:
vsb>>>>Проприетарные драйверы для линукса найти — постараться надо.
ЕМ>>>Кто из нас линуксоид? Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.
vsb>>Я не знаю, о чём речь. Сколько я линуксом пользовался, я драйверы ставил только на nvidia. Ну вру, ещё на HP один раз ставил проприетарные драйверы для ихнего рейда, но там такое, от кривого железа больше.
N>А не надо смотреть, что _ты_ ставишь. Смотри, что система сама тянет. dpkg-query -L linux-firmware на свежей убунте 20.04 показывает 3023(!) файла. Из них до чёрта, например, прошивок WiFi карт (Atheros, Broadcom), проводных сетевух, видео (даже Intel)...
N>(Да, я понимаю разницу между прошивкой в карте и драйвером в ядре. Но для данного обсуждения их однозначно лучше рассматривать вместе — неизвестная блобня, без которой работать не будет.)
Если ты понимаешь, то я тогда тебя не понимаю. У меня в компьютере куча железа со своими прошивками. И даже если я не буду скачивать для них новые версии прошивок, они будут работать на старых и я с этим ничего не могу сделать, только не пользоваться компьютером. Поэтому дискуссию о прошивках я вести смысла вообще не вижу, с ними ничего не сделать никак. Можно только со стороны ОС пытаться контролировать, чтобы процессор веб-камеры не имел доступа к сети и всё плохое поведение оставалось внутри него. А если в прошивке сетевой карты дырка, то я тут просто бессилен, т.к. открытого железа можно сказать не существует.
В общем между драйверами и прошивками разница принципиальная, я считаю, и смешивать их некорректно. За чистоту первых можно и нужно бороться. А вторые — ну это просто блобы, это отражение проприетарной сущности железа. До открытых ОС мы дожили, до открытого железа не дожили.
Здравствуйте, netch80, Вы писали:
vsb>>CD это CD. Пиши что хочешь куда хочешь. Он сетевой картой не притворится. Всё общение с CD приводом идёт по стандартному протоколу обычным драйвером.
N>1. Ты, наверно, думаешь про IDE/SATA приводы. Сейчас такие ещё поискать надо, и куда и как подключать... на рынке в разы больше USB, чем таких. Возвращаемся к твоему примеру с флэшкой.
N>2. Даже если SATA: Что заложил туда автор прошивки привода — ты не определишь. И это может быть даже легче скрыть, чем если флэшка объявит себя клавиатурой — что можно увидеть в диспетчере устройств. Подменит данные — и поехали. N>А на IDE оно ещё и само частично контролирует DMA.
Я не предлагаю переставлять приводы между компьютерами. Я показываю путь зловреда: от заражённого компьютера в прошивку флешки через уязвимость и через прошивку флешки во вторую систему. Да, путь несколько параноидальный и, наверное, такого в природе не происходило, но в теории возможный. Представить, что зловред запишет CD так, что это вызовет некий RCE в прошивке привода мне сложней. Хотя, конечно, можно и такое представить.
У меня, кстати, как раз для таких случаев была идея — делать перенос информации между устройствами через QR-коды. На одном устройстве дисплей, на другом камера. И быстро меняющиеся QR-коды передают нужную информацию.
ЕМ>На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".
Эта фича с самого начала выглядела очень подозрительно, так что я первым делом ее отключил:
рекомендуется отключить функцию «Загрузка и установка APP Center» в прошивке.
Здравствуйте, SkyDance, Вы писали:
SD>Эта фича с самого начала выглядела очень подозрительно, так что я первым делом ее отключил
Так уязвимость-то не в прошивке, а в винде. А там это, если и отключается, то лишь через Shift-F10 в процессе установки, или через загрузку автономной системы до первой загрузки установленной.
vsb> Из плюсов — полностью контролируется сеть, можно весь траффик завернуть в впн, можно дамп смотреть, будучи уверен, что в дамп попадает каждый исходящий из виртуальной машины байт.
Приложения могут маскировать трафик. Тут целый DPI нужен.
vsb>А флешка это не безопасно. На флешке свой процессор, своя прошивка. Никто не мешает вирусу прошить флешку своей прошивкой. USB на винде вроде бы ещё опасен, ничего не мешает вирусной флешке представиться клавиатурой и вбить что-то нехорошее, пока тебя нет. Макось, кстати, с недавнего времени начала спрашивать юзера обо всех новых вставленных устройствах и без разрешения устройство не подключается, видимо они что-то знают.
Появились ли аппаратные решения для защиты от BadUSB?
После загрузки ОС защита относительна понятна, например средствами USBGuard.
Но что делать до загрузки ОС?
Я у многих производителей давно вижу драйверы под линукс. Навскидку: Intel, IBM, Realtek, Broadcom, D-Link, Xilinx, SafeNet, STMicroelectronics, FTDI, WCH.
