Comments 12
Спасибо, статья — огонь! :)
На сколько я понимаю, от DMA атаки можно защититься через IOMMU (VTd или AMD-Vi). Где-нибудь такое используется?
На сколько я понимаю, от DMA атаки можно защититься через IOMMU (VTd или AMD-Vi). Где-нибудь такое используется?
+2
Правильно понимаете, а я банально забыл про это упомянуть, каюсь. Реального использования IOMMU для защиты от DMA-атак я не видел пока, но думаю, что еще увижу, а если чипсеты AMD, которые мы сейчас используем, окажутся ей подвержены, то придется реализовавывать защиту самому.
0
UFO just landed and posted this here
Ну мы давно используем его для защиты от DMA атак, но, правда, не из UEFI, а из своего варианта Linux+KVM.
Тут проблема в том, что IOMMU работает далеко не на всех мамках, даже если чипсет его поддерживает. Я, если честно, пока не копал почему. А еще многие мамки имеют 1-2 IOMMU домена на все устройства, т.е. нельзя для конкретного устройства разрешить запись куда-то, а для другого запретить, что довольно уныло :(
На сколько я понял вы сами делаете мамки, так что для вас эта проблема не очень актуальна.
Тут проблема в том, что IOMMU работает далеко не на всех мамках, даже если чипсет его поддерживает. Я, если честно, пока не копал почему. А еще многие мамки имеют 1-2 IOMMU домена на все устройства, т.е. нельзя для конкретного устройства разрешить запись куда-то, а для другого запретить, что довольно уныло :(
На сколько я понял вы сами делаете мамки, так что для вас эта проблема не очень актуальна.
+1
UFO just landed and posted this here
UFO just landed and posted this here
Кстати, насколько помню coreboot, в нём SMM обработчики отсутствуют (про куски AMDшной PI, и схожего с ним интеловского blob-а ничего не скажу, там оно вполне себе может жить). Такчто параноиками и диким любителям безопасности могу порекомендовать перелезть на coreboot с открытой agesa-ой (тоесть на 10-15 семейство амдшных процессоров). Далее залочить флешку и жить спокойно.
+1
Sign up to leave a comment.
О безопасности UEFI, часть вторая