Теоретически, как можно убедиться, что в твоей прошивке не поселился руткит?

Если есть время и силы - да, это был бы неплохой вариант

IMHO сообществу заинтересованных пользователей Libreboot и Corebot нужно объединить свои усилия по созданию аппаратной защиты от этого вектора атаки (несанкционированная перешивка BIOS трояном).

звучит разумно, как и идея «Stateless laptop» от автора Qubes OS

Прикольно, 42 страницы в PDF :)

А, то есть если какие-то левые васяны зайдут в тебя через интеловские бэкдоры, то всё норм. Понятно. ☺

Мне то зачем фейспалм ставить, ) я всего лишь дал ссылку на коммент ТС и процитировал часть его сообщения. Моего личного мнения в этом треде «ноль целых, ноль десятых», т.к. я совершенно не в теме.

Ага , при таком уровне угрозы как в мысленном эксперементе , утилизация - лучший выбор при подозрении.

В качестве более простого варианта аппаратной защиты от перепрошивки, можно вывести ногу WP чипа SPI Flash так чтобы она шла к матплате через джампер который можно включать/выключать. пример для десктопных плат

Справедливости ради следует отметить, что если вы используете ядро linux-hardened - то несанкционированная перепрошивка BIOS невозможна, а на новых ядрах даже отсутствие флага iomem=relaxed может сорвать попытку такой скрытой перепрошивки при помощи трояна, внедрённого через уязвимость вашей OS. Тогда придётся и ядро Linux подменять в надежде что вы не заметите... А если вы используете не-Linux'овую OS, под которую нет рабочего порта утилиты flashrom для программной перепрошивки BIOS - то даже потратив ресурсы на разработку чудо-трояна для вашей чудной ОС (если она достаточно нишевая как например KolibriOS (имеющая сетевой функционал), то изначально его не существует) и успешно «затроянив» её - перепрошить ваш BIOS удалённо можно будет только при условии успешной разработки данного порта

Ничего личного) фейспалм относится только к процитированному, пришлось поставить чтобы уберечь TLDR'щиков от следования комменту ТС

Об этом я и говорю. Тебе уже везде угрозы мерещатся. Таблетки пить пора

А откуда ты знаешь, что в самих чипе биоса и программаторе нет аппаратных зондов?

На самом деле хороший вопрос)

1) биос-чип можно срезать и посмотреть на срез, что нет ничего недокументированного; благодаря крупному технологическому процессу, по которым они изготовлены, сделать это намного проще чем с x86-процессорами которые успешно срезали и например наглядно видели появление «бэкдоров» ME/PSP

2) программатор исследовать сложнее, поэтому нужно брать наиболее простой и обязательно поддерживающийся опенсорсом (чтобы избежать зонда в софте для прошивки) - например, на базе чипа CH341A: он и опенсорсной утилитой flashrom поддерживается, и прост как валенок - даже внутренней памяти не содержит кроме конфигурационных регистров

поэтому нужно брать наиболее простой и обязательно поддерживающийся опенсорсом (чтобы избежать зонда в софте для прошивки) - например, на базе чипа CH341A: он и опенсорсной утилитой flashrom поддерживается, и прост как валенок - даже внутренней памяти не содержит кроме конфигурационных регистров

Он ведь не самостоятельный? Т.е. им рулит потенциально заражённый хост?

IMHO для запуска flashrom лучше взять одноплатник типа старинного BBB именно старых годов выпуска.

проприетарная фича SafeBIOS - даже если она сама по себе не содержит бэкдоров - активируется если BIOS не грузится и восстанавливает резервную копию из запасного чипа; если же BIOS грузится - пусть и забэкдоренный - то SafeBIOS ничего не делает

Ты какую-то фигню написал.

Dell SafeBIOS mitigates the risk of BIOS and firmware tampering with integrated firmware attack detection

Dell integrates post-boot verification into its commercial PCs giving IT the assurance that employees’ BIOS and Firmware have not been altered. Rather than storing BIOS and Firmware information on the hardware itself, which is susceptible to corruption, Dell SafeBIOS delivers an off-host BIOS and Intel ME verification capability. SafeBIOS uses a secure cloud environment to compare an individual BIOS and Firmware image against the official measurements held in the cloud.

Откуда ты взял какую-то резервную копию и про «не грузится»? Перепутал с чем-то другим?

Пока закрыта программноаппаратная реализация этих ваших TPM - они сами по себе являются фактором риска, и полагаются на них только «нубасы» из той же категории что верят виндовому Bitlocker'у

Да, перепутал с другой подобной фичей. В любом случае, если SafeBIOS не опенсорсен, то доверять ему не стоит

Пока TPM не опенсорсен, от того что «прошивка подписана TPM» фактический уровень безопасности не повышается: ведь сам TPM может быть просто-напросто забэкдорен с завода и действовать как надо когда надо кому надо

Он ведь не самостоятельный? Т.е. им рулит потенциально заражённый хост?

Как минимум поэтому и нужно обзаводиться несколькими компами с опенсорсным БИОСом + грамотно настроенной OS, чтобы они могли перепрошивать друг друга по принципу «рука руку моет»

IMHO для запуска flashrom лучше взять одноплатник типа старинного BBB именно старых годов выпуска

к ARM'овым одноплатникам, даже к старинному BBB, есть свои обоснованные претензии со стороны FSF (хотя тут непонятно, чем новый BBB лучше старого - ведь проприетарных бинарных блобов там должно быть столько же? или там поменяли/добавили какие-то чипы и ситуация в этом плане ухудшилась?)

В-общем тут непонятно что лучше: ведь если ты пользуешься одним x86-компом с опенсорсным БИОСом --> значит полностью доверяешь ему --> значит можешь доверить второму такому же компу перепрошивку первого

биос-чип

кого-кого?

имеется в виду SPI Flash - но т.к. не все знают что это, приходится оперировать более «народными» терминами

TPM - это не обязательно волшебная железяка внутри твоего писюка, TPM это в первую очередь спецификация, вполне себе открытая и доступная к прочтению.

и кстати, спецификация предполагает как аппаратную, так и программную реализации

более того, ключевые моменты этой спецификации ты можешь запилить самостоятельно, используя в качестве root of trust например свой смартфон. или другой комп. или (самописный) облачный сервис. или неведому херню.

и можешь доверять ей или не доверять по собственному усмотрению.

к ARM’овым одноплатникам, даже к старинному BBB, есть свои обоснованные претензии со стороны FSF (хотя тут непонятно, чем новый BBB лучше старого - ведь проприетарных бинарных блобов там должно быть столько же? или там поменяли/добавили какие-то чипы и ситуация в этом плане ухудшилась?)

Бэкдоры постоянно совершенствуются, как аппаратные, так и софтовые. Если раньше в одноплатники ставили неперешиваемый BootROM (внутри SoC), то сейчас там легко может оказаться и FlashROM :)

имеется в виду SPI Flash - но т.к. не все знают что это, приходится оперировать более «народными» терминами

А чо толку-то его срезать и смотреть внутрь? Это просто флешка, ты хер что разберёшь там. Intel ME сотоварищи – это вообще отдельный процессор со своей ОС прямо в твоей мат.плате, удачи его работу анализировать.

Отдельной строчкой идёт тот факт, что даже если вендор опубликовал прошивки всего и вся, никто не гарантирует, что на заводе тебе бэкдор не присунут просто ради лулзов.

Отдельной строчкой идёт тот факт, что даже если вендор опубликовал прошивки всего и вся

А как это проверить? Что там нет ещё десятка скрытых образно ME?

Те же Рапторы на базе IBM Power, все такие распрекрасные и свободные, а сколько там секретных бэкдоров в псевдо-открытом процессоре и остальном оборудовании?

А почему все так уверенны, что в линейке AMD Phenom2 нет аналога ME? Просто Intel оказался чуть более открытым сообществу, чем AMD, только и всего? А AMD помалкивал в тряпочку про свои бэкдоры. :) А чтобы навести ещё больше тумана, они раскрыли существование PSP, но только якобы после линейки Phenom2 ? :)

Вы видели хоть один слив сорцов из лабораторий AMD? Это хорошо или плохо именно для любителей свободных систем?

Может быть, Intel таки пытается нам помочь, а не наоборот?

А как это проверить? Что там нет ещё десятка скрытых образно ME?

Нам с тобой – никак. Большие дяди делают свои заводы или клепают железки у ребят, которым они доверяют (потому что если те обманут, их натянут по самые гланды).

Так обман больших дядей - это удаление бэкдоров или их добавление? :)

SPI Flash

А чо толку-то его срезать и смотреть внутрь? Это просто флешка, ты хер что разберёшь там

Чтобы убедиться что это действительно «просто флешка» без недокументированных сопроцессоров, способных изменять её содержимое или подменять считываемые данные

Intel ME сотоварищи – это вообще отдельный процессор со своей ОС прямо в твоей мат.плате, удачи его работу анализировать

Поэтому я и пропагандирую всюду железо без «бэкдоров» ME/PSP и с опенсорсными БИОСами (как минимум чтобы избежать дыр и программных «бэкдоров» вроде Computrace, опенсорсный БИОС это must have) - Lenovo G505S, ASUS A88XM-E, ASUS AM1I-A и т.д.: если прокачать их заменяемые компоненты по максимуму (оперативка и т.д.), этого железа ~2013 года вполне хватает и для современных задач: даже QubesOS, напичканная виртуалками, вполне себе летает

Да, перепутал с другой подобной фичей. В любом случае, если SafeBIOS не опенсорсен, то доверять ему не стоит

Ну это само собой, просто может у топикстартера навыки гугления развиты лучше моих и он сможет найти подробности того, как этот механизм реализован. Всё же хочется верить, что Dell не продаёт змеиное масло.

если прокачать их заменяемые компоненты по максимуму (оперативка и т.д.), этого железа ~2013 года вполне хватает и для современных задач

Не хватает. Я пробовал. Этому говну место на помойке. Проще взять какую-нибудь плату с arm или rv от челов, которым ты наверное доверяешь. Оно будет быстрее и жрать будет меньше.

А почему все так уверенны, что в линейке AMD Phenom2 нет аналога ME?

Не говоря о снимках среза кристаллов, где наглядно видно когда появился AMD PSP - для работы AMD PSP нужна прошивка и место для её хранения, чего в случае с вышеперечисленным AMD ~2013 года не наблюдается

просто Intel оказался чуть более открытым сообществу, чем AMD

AMD как раз-таки в то время была очень открыта и поделилась с сообществом огромным количеством своих исходников - именно благодаря AMD, передавшей проекту coreboot полный исходный код своей библиотеки AGESA для низкоуровневой инициализации железа (в том числе таких вещей как memory-трейнинг контроллера памяти DDR3) - этот опенсорсный БИОС стал возможен для нашего AMD'шного железа. Правда, потом AMD повернулось к сообществу задним местом, но Intel всегда был в таком положении ;-)

Я пробовал

Не знаю, что конкретно ты пробовал, но вряд ли именно то железо с теми техническими характеристиками о котором я тебе говорю: сомневаюсь, что у тебя был там четырёхядерный процессор с 32 гигами оперативки - что например возможно на коребутном F2A85-M с A10-6800K

Проще взять какую-нибудь плату с arm или rv от челов, которым ты наверное доверяешь. Оно будет быстрее и жрать будет меньше

ARM напичкан блобами по самые уши, а RISC-V пока ещё не развился до того же уровня производительности - не говоря о поддержке со стороны дистрибутивов

Если раньше в одноплатники ставили неперешиваемый BootROM (внутри SoC), то сейчас там легко может оказаться и FlashROM :)

Тогда и код модели SoC должен поменяться, хотя бы незначительно - а BBB вроде как на всё тех же древних AM3358 делают

Должен, но не обязан, если за тобой хотят последить немножечко более лучше, чем раньше? Ведь законы их не обязывают менять маркировку при мелких доработках бэкдоров? А если бы и обязывали, то они могут нарушить их «по ошибке»? :)

В теории возможно) Но зачем же тогда они на каждом углу просто яростно пиарят использование попсового заблобированного Raspberry Pi для перепрошивки - реально один из наихудших одноплатников в плане свободы, со сраным Broadcom'ом вместо процессора?) а BBB втихаря менять не имеет смысла: у него и технические характеристики очень слабые так что мейнстримный пользователь плохо клюёт, а продвинутый пользователь возьмёт двухдолларовый CH341A и не будет тратиться на одноплатник вообще - в итоге, этой «подменой BBB» охватывается лишь незначительная часть людей

чтобы уберечь TLDR’щиков от следования комменту ТС

Обсуждение, с какого-то момента, перешло к вариантам глобального противодействия возможной слежке.

ТС же ограничил задачу вариантами лайтовой паранойи, с допущением, что производитель ничего недокументированного не добавил в свою железку, но ноут мог попасть в чужие руки на какой-то период времени. И понятно, что хотелось бы иметь способ софтово, без программатора, убедиться в отсутствии чужого вмешательства.

Как я понял, ТС удовлетворили бы возможности описанные в комментах 1 и 2:

узнал, что в LVFS вендор может для каждой прошивки выложить, собственно, закрытый список допустимых значений PCR 0.

p.s. Выше еще упоминали SafeBIOS, инструмент для обнаружения атак BIOS на ноутах Dell. Так что, производители тоже ‘паранойят’. Это я для @SakuraKun написал. :)

ТС же ограничил задачу

И зря - ведь аппаратно-прошивочными бэкдорами «от производителя» не обязательно может пользоваться только производитель и те кому он закулисно передал инфу как их использовать! Рано или поздно все эти знания становятся доступными первому встречному: любые «кого надо» уязвимости со временем становятся известными широкому кругу лиц, при этом пострадавшим вместо материальной компенсации - или хотя бы жалкого патча вдогонку - зачастую предлагается приобретать новое железо с новыми версиями «уязвимостей»

Не знаю, что конкретно ты пробовал, но вряд ли именно то железо с теми техническими характеристиками о котором я тебе говорю

Последние цеоны перед появлением Intel ME пойдут? Сейчас они сосут причмокивая.

F2A85-M с A10-6800K

В сравнении с тем, что в моём десктопе сейчас, как-то даже не смешно.

https://www.cpubenchmark.net/compare/1935vs3623/AMD-A10-6800K-APU-vs-AMD-Ryzen-Threadripper-3970X

ARM напичкан блобами по самые уши

Твой анус напичкан блобами по самые уши. В случае с ARM, содержимое SoC целиком на откуп производителя. Найди SoC без блобов, проблем-то.

RISC-V пока ещё не развился до того же уровня производительности

Развился. То есть, мощных 300-ваттных процов на нём нет, но если сравнивать с тем говнищем, что ты выше привёл, то лучше RISC-V взять при любом сценарии кроме, разве что, запуска венды или вендософта.

не говоря о поддержке со стороны дистрибутивов

Каких дистрибутивов? Говнофедорки? Да и срать на неё.

Последние цеоны перед появлением Intel ME пойдут?

Нет, потому что Intel ME появился на 7 лет раньше чем AMD PSP - соответственно и последние-AMD-без-PSP значительно мощнее чем последние-Intel-без-ME

В сравнении с тем, что в моём десктопе сейчас, как-то даже не смешно

Конечно будет получается такая картина, если сравнивать 100W десктопный процессор 2013 года с современным полусерверным 280W из совершенно разных ценовых и весовых категорий. Притом что ещё есть A10-6700, который на 3% медленнее чем A10-6700 и 65W всего

По идее, твой 280W тредриппер нужно сравнивать с двумя 140W Opteron 6386 SE которые можно установить в материнскую плату KGPE-D16 поддерживающуюся опенсорсным BIOS'ом libreboot:

https://www.cpubenchmark.net/compare/3623vs2294/AMD-Ryzen-Threadripper-3970X-...

Да, два этих оптерона вместе взятых проигрывают твоему тредрипперу в 3.8 раза - но это компенсируется свободой и безопасностью (отсутствие ME/PSP + наличие опенсорсного БИОСа), да и стоимостью сборки

Найди SoC без блобов, проблем-то

Судя по истории с EOMA68 безблобовый ARM это практически невозможная штука, в отличие от x86 где безблобовость хоть и сложна но реальна (см. libreboot)

лучше RISC-V взять

Приведи примеры RISC-V - плат, которые схожи по производительности и функционалу хотя бы с какой-нибудь A88XM-E с установленной на него A10-6800K, не проигрывая при этом по свободе

Судя по истории с EOMA68 безблобовый ARM это практически невозможная штука,

Можно, пожалуйста, линк?

в отличие от x86 где безблобовость хоть и сложна но реальна (см. libreboot)

Так ведь на x86 остаётся куча заблобированных контроллеров и микрокод в ядре, как и в целом CPU с неведомыми бэкдорами и уязвимостями.

Конечно будет получается такая картина, если сравнивать 100W десктопный процессор 2013 года с современным полусерверным 280W из совершенно разных ценовых и весовых категорий.

Мне насрать, на самом деле. Штука в том, что одна из этих железок позволяет мне делать мою работу, а с другой я могу пойти трахать девок на полдня пока проект собирается и проходит тесты.

Да, два этих оптерона вместе взятых проигрывают твоему тредрипперу в 3.8 раза - но это компенсируется свободой и безопасностью (отсутствие ME/PSP + наличие опенсорсного БИОСа),

А можно документальные пруфы, что моя сборка на тредриппере не безопасна? Мат.плата ASRock TRX40 Creator, бивис самый последний.

да и стоимостью сборки

Стоимость сборки не играет роли, если использование этого говна увеличивает временные затраты в минимум 5 раз (учитывая древний pcie и тормоза дисков, наверняка и больше), и в результате проект, который мог быть оттестироваться за пару часов, висит на тестах двое суток. Я потеряю больше чем сэкономлю на железе.

Судя по истории с EOMA68 безблобовый ARM это практически невозможная штука, в отличие от x86 где безблобовость хоть и сложна но реальна (см. libreboot)

Судя по существованию Pinephone, ты брешешь.

Кстати, про Intel ME уже лет 10 все ноют. Но я до сих пор не читал ни про один случай, когда кого-то бы взломали через этот самый Intel ME. Можно хоть одну ссылку-то? Ну вот хотя бы одну.

тредриппере

Думал сленг, :) но, оказывается, действительно Threadripper.

в любом устройстве, произведённом последние лет 15-20, есть ндв/трояны/условия/бэкдоры.
«первый раз чтоли?»(с)

можно документальные пруфы, что моя сборка на тредриппере не безопасна? Мат.плата ASRock TRX40 Creator, бивис самый последний.

Со стороны железа, главная проблема - наличие «бэкдора» AMD PSP, и т.к. AMD PSP есть во всём современном железе AMD - то и известно про него достаточно много, и поиск в инете по «AMD PSP Vulnerability» даёт достаточно информации. А со стороны прошивки: 1) поиск в инете по «*** UEFI Vulnerability», где вместо *** - компания-вендор БИОСа твоей матплаты (AMI, Insyde, Phoenix или что-то ещё) 2) поиск в инете по «UEFI Malware» - здесь компанию-вендор указывать необязательно, т.к. UEFI расширяем по своей архитектуре и любая достойная малварь не должна зависеть от конкретного вида UEFI (в то время как опенсорсный БИОС как правило собирается вместе с SeaBIOS и соответственно его с этой стороны не подковырнёшь)

В-общем, на первый взгляд всё выглядит примерно как у другого современного железа - что неудивительно, ведь проприетарщина априори небезопасна. Единственное преимущество конкретно у ASRock TRX40 Creator в том, что обновления проприетарного БИОСа приходят к тебе уже 3.5 года - обычно производитель «забивает» на них намного раньше (хотя и тут - в 2020 году было 5 обновлений БИОСа, а потом - по одной обнове год, но по крайней мере не забросили). Между тем, в опенсорсный БИОС обновления прилетают постоянно и например для моего G505S уже ~10 лет обновлений спустя последней обновы проприетарного БИОСа. И дело тут не только в безопасности - а и в отшлифованности за все эти годы и в наборе фич

Стоимость сборки не играет роли, если использование этого говна увеличивает временные затраты в минимум 5 раз (учитывая древний pcie и тормоза дисков, наверняка и больше), и в результате проект, который мог быть оттестироваться за пару часов, висит на тестах двое суток. Я потеряю больше чем сэкономлю на железе.

Если по стоимости сборки на этом «говне» я выиграю в 5 раз, то при недостатке производительности могу просто поставить несколько таких «свободных серверов» и объединить их в вычислительный кластер - притом что многие ради безопасности готовы переплатить и в 10 раз - всё зависит от того, какую информацию ты собираешься обрабатывать. Ведь если у тебя какие-то неважные/несекретные данные - например, монтируешь видео которое ты и так потом выложишь на ютюб - то действительно тебе не имеет смысла обрабатывать их на «защищённом железе»: как минимум, оно просто так изнашиваться будет - а оно не вечное и больше такого не делают

тормоза дисков

а никто не заставляет ставить сюда старые диски - остальные компоненты можно устанавливать сколь угодно крутыми. Например, в свой десктоп на A88XM-E я поставил видеокарту RX590 - последнюю видеокарту без AMD PSP (да-да, они эту хрень и в видеокарты стали пихать), несмотря на то что сборка получилась достаточно асимметричной

Судя по существованию Pinephone, ты брешешь

Скажу тебе по секрету, Pinephone далеко не безблобовый, хоть его создатели и стремились к максимальной безблобовости - правда не избежав при этом нескольких сомнительных решений, например поставили блобовый WiFi вместо безблобового Atheros ath9k (как это сделали Purism с Librem) - и вот вам +1 блоб на ровном месте. Причём, ладно в обычном Pinephone они поставили WiFi от Realtek для которого ещё реально было что-то сделать и были какие-то наработки - в Pinephone Pro зачем-то засунули WiFi от сраного Broadcom'а, одна из наихудших компаний по отношению к опенсорсу (пожалуй даже хуже чем NVidia) и который все нормальные люди при возможности обходят стороной

про Intel ME уже лет 10 все ноют. Но я до сих пор не читал ни про один случай, когда кого-то бы взломали через этот самый Intel ME

Под Intel ME уже давно копают - и не только всякие службы, а и киберпреступники - например, https://www.csoonline.com/article/572885/cybercriminals-look-to-exploit-intel-me-vulnerabilities-for-highly-persistent-implants.html . Только вот о способе взлома жертва не узнает ни в первом (в судебных документах эта информация не раскрывается) , ни во втором случае - соответственно никто не будет кричать на форумах «меня взломали через Intel ME»

Если рассматривать более детально, найдётся и более свежее железо без «ндв/трояны/условия/бэкдоры» ; например, в Intel с 2006 года сидит Intel ME, а вот AMD впендюривают PSP в процы только с 2013/2014 (а в видеокарты пришёл ещё позднее, судя по без-PSP'шной RX590 вышедшей в 2020)

С другой стороны, и железо старее «последних лет 15-20» может быть небезопасным: например, компания Absolute Software - создатель Computrace по сути являющегося бэкдором BIOS'а - ведёт свой бизнес с 1993 года. Даже на их официальном сайте Absolute некоторые документы есть в открытом доступе, например - AbsoluteUG.en.pdf (раньше ссылка работала, сейчас открывается только через архивы - нужно щёлкнуть на значок скачки справа в верхней панели)

Вывод: и к старому железу нужно подходить избирательно, + без опенсорсного биоса от зондов далеко не убежишь

Судя по истории с EOMA68 безблобовый ARM это практически невозможная штука,

Можно, пожалуйста, линк?

CrowdSupply - EOMA68 Computing Devices . Ребята пытались сделать плату на ARM которая могла бы быть успешно сертифицирована Free Software Foundation как RYF («Respects Your Freedom») - т.е. способна работать без закрытых бинарников. Но им и пришлось взять Allwinner A20 из 2013 года, и разработка в итоге застопорилась

Так ведь на x86 остаётся куча заблобированных контроллеров и микрокод в ядре, как и в целом CPU с неведомыми бэкдорами и уязвимостями.

С точки зрения FSF если блоб неперепрошиваемый и зашит в ROM, то его можно считать частью железа и он позволителен; + в нашем случае у такого блоба не будет сообщника в лице ME / PSP / проприетарного UEFI, под сотрудничество с которыми он мог бы быть изначально разработан

С точки зрения FSF если блоб неперепрошиваемый и зашит в ROM, то его можно считать частью железа и он позволителен;

Это всего лишь фиксация части бэкдоров на каком-то одном старом уровне без возможности их обновить в соответствующих контроллерах.

Со стороны железа, главная проблема - наличие «бэкдора» AMD PSP, и т.к. AMD PSP есть во всём современном железе AMD - то и известно про него достаточно много, и поиск в инете по «AMD PSP Vulnerability» даёт достаточно информации.

По «Linux vulnerability» даёт ещё больше. Является ли лялекс бэкдором?

То, что PSP закрыт и его сложно обновить, это проблема. Но это не значит, что это бэкдор.

Если по стоимости сборки на этом «говне» я выиграю в 5 раз, то при недостатке производительности могу просто поставить несколько таких «свободных серверов» и объединить их в вычислительный кластер

Отлично. Я уже представляю, как у меня в рабочем кабинете вместо одного маленького тихого компа несколько гудящих ящиков. Просто потрясающая по своей тупости идея. Сразу видно, что ты никогда не строил кластиров и не пытался раскидывать по ним нагрузку.

а никто не заставляет ставить сюда старые диски - остальные компоненты можно устанавливать сколь угодно крутыми.

Ты не понял. Там версия pcie древняя, поэтому новые крутые nvme диски не будут работать на полной скорости.

Под Intel ME уже давно копают - и не только всякие службы, а и киберпреступники - например, https://www.csoonline.com/article/572885/cybercriminals-look-to-exploit-intel-me-vulnerabilities-for-highly-persistent-implants.html

И это всё? Это реально всё что ты нашёл? Какую-то всратую статейку о том, что «преступники копают»? Они и в лялекс копают, и ещё повсюду.

Где результаты анализа-то? Вон те же PT Security сделали инструменты для удаления большей части Intel ME, но прямо бэкдоров они там не нашли. Неужели это настолько крутой бэкдор, что за 10 лет про него не нашли вообще нихрена? Позор просто какой-то.

То, что PSP закрыт и его сложно обновить, это проблема. Но это не значит, что это бэкдор

Если некий сопроцессор с закрытой прошивкой по непонятной причине добавили к процессору, и с этой стороны постоянно находятся уязвимости через которые можно бэкдорить - то это и есть бэкдор

вместо одного маленького тихого компа несколько гудящих ящиков

охлаждать 140W оптероны легче чем 280W тредриппер, соответственно гула от них будет меньше - а если повезёт, можно отыскать и пассивное охлаждение для полной тишины

Согласен с тем, что места 5 системников с оптеронами (если требуется тот же уровень производительности) будут занимать больше чем твой 1 системник с тредриппером, да и удобства в работе меньше, но свобода/безопасность требуют жертв + многие тяжёлые задачи можно отдать на откуп незащищённому железу, и тогда тебе вполне хватит и одного системника с оптеронами чтобы чувствовать себя как за каменной стеной

Там версия pcie древняя, поэтому новые крутые nvme диски не будут работать на полной скорости

на этой странице сравнивали nvme диски на pcie 2.0 и 3.0, разница получилась в районе 10% чем вполне можно пожертвовать. Например, в опенсорсном БИОСе coreboot для своего AMD без-PSP'шного ноута G505S - я отказался от использования проприетарного бинарного XHCI-блоба для USB 3.0; в результате мои синие USB-порты работают в режиме USB 2.0 - но внешний жёсткий диск от этого медленнее всего на 10%, и я ни о чём не жалею... Однако, если наличие PCIe 3.0 критично, можно собирать десктоп на A88XM-E / F2A85-M - эта платформа поновее и PCIe 3.0 там есть; правда процессоры не такие производительные как те оптероны, но зато и менее прожорливые

И это всё? Это реально всё что ты нашёл? Какую-то всратую статейку о том, что «преступники копают»?

Ну как бы ты просил одну ссылку, вот я и нагуглил её за минуту) Если покопаться подольше, наверняка можно найти что-то поинтереснее... А вот ты мне ссылок вообще не приносишь, хотя мне было любопытно следующее:

Приведи примеры RISC-V - плат, которые схожи по производительности и функционалу хотя бы с какой-нибудь A88XM-E с установленной на него A10-6800K, не проигрывая при этом по свободе

Если некий сопроцессор с закрытой прошивкой по непонятной причине добавили к процессору

По непонятной кому? Тебе? Скажи, а 8259 и APIC – тоже бэкдоры? Как насчёт ACPI контроллера?

на этой странице сравнивали nvme диски на pcie 2.0 и 3.0, разница получилась в районе 10% чем вполне можно пожертвовать.

24 января 2017 Г.

Отлично. А теперь сравни их с 5.0. 8 гигабайт в секунд – это довольно вкусно.

Ну как бы ты просил одну ссылку, вот я и нагуглил её за минуту)

Там нету того, о чём я просил. Я просил пример взлома через Intel ME. Например, чувак пишет: «вот да, к моему компу удалённо через Intel ME подключились злобные хацкеры и взломали меня и украли фотки моего маленького члена». Есть такое? Потому что через другие каналы атаки – просто 100500 таких историй. Даже про дырявый лялекс и тысячи взломанных серверов есть, потому что тупые админы забыли обновить дистр или правильно настроить сервис. А про Intel ME почему-то нет. Пока что выходит, что Debian с дефолтным конфигом без обновлений – гораздо больший бэкдор.

Как обычно, нерелевантный бред в ответ. Жизнь похожа на магию, когда мозг усох.

тут ты выставляешь себя лопухом. Вот статья и видосы о wifi:
http://rfpose.csail.mit.edu/
https://www.youtube.com/watch?v=HgDdaMy8KNE

Скажи, а 8259 и APIC – тоже бэкдоры? Как насчёт ACPI контроллера?

У всяких там контроллеров прерываний и ACPI - есть практический смысл не несущий явных угроз безопасности, и внедряли их довольно давно (видимо без них при развитии ПК обойтись было сложно) - так что насчёт них у меня нет никаких претензий.

В случае же с Intel ME / AMD PSP мы видим, что компы преспокойненько так развивались без этой фигни до 2006 / 2014 года - пока «жареное NSA не клюнуло», тогда и внедрили их вопреки всякому здравому смыслу. Пользователи об этой хрени не просили, и спокойно бы жили без неё дальше - но её буквально навязали сверху, как и UEFI о котором тоже никто не просил

сравни их с 5.0. 8 гигабайт в секунд – это довольно вкусно

Так ведь у твоего 3970x только pcie 4.0 есть. Да и чтобы на практике почувствовать эти 8 гигабайт (64 гигабит) в секунду, придётся очень сильно облегчить свой кошелёк (новая дорогая платформа + супербыстрый SSD) - и тогда уж можно взять рабочую станцию Talos II - там и БИОС опенсорсный, и Intel ME / AMD PSP нет, и PCIe 4.0, и архитектура интересная. Правда он и стоит дофига - но если твой бюджет не ограничен и безопасность тебе реальна важна при желании максимальной производительности, можешь рассмотреть такой вариант

Я просил пример взлома через Intel ME. Например, чувак пишет: «вот да, к моему компу удалённо через Intel ME подключились злобные хацкеры и взломали меня и украли фотки моего маленького члена». Есть такое?

А как ты предлагаешь этому чуваку определить, что ломанули его именно через Intel ME? Вряд ли хацкеры будут рассказывать своим жертвам о том, как именно их ломанули. + При взломах через дыры OS могут хотя бы логи неподчищенные остаться, а в случае Intel ME - где искать эти логи?

Debian с дефолтным конфигом без обновлений – гораздо больший бэкдор

а он и с обновлениями будет «бэкдором», как минимум потому что с SystemD - который как Intel ME / AMD PSP тоже безальтернативно навязывают сообществу; но по крайней мере с софтом есть возможность бежать на другие дистры, в отличие от железа

охлаждать 140W оптероны легче

Уже не требуется)

GNU Boot Drops Some Motherboards & CPU Code After Discovering Non-Free Bits
Asus KCMA-D8, KFSN4-DRE and KGPE-D16