Comments 104
Так а в чем опасность?) Кто-то резко выдернет процессор, бросит в жидкий азот, и считает содержимое L3?
Эммм… а зачем для этого лочить проц?
Фьюзы сделаны одноразовыми чтобы никакой зловред никак не смог этот ключ подменить. Поэтому я и написал что лок — это не самоцель, а следствие.
При учёте того, что AMD/Intel не дают исходников PSP/ME даже IBV(AMI, Phoenix, Insyde), что мешало красному лагерю сделать тоже самое, пускай производитель сервера прожигал бы фьюзы, пляша от которых бутром PSP, живущий внутри камня, проверял бы подпись на загрузчике основной программы этого самого PSP.
В том то и проблема, что если Dell не доверяет «биосам» материнок других производителей, которым, доверяет Intel то это его проблема и решения нет.
А с PSB у Dell имеется свой ключ, и получается то же самое что и в первом предложении этого комментария, но заменить Intel на Dell. Вот и не получится нарушить полную цепь доверия компонентов Dell, просто заменив матплату совместимую с данным процессором.
Фирмварь-то после этого обновить можно будет хоть?
Ну и утечка ключа === привет, тогда, получается.
А утечка ключа — ну как бы да, проблем. Но не что не мешает на каждую серию\ревизию плат или корп. клиента иметь свой ключ, чтобы снизить размер привета.
Собственно, читатели Хабра понимают значение слова «безопасность» — а некоторые хабраавторы не понимают. И если авторам вендоры не приплачивают, то почему не написать как есть, а не нести чушь про «безопасность», цельнотянутую из маркетингового прогона вендоров?
И заинтересованы в этом всем будут прежде всего облачные провайдеры, которые крутят тучу клиентов на одном и том же железе. И хер его знает, не пытается ли кто из них пролезть через гипервизор и залить в прошивку руткит. Здесь так же очень кстати аппаратное шифрование памяти виртуалок у амд. Вон гугл клауд на эпиках новый тип виртуалок сделал благодаря этому cloud.google.com/blog/products/identity-security/introducing-google-cloud-confidential-computing-with-confidential-vms
Я в этой теме не очень силен. Но, теоретически, вижу здравое зерно в том, чтобы брендовая материнка и, соответственно, вся система не запускалась на ОЕМ процессоре.
Но не понимаю почему запрещено запускать процессор на другой конфигурации? Вот вынул я камень со списанного сервера на работе и воткнул в свой гиковский десктоп, мне эта безопасность нафиг не сдалась. Я могу понять эту ситуёвину в случае с дисками, чтобы мы не могли ни систему на других дисках запустить, ни диски на другой системе, ибо на них информация.
Зачем лочить и процессор и мат. плату? Процессор сам по себе никакой угрозы не несёт.
771й процессор тоже в 775 сокет не подходил на старте, а вон как повернулось.
В конце-концов можно пережечь какой-нить утилитой все фьюзы и вычислить подпись к этим нулям — и железо снова станет «универсальным».
Впрочем скорее всего в рамках одного производителя и поколения процессоров коды наверно будут одинаковые, а на вторичке будут просто продавать «EPYC от DELL», и все привыкнут. Никто ведь не удивляется что корзины от ХП не подходят к супермикре.
Жреть дофига, шумит соответственно, NUMA, опять же, если процов два, у которых с частотами Молаг Бал колдовал…
ECC точно работает на практически всех ASUS/ASRock на B|X чипсетах.
Парочка вот таких (картинка левая у них) успешно трудилась еще на R5-2600, сейчас на R9-3900 в паре с X370 Killer SLI.
Если бы цель не ставили, то, очевидно, и не залочили бы.
Это следствие текущего, откровенно маркетингового, решения системы безопасности.
Не давать грузиться матери на "неправильном" проце — причина хоть и надуманная, но имеющая под собой основание.
Не давать грузиться процу на "неправильной" матери вообще никаких рисков безопасности не несёт.
Из ваших объяснений тоже не очень понятно почему лок должен быть двухсторонний а не только на матери.
С бу железками тоже всё не так просто. Жизненный цикл делловского сервера modelX, предположим, 5 лет, и через эти 5 лет dell просто перестанет подписывать для него любую комплектуху. И как только полетит хоть один из компонентов, вам придется выбрасывать весь сервер целиком, или идти искать, например, процессор на птичьем рынке, что для бизнеса так себе идея. А в это время amd будет производить пачками новую линейку неподписанных процессоров, которая будет вполне совместима с текущим железом.
А полная замена сервера — это очень вкусняшка, ибо dell это не только производитель железа, но еще и support и субподрядчик по различным работам в датацентрах.
Не надо искать заговор там, где его нет. Если посмотрите вокруг, то это стандартный подход в индустрии в плане реализации безопасной доверенной загрузки и ничего лучше не придумали. У эпл всю жизнь так было. В процессор зашит ROM на заводе с бутлоаудером и ключом, с которого начинается доверенная загрузка. Тоже самое делает qualcomm, nintendo, microsoft и наверняка туча других. Разница с амд лишь в том, что амд прожигает этот ROM при первом запуске. Это работает, это безопасно и проверено.
через эти 5 лет dell просто перестанет подписывать для него любую комплектуху
Что ничем не отличается от просто прекращения выпуска новых биосов. Подпись ничего здесь не меняет.
И как только полетит хоть один из компонентов, вам придется выбрасывать весь сервер целиком, или идти искать, например, процессор на птичьем рынке, что для бизнеса так себе идея.
Процессор можно будет купить любой другой для этого сокета. При первом запуске он так же будет залочен под мать. Все остальные компоненты вообще здесь не при чем, весь сабж только о процессора и защите биоса.
А в это время amd будет производить пачками новую линейку неподписанных процессоров, которая будет вполне совместима с текущим железом.
И? Если мать умеет с ним работать, то можете пойти купить и поставить.
Процессор можно будет купить любой другой для этого сокета. При первом запуске он так же будет залочен под мать. Все остальные компоненты вообще здесь не при чем, весь сабж только о процессора и защите биоса.
Если все обстоит так, то я вообще перестал понимать логику...
- Прошиваем кучу зловредов в биос матери
- Вставляем новый проц, который лочится под измененный биос
- Profit
Система безопасности требует наличие root of trust. При чем такого, который нельзя перепрошить и подменить
Получается, один раз, до лока, перепрошить можем. Безопасность стоимостью в один новый процессор?
Или фишка в том, что мы прошиваем кучу зловредов через удаленку, md5 (или типо того) меняется, процессор перестает нормально работать и сервер "безопасно" падает?
А вот если кто перепрошьёт уефи позже — сервер откажется стартовать.
Насколько я понимаю из обсуждения, откажется стартовать он на текущем процессоре. Если вставить новый, то он залочится под новый биос и обычно запустится.
Эта система поможет предотвратить удаленные атаки, когда прошить можно, а заменить процессор нет (если падение сервера можно назвать предотвращением).
В этом есть некоторый смысл. Тем не менее, на мой взгляд, решение больше коммерцией продиктовано чем здравым смыслом.
По крайней мере, ни об одной подобной атаке я не слышал.
Если нет способа вернуть процессор в рабочее состояние, то банальный фикс прошивки будет стоить тысячи долларов.
Это может понадобиться разве что военным, но у них там своя атмосфера.
Есть другое хитрое следствие, если за счет бага в прошивке можно активировать привязку процессора, получится этакий новый CIH. Который сработает при первом же обновлении фирмвари через WU.
Не надо искать заговор там, где его нет. Если посмотрите вокруг, то это стандартный подход в индустрии в плане реализации безопасной доверенной загрузки и ничего лучше не придумали.
и от чего меня защищает этот подход?
конечный пользователь, разумеется, который покупает эти самые сервера
что вы хотели спросить?
речь о приобретении себе лично или на фирму? на фирму.
принимаю ли участие в выборе оборудования? да.
принимаю ли я участие в эксплуатации серверов? да.
фирма — облачная платформа/хостинг-провайдер/etc или конечный потребитель серверов? конечный потребитель, даже не IT-компания.
сходу не готов сказать, расскажите свою версию атаки и как предлагаемое новшество поможет её предотвратить
А не задавать вопросы из принципа: раз мне не нужно, значит никому не нужно
почему я должен страдать из-за того, что нужно кому-то другому? давайте в рамках борьбы с изнасилованиями женщин проведём ещё всеобщую кастрацию мужчин.
Хотя на мощном домашнем компе она работала неплохо, но единственным преимуществом был новый DirectX для игорей и без него ХР там жила бы до выхода 8.1.
Ненависть к висте была, в основном, потому что ее агрессивно напихивали туда, где XP шевелилась если не с трудом, то на грани: 512 памяти, встроенный GPU, одно ядро, и частоты чуть выше 1GHz — пара охочих до ресурсов приложений и все.
В таких случаях просто неоткуда было взять и отдать ей второе ядро для ее собственных нужд и полгига памяти в придачу. И аппетиты к жесткому диску: на быстром тонком Maxtor 40GB — отдать треть только под ОС? UAC, опять же — не зря его иначе как "*уяк" и не называли.
Ну а к выходу 7 домашние компьютеры уже подросли немного, и на двухядернике с 2÷3 GHz, 2ГБ памяти и интеграшкой не от интел — было вполне удобно.
как в страдания записывали переход с классического биоса на уефи
протесты были не против возможности ограничивать запуск неподписанного кода, а против того, что принятие решение о том, какой код можно запускать, хотели отобрать у пользователя. и как раз благодаря той шумихе такого в массовом сегменте не случилось (для arm, например, случилось).
Secure Boot реализуется исключительно программно, в UEFI, и никак не задействует ни ME, ни Boot Guard, ни в принципе не привязан к x86. Это просто проверка цифровой подписи у EFI-файлов и компонентов, средствами самого UEFI, и пользователь может модифицировать доверенные сертификаты.
Вы думаете о какой-то другой технологии, верноятно, Trusted Boot.
В свое время не знал про такую заботу о "безопасности" пользователя, и купил для Dell'вского NAS. Абсолютно аналогичные не брендованные диски. "Нагнул систему" — думал он: "купил такие же диски в два раза дешевле".
Хорошо покупал на амазоне — смог без проблем вернуть после того как не определились.
Кстати о "целостности данных" Dell, похоже, тоже заботится, ибо диски помирали с завидной предсказуемостью, как по плану. Даже в бюджет компании была внесена сравнительно точная сумма на год, на покупку новых.
Вот следишь так за хитростями современных маркетологов и все больше удивляешься тому, что платишь за покупку того или иного «чуда инженерной мысли» полную стоимость, но по предоставленным тебе возможностям похоже, что скорее берёшь его в аренду.
Слов нет, связать каждый компонент с каждым — неплохая (но очень узкополезная) идея, но смущают всё те же старые мысли:
1) пресловутая универсальность компьютеров резко пропадает, а цена не падает (более того, во многих случаях вендор даже не говорит, какую подляну можно купить себе — и это, что характерно, обманом покупателя не считается), и
2) все эти коды и подписи что-то вовсе не супернадежны — так что можно быть уверенным в том, что вскоре умные головы найдут, как обойти защиту по воровству данных или внедрению руткита, а вот покупатель будет еще и лимитирован в возможностях что-то поделать. А вендоры (да вот интел со своими дырами как пример) вовсе не побегут за свой счет юзерам менять дырявое привязанное железо на недырявое привязанные.
Те вывод не радует — за свой счет покупать руки-выкручивалку мало кому интересно. Для крупных провайдеров (вот выше гугл с его облаком упоминался) — да, это может и подойти (так они и фирмварю с дизайном серверов сами могут себе позволить делать, так что, случись косяк, сами и будут устранять — или не будут), но на массовом рынке такая фича, без четкой возможности не включать изначально не всем понравится.
Ну а рассуждения вида «вы же не нищеброды, вы же предпочитаете покупать новое железо» — с учетом, что не каждый новый процессор выдает существенный рост производительности, а порой из заметных фич размахивает только экономией энергии, да и просто из логики, что процы не горят ровно через пару лет после выпуска, идея купить б/у и собрать себе стенд здесь, на Харбе, принимается многими вполне хорошо, как бы вендоры не убеждали в обратном.
И, повторюсь, пример производителей процов, в чьих детищах широкие возможности для атак, защита от которых сводится к обновлениям софта, ведущего к замедлению камней (и то не на 100% уверенность) — можно точно сказать, что проблемы и с новинкой будут, и будут они строго за счет покупателей.
К этому идет, вон принтеры уже иногда не работают, пока подписку не оплатишь.
Как уже писали выше, здесь и правда маркетологи и б/у рынок не слишком поучаствовали, Intel Boot Guard уже давно работает абсолютно аналогичным образом — ключи вендора зашиваются в Intel ME, после чего при модификации биоса / переносе чипа на комп другого вендора — ничего не запустится. И это в первую очередь защита от малвари.
Основное отличие в том, что если у интела ME с ключами сидит в чипсете (а чипсет у десктопов и серверов — на материнке), то у AMD соответствующий сопросессор PSP сидит прямо в CPU. Поэтому и не получится "перекинуть" залоченный процессор.
Впрочем, вы точно так же не сможете поставить залоченный ультрабучный б/у процессор Intel — там чипсет совмещён с процессором, что приводит к идентичной ситуации.
Почему то самую интересную часть не перевели:
We did not get to test higher-end CPUs since Dell’s iDRAC can pop field-programmable fuses in AMD EPYC CPUs that locks them to Dell systems.
Вобщем, любому процессору EPYC, установленному в эту мат.плату, тут же пережигаются фьюзы, и он навсегда оказывается привязан к мат.платам Dell.
"can" не есть "will", но гарантий никто не даст.
Успешно распространившийся вирус прожигающий фьюзы мусором. От покупок б.у. EPYC я пожалуй буду воздерживаться.
Навскидку:
- Продать тому, кому представляет выгоду дохлый сервер конкурента
- Ваш
и файлы зашифрованыпроцессор заблокирован, переведите $1000 in BTC на следующий адрес …
Если он гарантийный то и проблемы нет, если негарантийный то это значит что ему уже больше 5 лет и конкуренты этого ларька, который купил б/ушный сервер денег не наскребут на такую атаку.
Если «процессор заблокирован», то он не загрузится и не напишет куда переводить. Да и ушатать компы можно прямо сейчас, без этой заморочки с процессором: залить во все флеши нули (постирать биосы-прошивки на матери/контроллерах/винтах/SPD оперативки/и тд)
Если он гарантийный то и проблемы нет
Процессор исправный, и находится в состоянии, обусловленном принципами его работы. Никто не поменяет его по гарантии, не гарантийный это случай.
не загрузится и не напишет куда переводить
Если файлы ОС зашифрованы, то она не загрузится и не напишет куда переводить. Зато в каждой затронутой папке остается файл с содержимым … переведите $1000 in BTC на следующий адрес … — как раз на тот случай, если будут восстанавливать из-под другой ОС.
Ну а по гарантии там по разному конечно бывает, смотря какой контракт.
Мелкую контору может так и кинут, а если крупная контора у крупной купила по контракту с 5-летней гарантией, то там и решается по другому: стикеры на месте и комп не работает — значит случай гарантийный.
В той организации где я сейчас работаю согласно контракту вендор меняет по гарантии системник даже если стикер на корпусе сорван и нет харда (харды мы не отдаем в любом случае)
Если этот правильно понял то это просто внезапно произошло, без преднамеренной активации деструктивной опции.
Значит, среди жертв прогресса окажутся гораздо менее компетентные люди, чем вы.
Серверные процессоры AMD EPYC залочены на вендора. Менять их между производителями нельзя «по соображениям безопасности»