LINUX.ORG.RU

Ответ на: комментарий от uuuuu

Список известных мне закрытых бинарников внутри Lenovo G505S:
(для доп.подробностей можно подсматривать сюда - https://www.coreboot.org/Binary_situation#recent_AMD)

1) микрокод процессора - необязателен, долгое время прекрасно работал и без него, но в итоге пришлось установить ради на 100% стабильно работающей аппаратной виртуализации
2) блоб SMU (System Management Unit) - является обязательным и с большой вероятностью просто управляет питанием PCIe, что правда усложняет разработку опенсорсной альтернативы
3) блоб IMC (https://www.coreboot.org/AMD_IMC) - является обязательным, была разработана минимальная рабочая опенсорсная альтернатива, но она вроде как пока не включена в coreboot по каким-то причинам, возможно из-за проблем со стабильностью
4) блоб xhci - необязателен, только если тебе нужен USB 3.0 на двух портах (в G505S три USB порта всего): я этот блоб в свой коребут пихать не стал и в результате все три порта работают как USB 2.0
5) блоб video bios для видеокарты внутри процессора - без него не выводится изображение на экран ноутбука, так что необязателен только если использовать ноут в качестве минисервера. блоб прекрасно дизассемблируется при помощи AtomDis, в нём нет бэкдоров, и на 90% разработана опенсорсный альтернативный video bios - правда его разработка сейчас приостановлена, скорее всего потому что когда убедились в том что в оригинале не было бэкдоров, разрабатывать альтернативу стало меньше причин
6) прошивка мультиконтроллера KB9012 - является обязательной, можно перепрошивать с удалением серийников, ведётся разработка опенсорсной альтернативы

Как видишь, этот ноут Lenovo G505S в теории можно освободить для сертификации FSF RYF если вложить достаточно усилий и средств, в libreboot рассматривали его одним из возможных кандидатов на будущее. По крайней мере в этом ноуте нет аппаратных бэкдоров Intel ME / AMD PSP, и это уже огромный плюс, даже плюсище ;)

Если вдруг будешь его брать - ищи версию G505S с процессором A10-5750M:
это самый топовый процессор который бывает в G505S,
на нём гарантированно работает coreboot,
и пусть процессоры съёмные - но покупать версию G505S с A6/A8 чтобы потом отдельно купить A10, это и дорого и неразумно

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 2)
Ответ на: комментарий от SakuraKun

что бы избавится от аппаратных закладок как вариант использовать на U-But оборудование (АРМ)? в том числе хромбуки. Или на хромбуки на либр бут.

если присутствует интел ми и установлен коребут - можно получить ситуацию что я не увиже в тцпдамп пришедший файл?(по сути тот же вопрос только с установленной прошивкой)...


если приобрету устройство не такое как вы рекомендуете - а из списка устройств коребут и перепрошью. Есть вероятность что у меня останется уязвимость или закладка или сбор информации???


из блобов еще есть блоб в жостком диске. свободных нет. есть флешкарточки - только непонятно как ее приделать, точнее найти свободное устройство.


*думал что блобов в ноутбуке меньше.

uuuuu ()
Ответ на: комментарий от uuuuu

коребут либр бут не убирает эти закладки?

Нет, не убирает - и полностью их убрать невозможно, т.к. эти закладки реализованы аппаратно и помимо всего прочего в них встроены функции управления электропитанием (не только чтобы буржуи могли удалённо превратить твой комп в тыкву при помощи функции «антивор», они используются и для того чтобы просто включить комп) . Можно лишь попытаться уменьшить размер их прошивки, например ME - при помощи me_cleaner (для урезания PSP пока ещё не придумали аналога), но и это не даст 100% гарантии что закладка перестала шпионить или что в один прекрасный день прошивка закладки не самовосстановится либо через интернет либо станет грузиться из скрытого ROM-а внутри устройства, - и шпионаж возобновится незаметно для пользователя, который думает что выпилил зонд. Поэтому, в такой ситуации намного спокойнее взять G505S, чтобы не переживать постоянно «а как там наш зонд поживает?» . И пусть G505S раза в два медленнее чем коребутный Thinkpad (например T430) с i7 третьего поколения и зондом ME, лучше пусть медленнее но без зонда; к тому же, G505S намного дешевле, и легче найти в продаже и сам ноут и запчасти к нему

SakuraKun ★★ ()
Ответ на: комментарий от uuuuu

Можете привести ссылку на полный процесс прошивки Вашего аппарата.


коребутный Thinkpad (например T430) с i7 третьего поколения и зондом ME

зачем для него сделали коребут тогда?


где найти список коребут, у-бут, либребут железа без зондов? 2.Еще интересуют материнские платы на 775 сокете.

uuuuu ()
Ответ на: комментарий от uuuuu

что бы избавится от аппаратных закладок как вариант использовать на U-But оборудование (АРМ)? в том числе хромбуки. Или на хромбуки на либр бут.

Единственный хромбук, поддерживаемый libreboot-ом - это ASUS Chromebook C201, и то нет ни одной на 100% опенсорсной операционки которая бы работала на нём - а если операционка не на 100% опенсорсна, значит в ней могут прятаться бэкдоры. Получается, если хромбук на Intel - в нём тот же зонд ME. а если на ARM - всё равно без закрытых блобов не запускается, + про ARM Trustzone не забывай. Ты сам подумай: если бы было какое-то железо на ARM'е где не нужно закрытых бинарников от производителя либо в составе U-Boot либо чтобы полностью устройство нормально включилось (и какой толк от того что у устройства будет даже 100% опенсорсный U-Boot, если без закрытого драйвера с возможным бэкдором внутри оно не включается и не работает?) - FSF давно бы сертифицировала бы его как RYF, налепила бы наклейку и продавала бы с наценкой за свободой. Но как видишь, такой вариант не сработал, поэтому и пытаются сейчас сделать EOMA68 ! Так что, если не считать EOMA68 которого пока не сделали, если ты ценишь свободу - забудь ты про этот ARM. Если не нравится x86 / x86_64, среди альтернативных архитектур будут:
1) или определённые MIPS'ы, например: внутри роутера TP-Link TL-WR841ND v9, которому не требуется ни одного закрытого байта для работы, стоит процессор Atheros QCA9533-AL3A на архитектуре MIPS с тактовой частотой 550 МГц, + оперативки 32 МБ
2) или что-то на базе RISC-V (но я пока ещё никаких устройств не видел)
3) или вообще придётся мастерить свой процессор из всяких проволочек, например как здесь - https://www.bigmessowires.com/bmow1/
Но реалистичный вариант на более-менее мощное железо без аппаратных закладок - что-то на архитектуре x86_64 или уже поддерживаемое Libreboot'ом и сертифицированное FSF RYF, или определённые coreboot'овские модели (например G505S) стремящиеся к этому и не содержащие в своём составе Intel ME / AMD PSP

SakuraKun ★★ ()
Ответ на: комментарий от uuuuu

как проверили что там [в процессоре у G505S] нет зонда [AMD PSP] ?

Для успешной загрузки биоса на процессоре со встроенным зондом требуется закрытый блоб внутри биоса - прошивка, которая используется зондом. А если такого блоба коребуту не потребовалось для успешной загрузки, значит и зонда нету. Конечно это не 100% гарантия, потому что в теории может существовать секретный ROM внутри процессора, который может читать только зонд, но будем надеятся что это действительно так. Тем более что AMD всегда позиционировала зонд PSP как «фичу», а для более старых процессоров такой «фичи» заявлено не было

Ещё, есть снимки кристаллов процессоров AMD под микроскопом - например, https://www.anandtech.com/show/7677/amd-kaveri-review-a8-7600-a10-7850k/4 . На этих снимках можно разглядеть вычислительные блоки процессора, и например увидеть что между Trinity и Richland (архитектура 15h, предположительно беззондовые процессоры) разница небольшая, а вот если сравнивать с более свежими - например, поздней архитектуры 16h - различия более существенные и появляется новый вычислительный блок - зонд. Конечно снимки тоже не 100% гарантия, т.к. зонд мог раньше быть меньше и выглядеть по-другому чтобы его было сложно заметить...

Хороших фотографий сравнения кристаллов я сейчас найти не могу, но оно выглядело примерно так: http://abload.de/img/architekturvergleichhgkyq.jpg слева процессор предположительно без зонда, а справа - со встроенным зондом PSP

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

В свете последних событий с обнаруженными бэкдорами прямо в железе отказываться от проприетарных прошивок с защитой будут только очевидно больные люди.) А вот мипсы хорошие, и никаких микрокодов, и никаких спектр — лэпота.

anonymous ()
Ответ на: комментарий от uuuuu

коребутный Thinkpad (например T430) с i7 третьего поколения и зондом ME
зачем для него сделали коребут тогда?

Есть люди, для которых производительность важна больше чем безопасность от зонда, но которые хотели бы иметь возможность встраивать в биос какие-то доп.компоненты: memtest, дискетные операционные системы вроде KolibriOS, картинку показываемую при включении компа или вообще какое-то дополнение своей собственной разработки. Проприетарный BIOS/UEFI от производителя компа таких возможностей не предоставляет, а с coreboot'ом всё это - возможно

где найти список коребут, у-бут, либребут железа без зондов?

Такого централизованного списка нигде не висит, но лично я вижу этот список как результат формулы:

«всё железо, поддерживаемое libreboot'ом https://libreboot.org/docs/hardware/#list-of-supported-hardware или другой на 100% опенсорсной прошивкой, но только то, которое может работать хотя бы с одной на 100% опенсорсной операционной системой одобренной FSF из списка https://www.gnu.org/distros/free-distros.html (таким образом, тот единственный хромбук на ARM'е, поддерживаемый libreboot'ом, отпадает)
+
всё железо из списка FSF RYF (https://www.fsf.org/resources/hw/endorsement/respects-your-freedom)
+
все роутеры, поддерживаемые дистрибутивом LibreCMC (одобрен FSF) для которых есть опенсорсный U-Boot, то есть многие из https://gogs.librecmc.org/libreCMC/libreCMC/src/v1.4/docs/Supported_Hardware.md (обращаем внимание не только на модель роутера но и на его аппаратную ревизию! писал выше)
+
редкие модели из списка coreboot, которые пусть и не поддерживаются libreboot но стремятся к свободе, ты их тщательно исследовал и уверен в их беззондовости (с моей точки зрения: G505S - точно, AM1I-A - возможно тоже, но пока под вопросом)»
+
другие железки которые не были сертифицированы FSF RYF но насчёт которых по результатам исследований ты уверен что в них нет зондов (например: программаторы CH341A и Bus Pirate)

SakuraKun ★★ ()
Ответ на: комментарий от uuuuu

2.Еще интересуют материнские платы на 775 сокете.

775 сокет - это ведь Core 2 Duo, а это первый процессор с зондом Intel ME, правда это самая начальная версия зонда и его прошивку можно выпилить полностью, но лучше сразу смотреть из списка libreboot'а для доп.гарантий. На 775 сокете там есть только Gigabyte GA-G41M-ES2L, поэтому тебе придётся охотиться за этой платой (дело осложняет то что не все продавцы старых компов пишут что там за плата). Если вбить «GA-G41M-ES2L» на авито, показывает несколько результатов. Но к сожалению, в отличие от AMD, процессоры Intel подвержены уязвимости Meltdown - для устранения которой применяется программный патч уменьшающий производительность на 5%-30%, в результате и без того небыстрый Core 2 Duo становится совсем уж небыстрым

SakuraKun ★★ ()
Ответ на: комментарий от uuuuu

В реальном мире ты пользоваться ими не сможешь, во всяком случае я не знаю ни одного достаточно мощного устройства с процессором на этой архитектуре.

А вот с армом есть Novena, с гентой даже. Спроси где-то тут. А EOMA68 намного хуже, разве что вроде бы меньше размерами.

anonymous ()
Ответ на: комментарий от uuuuu

Можете привести ссылку на полный процесс прошивки Вашего аппарата

1) Прошивка BIOS-чипа на G505S - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate - разве что вместо дорогого программатора Bus Pirate можно взять дешёвый CH341A за 150 рублей, который тоже поддерживается flashrom, инструкция будет почти такая же, только схема подключения прищепки намного проще и команды для flashrom чуть-чуть другие - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate#Flas... - вместо

-p buspirate_spi:dev=/dev/ttyACM0,spispeed=1M
пишем
-p ch341a_spi

2) Прошивка EC-микроконтроллера на G505S - http://dangerousprototypes.com/docs/Flashing_KB9012_with_Bus_Pirate (например чтобы удалить из неё специфичные серийники ноутбука), CH341A тоже подойдёт, но прошить EC-контроллер немного сложнее чем биос чип: крайне желательно будет купить шлейф совместимый с клавиатурным разъёмом ноутбука - а именно, 30P 1.0mm - 30 контактов с расстоянием 1 мм между серединами соседних контактов - и припаять к этому шлейфу несколько проводков. Прекрасно подойдёт вот этот - http://www.aliexpress.com/item/10x-New-AWM-20624-80C-60V-VW-1-FFC-Ribbon-Flex... - в результате не придётся припаивать ни одного провода к самой мат.плате; все подробности - в инструкции

SakuraKun ★★ ()
Ответ на: комментарий от anonymous

проприетарная прошивка сама по себе может содержать бэкдор, который при его обнаружении назовут уязвимостью, но суть от этого не поменяется. нужно бежать от любой проприетарщины по мере возможностей

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

Публичные уязвимости железа меня беспокоят гораздо больше чем zero-day известный 1 спецслужбе мира. Говорю же, единственный выход это свой процессор, например как тут предлагают в fgpa http://store.gadgetfactory.net/blog/build-your-own-superh-cpu-with-fpga/

побольше таких собрать и даже хватит на браузер

anonymous ()
Ответ на: комментарий от uuuuu

мы же это уже обсуждали на примере Intel ME: без белого списка IP-адресов нет никаких гарантий, и даже с белым списком не исключена возможность использования твоими локальными бэкдорами чего-нибудь одобренного из белого списка, но работающего на оборудовании с аналогичными бэкдорами, в качестве прокси к остальному миру (т.е. один бэкдор другому поможет)

SakuraKun ★★ ()
Ответ на: комментарий от anonymous

а если у тебя весь вычислительный процесс на сисвызовах? может и посильнее замедлиться. syslog_ng на интеле без применённого анти-Meltdown патча компилировался 4 минуты, а с патчем - 21 минуту. и это не единичный пример! Хорошо что на AMD этого мельдония нету

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от uuuuu

кроме серийников там что-то есть?

в ходе реверс-инжениринга для создания опенсорсной альтернативы никаких бэкдоров в изначальной прошивке KB9012 мы пока не обнаружили, но опенсорсная альтернатива всё равно нужна для добавления доп.функций (например: вдруг ты хочешь, чтобы когда ты открывал крышку экрана у полностью выключенного G505S, он сам включался без нажатия кнопки включения?)

SakuraKun ★★ ()
Ответ на: комментарий от SakuraKun

Возьму железо с самым большим количеством закладок. Драйвера с телеметрией и закрытыми блобами. Установлю ОС неодобренную. Виндовс с телеметрией. Браузер. И добавлю ip ukr.net (предполагается заходить только туда, к примеру) в доверенные на промежуточном оборудовании если это возможно.

Риски: 1.Канал установить с серверами неполучится для доступа к диску 2.Хеши передать к файлами и ип куда заходил тоже не получится 3.Телеметрию тоже не получится передать 4.Самопроизвольные запуски - не включать в сеть когда ПК выключен
-----------------------------------------------------------------
Что я потеряю?

uuuuu ()
Ответ на: комментарий от uuuuu

могу в систему с матплаты получить бекдор если это возможно или завершение работы, как вариант что-то перепрошьется или локнется, ну или лампочки будут мигать....

uuuuu ()
Ответ на: комментарий от darkduke

Может быть я один такой непривередливый, но меня даже такое качество экрана вполне устраивает)) + В «стационарных локациях» типа дом/работа можно использовать высококачественные внешние экраны с IPS на любой вкус глаз и кошелёк! Кстати, некоторым параноикам наоборот нравятся плохие углы обзора, чтобы подглядеть инфу сложнее было; даже специальные плёнки покупают вроде этой - https://www.aliexpress.com/item/Free-Shipping-15-inch-monitor-4-3-anti-spy-pr...

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от uuuuu

1) не с опенврт а с librecmc 2) по желанию можно доустановить, а почему бы и нет? зависит от того, хочешь ли ты пользоваться возможностями «иптейблс» (iptables) или нет. но даже и без них, tl-wr841nd прекрасный роутер, жаль только 5 ГГц вайфай не поддерживает

SakuraKun ★★ ()

Что подразумевается под свободным ноутбуком?

Его можно присвоить, но если кто-то еще захочет его присвоить, надо будет поделиться (с) GPL

anonymous ()
Ответ на: комментарий от uuuuu

Предположим, ukr.net работает на типичном сервере с Intel ME - ну или с другой закладкой, аналогичной той что есть в твоём «железе с самым большим количеством закладок». Твоя закладка не сможет передать «телеметрию» напрямую куда следует, но она может через свои протоколы попросить ukr.net'овскую закладку передать ту же телеметрию дальше - ведь ukr.net может коннектиться куда хочет! получается «типа прокси»: закладка на ukr.net может прокидывать инфу, которую хотела передать твоя локальная закладка но не смогла напрямую, дальше во внешний мир

SakuraKun ★★ ()
Ответ на: комментарий от uuuuu

librecmc нужно устанавливать туда, а не опенврт. потому что, вдруг в коде tl-wr841nd который лежит в опенврт есть закрытый бинарник? (я в openwrt не смотрел) ну или добавят в один прекрасный день, а ты не заметишь и перекомпилируешь. а в librecmc, форке опенврт, закрытые бинарники запрещены идеологией проекта. насчёт уязвимостей не слышал, если только уязвимости не для самого железа, а в openwrt и его пакетах, соответственно librecmc, т.к. является форком openwrt, их наследует. Но эти уязвимости программные и исправляются программными методами. Зато многие librecmc-шные вопросы общие с openwrt, и во многих случаях можно идти на openwrt-шные форумы, где сидят намного больше людей и выше вероятность получить ответ на свой вопрос

SakuraKun ★★ ()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от uuuuu

Существенная часть затрат - на упаковку, чтобы эта anti spy filter плёнка доехала хорошо и не помялась в дороге; обычного мягкого конверта тут разумеется не хватит, нужна добротная упаковка из крепкого картона размерами с ноутбук. Поэтому можно получить хорошую скидку, если объединиться с кем-нибудь и сразу заказывать несколько таких плёнок; сам видел, «3 по цене 2» как-то раз продавали

SakuraKun ★★ ()