>Ага, но внутри этой клетке можно хоть трижды шпионскую венду разворачивать, разницы особой нет :)

Кстати да.

Нужно еще чтоб нельзя было грузиться с такого диска, а еще лучше чтоб компьютер совсем не включался, для пущей безопасности.

>Ты можешь запороть только виртуальный биос. В реальный ничего записать не удастся, пока гипервизор сам этого не захочет (а он и не захочет). Если вынешь микруху с биосом и перепрошьешь ее на программаторе, то произойдет следующее. При холодном старте машины процессор считывает код гипервизора к себе в кэш, высчитывает криптостойкую хэш-сумму кода гипервизора, и если она не совпадает хотя бы с одной из хэш-сумм, зашитых в чипсет (в северный мост, afaik), то процессор сам себе делает ресет. И так до бесконечности.

а ты откуда это всё знаешь ? :) ТАк что же и процессор перешивать ? :) Хэш-сума известно как считается ? Если да то могут найтись народные умельцы.

Ubuntu 9.04 : Paranoid edition.

Убунту на сервере? странный выбор

> а ты откуда это всё знаешь ? :)

Речь идет о технологии Intel TXT. Чуть подробнее можно узнать из http://www.intel.com/technology/security/downloads/arch-overview.pdf . Совсем подробно - из соотвествующей технической документации.

>Речь идет о технологии Intel TXT. Чуть подробнее можно узнать из http://www.intel.com/technology/security/downloads/arch-overview.pdf . Совсем подробно - из соотвествующей технической документации.

неужели AMD провославный ? Или мы, смертные, не вкурсе ?

> неужели AMD провославный ? Или мы, смертные, не вкурсе ?

Понятия не имею.

>Понятия не имею.

значит смертные не вкурсе

>> А если прошится открытой прошивкой для биоса (была недавно в новостях на ЛОРе)

>Гипервизор перехватит попытку перепрошивки и будет эмулировать успешное перепрошивание. То есть новая прошивка будет исполняться внутри виртуальной машины, под присмотром оригинального гипервизора.

Выдрать микруху и прошить на заранее доверенной системе. А потом вставить на место.

>Вот ты "на глаз" можешь определить, интегрирован ли вайфай в ту или иную материнку? Как проверить, что сеть в самом деле не поддерживается?

Засунуить комп в фольгу :)

Более того, я немного сгустил краски. В действительности процессор пытается запихнуть гипервизора в себя только после того, как код (процессору пофиг, откуда этот код берется) попросит о запуске гипервизора с помощью специальной инструкции. До запуска гипервизора оно может сколько угодно работать в обычном, не-виртуализированном режиме. Как ты понимаешь, столь либеральное поведение совершенно не трудно скорректировать на уровне процессорного же микрокода.

> Выдрать микруху и прошить на заранее доверенной системе. А потом вставить на место.

Когда ты ее вставишь, она не пройдет проверки на контрольную сумму, вшитую в чипсет.

>Ты можешь запороть только виртуальный биос. В реальный ничего записать не удастся, пока гипервизор сам этого не захочет (а он и не захочет). Если вынешь микруху с биосом и перепрошьешь ее на программаторе, то произойдет следующее. При холодном старте машины процессор считывает код гипервизора к себе в кэш, высчитывает криптостойкую хэш-сумму кода гипервизора, и если она не совпадает хотя бы с одной из хэш-сумм, зашитых в чипсет (в северный мост, afaik), то процессор сам себе делает ресет. И так до бесконечности.

А на момент старта можно подсунуть ему оригинальный БИОС, а потом тумблером переключить :)

>> Выдрать микруху и прошить на заранее доверенной системе. А потом вставить на место.

>Когда ты ее вставишь, она не пройдет проверки на контрольную сумму, вшитую в чипсет.

На момент проверки можно оригинальный код подсунуть. А два - процессор окуда-то будет брать КС. Ее тоже можно перехватить. В общем уже два варианта есть.

> А на момент старта можно подсунуть ему оригинальный БИОС, а потом тумблером переключить :)

Процессор всасывает код гипервизора себе в кэш. И внутри кэша подсчитывает контрольную сумму. Если она совпала с одной из вшитых в чипсет, то передает гипервизору управление. Если не совпала - уходит на ресет. И в любом случае, после проверки контрольной суммы щелкать тумблером поздно: старый гипервизор _уже_ находится внутри проца, код из перещелкнутого биоса проц считывать не собирается. А если и считает, то заново перепроверит сумму, прежде чем отдать свежесчитанному гипервизору управление.

в любом случае всякие Privacy Remix тут не помогут :)

> А два - процессор окуда-то будет брать КС. Ее тоже можно перехватить.

Шина между процессором и северным мостом - высокочастотная, хрен ты в нее вклинишься без _очень_ серьезной технической базы за спиной.

> Представлен сверхзащищенный вариант Ubuntu - Privacy Remix
> * Базовая система работает только c CD в режиме для чтения. Дистрибутив не предназначен для установки на жесткий диск, дополнительные программы, включая вредоносные, доустановить невозможно.
> * Из Linux ядра убрана поддержка оборудования для работы в сети, дистрибутив работает полностью автономно, задействование LAN/WLAN/Bluetooth запрещено.

Предлагаю выпустить так же ещё более защищённый вариант: Ubuntu Super Security Remix LiveCD. Он будет выключать компьютер сразу после загрузки.

> в любом случае всякие Privacy Remix тут не помогут :)

О том и речь.

>Процессор всасывает код гипервизора себе в кэш. И внутри кэша подсчитывает контрольную сумму. Если она совпала с одной из вшитых в чипсет, то передает гипервизору управление. Если не совпала - уходит на

Ну тогда можно обращение в чипсет перехватывать.

В принципе, можно придумать довольно стойкую систему. Но обнаружить ее все равно удастся. На крайняк на китайские спарки перейдем :)

>Шина между процессором и северным мостом - высокочастотная, хрен ты в нее вклинишься без _очень_ серьезной технической базы за спиной.

частоту сбросить (аппаратно есессно) и дело с концом.

> частоту сбросить (аппаратно есессно) и дело с концом

Кмк, при достаточно сильном даунклоке железо тупо перестанет работать - цепи на это не рассчитаны. Не говоря о том, что тактовый генератор может быть интегрирован.

> На крайняк на китайские спарки перейдем :)

Кто подобными вопросами всерьез озабочен, тот и так давно сидит на мцст-шных спарках и менее распиаренных отечественных поделиях :)

Всегда знал, что разработчики Ubuntu - наркоманы, а Шаттлворт - наркоборон.

> Из Linux ядра убрана поддержка оборудования, дистрибутив работает полностью автономно, задействование компьютера запрещено.

fixed

>> частоту сбросить (аппаратно есессно) и дело с концом

>Кмк, при достаточно сильном даунклоке железо тупо перестанет работать - цепи на это не рассчитаны. Не говоря о том, что тактовый генератор может быть интегрирован.

Раза в 1.5-2 сбросить можно будет. Подключится - вопрос решаемый. Другое дело, что могут и мост в процессор вшить.

> Убунту на сервере? странный выбор

не раз такое видел кстати.

"з Linux ядра убрана поддержка оборудования для работы в сети," аААААААААААААаааааааааааааааааа!!!!!!!!!! сверхзащищенный канешн. нада еще клаву отрубить

=_=

/r/ "Сверхзащищенный вариант Windows: не запускается и не работает".

>Кто подобными вопросами всерьез озабочен, тот и так давно сидит на мцст-шных спарках и менее распиаренных отечественных поделиях :)

Кстати, а где можно купить?

Автор, исправь ошибку - не Privacy Remix а Paranoic Remix

Базовая система работает только c глазами в режиме осмотра диска. Дистрибутив не предназначен для запуска и установки на жесткий диск, дополнительные программы, включая вредоносные, доустановить невозможно. При попытке включения компьютера кабель питания отстреливается от системного блока на 0.75 метра дабы исключить заражение вирусами

Очень интересно и как раз то, что мне нужно. Выйдет окончательный вариант - скачаю и посмотрю!

у меня новый кноппикс в этом плане ещё безопаснее - виснет намертво во время загрузки.

>Из Linux ядра убрана поддержка оборудования для работы в сети, дистрибутив работает полностью автономно, задействование LAN/WLAN/Bluetooth запрещено.

OMFG запереться, а лучше замуроваться, в подвале как можно поглубже, положить сидюк с сабжем в сейф, закрыть сейф, вздрочнуть на безопасность и застрелиться, ибо мало ли. Да, подвал должен быть без электричества.

хм... а сейф и лопата в комплекте идут?

>Нда... без сети сейчас трудно себя представить. Сдаюсь тогда, не знаю. Какие-нибудь сверхсекретные документы набирать.

И сжигать потом вместе с кампутером?)

>>Нда... без сети сейчас трудно себя представить. Сдаюсь тогда, не знаю. Какие-нибудь сверхсекретные документы набирать.

>И сжигать потом вместе с кампутером?)

вместе с собой :)

Еще не хватает в комплекте криптоклавиатуры для слепого ввода зашифрованых данных +)

>Еще не хватает в комплекте криптоклавиатуры для слепого ввода зашифрованых данных +)

А если ты сам за собой шпионишь ? Тогда пусть положат очиститель памяти головного мозга к диску.

chmod -R a-wx / - А если сделать так тоже можно защитить систему от установки чего-либо? =))

на 2х интернет шлюзах стоит убунту 9.04 сервер, проблем не наблюдается. убунту сервер 8.04 отлично встал на машину с железным райдом и 2мя ксеонами. так что хватит уже рассказывать что убунту-сервер не серверная ось. нормальная ось, без излишеств.

да я знаю, говорю же, видел такое у хостеров. и все работает.

сори, счел за сарказм). скажу по секрету что был шлюз на убунту 8.04 и тоже работал довольно долго и успешно).

Пока его не решили обновить? О_о

> Пока его не решили обновить? О_о

и что здесь такого? я десктопную бубунту обновлял с 7.10 вроде до 8.04 и далее. проблем не было.

а смысл загружать такую убунту/висту/слакаваре/ и тд вообще тогда какой? вдруг у тебя скрытые камеры в комнате а ты ЦП смотришь?

Линус не так давно назвал разработчиков OpenBSD - "стадом обезъян, мастурбирующих на безопасность". Похоже к этим обезъянам добавилась ещё пачка гомодрилов...

Читаю новость. Чувствую явную под**ку... Так и хочется сказать про безопасность обесточенного компа, погребенного под двумя метрами бетона...