Теоретически, как можно убедиться, что в твоей прошивке не поселился руткит?

Вообще не понимаю, почему они это сделали: если так важен 100% опенсорс, можно ведь было заменить 0xFF'ками содержимое этих файлов с микрокодами. Правда наверняка бы что-нибудь отвалилось - как на G505S виртуализация без микрокодов глючная - но в целом плата оставалась бы рабочей. + Микрокоды сами по себе угрозы безопасности не представляют, без сообщников в лице проприетарного UEFI и т.д.

Что тебя побудило писать этот ответ 31 декабря вечером? Совсем жизни нет?

У всяких там контроллеров прерываний и ACPI - есть практический смысл не несущий явных угроз безопасности, и внедряли их довольно давно (видимо без них при развитии ПК обойтись было сложно) - так что насчёт них у меня нет никаких претензий.

А зря. Потому что ACPI – просто трешовая ссанина с тьюринг-полным бинарным DSL, который позволяет делать просто чудовищные говнища. Тот же анал карнавал, что и Intel ME, только на 15 лет старше.

В случае же с Intel ME / AMD PSP мы видим, что компы преспокойненько так развивались без этой фигни до 2006 / 2014 года - пока «жареное NSA не клюнуло», тогда и внедрили их вопреки всякому здравому смыслу. Пользователи об этой хрени не просили, и спокойно бы жили без неё дальше - но её буквально навязали сверху, как и UEFI о котором тоже никто не просил

В смысле, об UEFI никто не просил? Ты с дуба рухнул? Начнём с того, что UEFI позволяет грузить комп сразу в 64-битном режиме, а не прыгать из 16 бит в 32 и потом в 64. Ты ещё скажи, что 64 бита никто не просил, блин.

Да и чтобы на практике почувствовать эти 8 гигабайт (64 гигабит) в секунду, придётся очень сильно облегчить свой кошелёк (новая дорогая платформа + супербыстрый SSD)

Ну, я облегчил.

и тогда уж можно взять рабочую станцию Talos II

Нельзя. Там говно вместо процессора. Серьёзно, это просто чудовищная тормозная ссанина, даже без учёта необходимости эмуляции amd64 во многих случаях. Серьёзно, даже сраный ляптоп на Core i7 за килобакс-полтора выдаст больше производительности чем этот обоссыш.

А как ты предлагаешь этому чуваку определить, что ломанули его именно через Intel ME?

Примерно так же, как касперычи буквально намедни оперделили что у них айфоны инфицированы, а айфон – тоже та ещё анально залоченная платформа. Первый шаг: запираешь комп с Intel ME в лаборатории с контролируемым доступом в сеть, смотришь кто куда и как в него ходит. Ты совсем тупняк какой-то пишешь.

как минимум потому что с SystemD - который как Intel ME / AMD PSP тоже безальтернативно навязывают сообществу

В смысле, навязывают? Не покупай комп с Intel ME и не ставь дистры с systemd, и будет тебе счастье. Вон сам выше ссылку на Talos приложил, купи его. А ME/PSP оставь менее поехавшим чувакам.

Ты бы хоть правда сначала почитал, что такое Intel ME. По сути, все твои претензии тут заключаются в том, что новым процам от Intel нужна гемморная инициализация. Но она нужна вообще всем процам на x86. Так уж вышло, что x86 – наслоение говен, которое проще выкинуть совсем, чем пытаться разгрести. В твоих старых чипах тоже вёдра говна, просто там более древнее говно и ничуть не более безопасное. Руткиты для биосов существовали ещё с 90х, блин. Тут прямо в рекомендуемых темах ниже новость про руткит из времён до Intel ME: Руткит в BIOS

ACPI – просто трешовая ссанина с тьюринг-полным бинарным DSL, который позволяет делать просто чудовищные говнища

Не знаю, как там в проприетарных UEFI - а в коребуте ACPI полностью опенсорсен и его код особых смущений не вызывает

В смысле, об UEFI никто не просил?

UEFI - стандарт, разработанный злыми корпорациями с подачи Intel'а где-то там в кулуарах без учёта мнения сообщества. И никто не ставил этот UEFI себе осознанно: людям просто навязывался этот UEFI в комплекте с новыми материнками; без него они бы с радостью продолжали пользоваться классическим БИОСом, а так только пердолинга добавилось. Никто ведь не просил «о божественный Intel, дай нам новый комп с UEFI и Intel ME, и чтобы зондов побольше» ;-)

Начнём с того, что UEFI позволяет грузить комп сразу в 64-битном режиме, а не прыгать из 16 бит в 32 и потом в 64

Ничто не мешает разработать не-UEFI БИОС который бы делал точно так же. Прям-таки, если бы не «гениальное» изобретение UEFI, человечество так бы и не научилось прыгать сразу в 64 бита! Нашёлся бы и другой путь

Ты ещё скажи, что 64 бита никто не просил, блин

Судя по тому, что SeaBIOS - опенсорсное воплощение классического БИОСа на языке Си с дальнейшей эволюцией - вроде как до сих пор 32-битный - так оно и есть! Ведь если бы от этих 64 бит в БИОСе была бы ощутимая польза, сообщество давно бы научило SeaBIOS этим 64 битам. Но, видимо, пока что это признано «не нужным»

рабочую станцию Talos II

даже сраный ляптоп на Core i7 за килобакс-полтора выдаст больше производительности

А вот судя по бэнчмаркам - https://www.phoronix.com/review/power9-threadripper-core9/3 - эти POWER9 запросто уделывают i9 7900X и неплохо так соперничают с Threadripper'ами. Да, тут используются POWER9 с бОльшим количеством ядер чем в начальной комплектации Talos II с двумя четырёхядерниками - но никто не заставляет брать Talos II в начальной комплектации: на фоне общей стоимости рабочей станции, можно позволить себе выбрать и более производительные процессоры; к тому же, мы ведь обрабатываем дорогую информацию, раз уж гонимся за такой степенью безопасности...

касперычи буквально намедни оперделили что у них айфоны инфицированы

Ну так с айфонами есть хоть какие-то логи, в отличие от Intel ME + видишь, даже для сраных айфонов они только «намедни оперделили», а ты хочешь чтобы они Intel ME вычислили

запираешь комп с Intel ME в лаборатории с контролируемым доступом в сеть, смотришь кто куда и как в него ходит

Аппаратные бэкдоры такого уровня вряд ли будут триггериться без выполнения определённых условий, иначе было бы намного проще их вычислить и проанализировать их поведение. К тому же, это бэкдорство официально объявлена как фича - см. https://en.wikipedia.org/wiki/Intel_Active_Management_Technology - и любую сетевую активность можно списать на это

В смысле, навязывают? Не покупай комп с Intel ME

Можно так же сказать «навязывают машину с проприетарными прошивками? просто купи машину без прошивок», притом что машины без прошивок давно уже не делают и придётся ездить на старье. Можно так же заявить «проприетарные прошивки в машинах жизненно необходимы для всяких там фич вроде АКП и круиз-контроля» - забывая, что в автомобилях допрошивочного периода все эти фичи уже были реализованы чисто аналоговым способом

По сути, все твои претензии тут заключаются в том, что новым процам от Intel нужна гемморная инициализация. Но она нужна вообще всем процам на x86

Вся эта «гемморная инициализация» запросто может быть реализована без использования насильно навязанных ME / PSP и без проприетарщины. Это можно видеть на следующем примере:

у моего коребутной AMD'шной платы AM1I-A на архитектуре early fam16h «Jaguar» - 100% опенсорсная библиотека AGESA, которая выполняет всю эту «гемморную инициализацию» включая многоступенчатый DDR3-тренинг, и всё это делается безо всякого PSP. А вот в чуть более новой версии этой же архитектуры - late fam16h «Puma» - и сраный PSP внедрили и практически всю AGESA в бинарный блоб запрятали, при этом каких-то новых фич от этого не появилось. Понятное дело, что никто из простых людей не просил об этом «техническом регрессе»

Руткиты для биосов существовали ещё с 90х, блин

Руткиты для проприетарных БИОСов, дырявых как и вся проприетарщина. И бэкдоры в проприетарных БИОСах существовали ещё до появления UEFI - например, корпорация Absolute Software ведёт свой бизнес c 1993 года

UEFI - стандарт, разработанный злыми корпорациями с подачи Intel’а где-то там в кулуарах без учёта мнения сообщества.

Какого сообщества?

Кстати, стандарт-то открытый. Ты можешь сделать свою прошивку, загружающую ядра по UEFI. Впопенсорцные вон уже есть.

А вот судя по бэнчмаркам - https://www.phoronix.com/review/power9-threadripper-core9/3 - эти POWER9 запросто уделывают i9 7900X и неплохо так соперничают с Threadripper’ами.

Круто, но бенчмарки там чисто на CPU. Как только начинается сильный долбёж памяти, павер просасывает. А их всратый SMT4/8 только мешает.

Аппаратные бэкдоры такого уровня вряд ли будут триггериться без выполнения определённых условий, иначе было бы намного проще их вычислить и проанализировать их поведение.

Блаблабла, злой бэкдор есть, но мы его никогда не видели и сидим боимся-ссымся потому что нам так сказали.

Ещё раз, вон перцы из касперского за пару месяцев раскрутили реальный руткит в айфонах, которые залочены абсолютно не меньше, и это при том что эта срань ещё активно пряталась и заметала следы. Так что если за 15 лет ни одного пруфа нет, то это просто клоунада.

К тому же, это бэкдорство официально объявлена как фича - см. https://en.wikipedia.org/wiki/Intel_Active_Management_Technology - и любую сетевую активность можно списать на это

Нет, не любую. Плюс, AMT можно просто выключить, и тогда уже списать вообще ничего не выйдет. Серьёзно, ты сейчас на клоуна-попугая походишь, который вопит «АААААААААА INTEL ME КАКА КАКА», но никакой конкретики или пруфов злого умысла привести не может.

Можно так же сказать «навязывают машину с проприетарными прошивками? просто купи машину без прошивок», притом что машины без прошивок давно уже не делают и придётся ездить на старье.

Давно не делают? Их никогда официально не делали кроме как в последние годы и только пара вендоров. Те платы, что ты притащил, были отревершены отдельными задротами.

Вся эта «гемморная инициализация» запросто может быть реализована без использования насильно навязанных ME / PSP и без проприетарщины.

Может, конечно. Вон в Talos делают. Ты им бабла занёс? Нет? Так в чём вопросы-то? Плати чувакам деньги за впопенсорц, они будут тебе его делать.

дырявых как и вся проприетарщина.

https://www.cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33

Какого сообщества?

Сообщества людей не являющихся сотрудниками корпораций. Никаких публичных обсуждений стандарта UEFI перед его утверждением не было - поэтому и выглядело это как «братишка я тебе новый стандарт принёс»

стандарт-то открытый

Да, есть опенсорсная реализация UEFI, и её низкая популярность в среде коребутчиков - людей, кто реально может выбирать между SeaBIOS и UEFI а не «жрать что дают» - лишь подчёркивает мой тезис о реальной ненужности UEFI:

Поиск ноутбука для coreboot/libreboot без зондов, блобов и прочего (комментарий)

В итоге, популярность конкретных дополнений опенсорсной прошивки coreboot по состоянию на 3 декабря 2022 года:

SEABIOS - 7970/8864 = 89.91%
????? ---- 867/8864 = ~9.78%
GRUB2 ----- 11/8864 = ~0.13%
TIANOCORE — 9/8864 = ~0.10%
LINUX ------ 5/8864 = ~0.06%
FILO ------- 2/8864 = ~0.02%

ВЫВОД: самым популярным дополнением опенсорсной прошивки coreboot - с популярностью ~90% - по-прежнему является SeaBIOS, современный минималистичный legacy БИОС на Си. И в то же время, UEFI мало кому нужен даже в опенсорсном виде Tianocore! Это лишний раз подтверждает мой тезис: UEFI - раздутая дырявая ненужная хрень, искусственно навязанная пользователям с новыми компами, т.к. по своей воле - при сборке опенсорсного БИОСа coreboot - UEFI практически не выбирают.

Круто, но бенчмарки там чисто на CPU

Разумеется, эти бенчмарки оперативку тоже используют, и достаточно интенсивно

Блаблабла, злой бэкдор есть, но мы его никогда не видели и сидим боимся-ссымся потому что нам так сказали.

Не «сидим боимся-ссымся» - а выбираем железо где нет ненужной потенциально бэкдорной навязанной хрени, и по возможности бойкотируем железо где эта хрень присутствует

перцы из касперского за пару месяцев раскрутили реальный руткит в айфонах

айфонам вон уже сколько лет, а эти слоупоки только сейчас раскрутили

Плюс, AMT можно просто выключить, и тогда уже списать вообще ничего не выйдет

Можно просто сказать «выключалка сломалась» или ещё какую-нибудь отмазу придумать - клиент все равно не сможет сдать этот проц и получить назад деньги, да и для будущих покупок у клиента практически нет выбора: у этих ME, у тех PSP, у других Trustzone и т.д. - так что процессор с бэкдором купить все равно придётся

«АААААААААА INTEL ME КАКА КАКА»

Конечно же это «кака» - как минимум она увеличивает «attack surface», добавляет жирный бинарный блоб в прошивку, да и просто жрёт ценное пространство SPI Flash

Давно не делают? Их никогда официально не делали кроме как в последние годы и только пара вендоров. Те платы, что ты притащил, были отревершены отдельными задротами.

Это было к тезису о навязанности UEFI в комплекте с новыми компами

Может, конечно. Вон в Talos делают.

Да, и это очередной пример того что развивать компы можно и без впендюривания в них непрошенных «фич». Поэтому неразумно утверждать, что без изобретения PSP и без UEFI человечество ну ни как не смогло бы разработать эти ваши тредрипперы и прогресс остановился бы

Ты им бабла занёс?

Пока ещё нет, но обязательно занесу если мне будет нужна мощная рабочая станция ещё мощнее чем KGPE-D16 - а пока что мне и A88XM-E и G505S хватает, даже для массового параллельного гоняния виртуалок. Просто потому что я выбираю эффективный оптимизированный опенсорсный софт, а не пользуюсь всякой проприетарной жирнотой

Linux-Kernel

А ничто не мешает пойти дальше и использовать BSD и т.д. К тому же, многие из уязвимостей линуксового ядра не работают при использовании разновидности linux-hardened

Теоретически никак. Практически ты можешь только искать и анализировать данные, которые передаёт машина во вне. Т.е. сменные накопители данных, сетевые пакеты, usb устройства и даже мышку с распечатками. Но это не спасёт от закладки которая активируется по сигналу из вне. Производителю тоже нельзя доверять.

Я бы предпочёл сам решать, чему мне можно, а чему нельзя доверять. Вопрос был задан конкретный.

Конкретный ответ на твой вопрос никак. Всё остальное - жевание соплей.