Серверные процессоры AMD EPYC залочены на вендора. Менять их между производителями нельзя «по соображениям безопасности»



    Согласно информации портала ServeTheHome, некоторые производители серверных решений блокируют использование процессоров AMD EPYC на системах других вендоров. Этим действием производитель обеспечивает защиту корпоративных данных и повышенный уровень безопасности для первичного покупателя сервера. Вот только использовать процессор из этой сборки отдельно на материнской плате другого производителя будет нельзя.

    В настоящее время использовать систему защиты AMD Platform Secure Boot (PSB) предпочитает Dell. Таким образом компания гарантирует загрузку только на определенной заблокированной аппаратной конфигурации, при изменении которой система не будет работать. Функция PSB активируется с помощью SoC на базе ARM Cortex-A5.

    Для производителей безопасность серверов является приоритетом. Такие поставщики, как HPE, Dell и Lenovo, также считают системы на AMD EPYC более безопасными из-за наличия этой опции, чем аналогичные на Intel Xeon.

    Это хорошо для новой сборки, которую только что приобрел покупатель. Но если эта система попадет на вторичный рынок и будет разобрана на комплектующие, то у их покупателей начнутся проблемы. Например, чтобы запустить сервер с залоченным под вендора процессором, покупателю придется искать материнскую плату этого вендора с нужным фирмваре (прошивкой) или покупать б\у сервер целиком.

    Технически вендоры могут делиться между собой ключами для разблокировки процессоров AMD EPYC. Но это сложный путь, который производители избегают. Для обычных пользователей это означает, что перед покупкой использованного серверного процессора нужно обязательно уточнить у продавца информацию о его серийном номере и получить видео тестов загрузки с проверкой его работы на разных материнских платах перед оплатой.

    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 104

      +9

      Так а в чем опасность?) Кто-то резко выдернет процессор, бросит в жидкий азот, и считает содержимое L3?

        +65
        Подумаешь, L3. Вот если кто-то резко выдернет процессор и продаст его подешевле тому, кого можно было раскрутить на покупку сразу целого сервера в сборе — вот это реальная опасность!
          +4
          То что процессор нельзя поставить в плату другого производителя — это лишь следствие. Суть безопасности в построении цепи доверия от процессора до операционной системы. Если внедрить зловредный код на уровень bios\uefi то он останется незаметны для всего что грузится далее. А тут процессор проверяет подпись фирмвари, фирмварь проверяет подпись загрузчика ОС, ОС проверяет подписи прочего ПО, и т.д. — не подкопаешься.
            +8

            Эммм… а зачем для этого лочить проц?

              +3
              В процессор, в одноразовые фьюзы, прописывается ключ для проверки подписи фирмвари. Если процессор вставить в матплату с другой подписью — он же не знает это плата с биос-ом, подписанным другим ключём, или не санкционированно модифицированный биос.
              Фьюзы сделаны одноразовыми чтобы никакой зловред никак не смог этот ключ подменить. Поэтому я и написал что лок — это не самоцель, а следствие.
                +2
                В случае интеловских процов всё намного проще — прожгли фьюзы, бутром ME спокойно проверил прошивку этого самого ME и пошел плясать далее.
                При учёте того, что AMD/Intel не дают исходников PSP/ME даже IBV(AMI, Phoenix, Insyde), что мешало красному лагерю сделать тоже самое, пускай производитель сервера прожигал бы фьюзы, пляша от которых бутром PSP, живущий внутри камня, проверял бы подпись на загрузчике основной программы этого самого PSP.
                  0
                  Может ME и проще, но в нем имеются дыры делящие доверие на ноль.

                  Ну ок, говорите прожгли фьюзы на Интеле — как тогда вставить его в другую матплату без прошивки с тем же ключем? Ключ на плате прошит, или в самом биосе?
                    +2
                    Я вообще против чёрных ящиков в процессорах, но увы, сейчас либо ME/PSP, либо не х86. В другую плату — легко, проверяемый регион прошивки может быть спокойно подписан Intel-ом, благо модули прошивки ME собираются тамже.
                      +1
                      Вы имеете ввиду что в интеловские процессоры прошит интеловский ключ, и его можно вставить в платы с «биосом», подписанным интеловским ключем.

                      В том то и проблема, что если Dell не доверяет «биосам» материнок других производителей, которым, доверяет Intel то это его проблема и решения нет.

                      А с PSB у Dell имеется свой ключ, и получается то же самое что и в первом предложении этого комментария, но заменить Intel на Dell. Вот и не получится нарушить полную цепь доверия компонентов Dell, просто заменив матплату совместимую с данным процессором.
                        0
                        В том то и проблема, что если Dell не доверяет «биосам» материнок других производителей

                        а какое деллу вобще до них дело?

                          +6

                          Новый виток струйных принтеров, которые продаются ниже себестоимости, но для которых комплект картриджей стоит 70% от цены нового принтера.

                  0

                  Фирмварь-то после этого обновить можно будет хоть?
                  Ну и утечка ключа === привет, тогда, получается.

                    +1
                    Фирмварь, которая подписана ключем, который соответствует прошитому — да.
                    А утечка ключа — ну как бы да, проблем. Но не что не мешает на каждую серию\ревизию плат или корп. клиента иметь свой ключ, чтобы снизить размер привета.
                      +2
                      Утечка ключа? Откуда? У вендора что ли? Очевидно в проц шьется публичный ключ. Его никто и не прячет.
                        +3

                        Утечь может закрытый ключ. Тогда все системы подписанные им станут не доверенными. И таким только замена оборудования тогда.

                          +1
                          Может, но вероятность подобного довольно мала. Последствия этого — процессоры с такими процессорами смогу потенциально принять левую прошивку, которую кто-то подписал утекшим ключом. Не более. Т.е. возвращаемся к тому, что есть сейчас, когда проверок вообще никаких нет.
                      +1
                      А потом ключ компрометируется и одноразовые фьюзы внезапно из мощной заслонки становятся неустранимым бекдором.
                    +3
                    При учёте того, что северный мост сейчас уже везде в процессоре живёт, включая ME/PSP сопроцессор, который умеет проверять свою прошивку, которая умеет проверять биос/ефи, который умеет проверять опромы и загрузчики операционных систем возникает вопрос — чем в этом поможет вендорлок процессора?
                    +15
                    Опасность в том, что в сервер фирмы Лирково с лоховым процессором кто-то поставит б/у мощный процессор из сервера ХармаловПрезент и лирково недополучит прибыль.
                    +11

                    Собственно, читатели Хабра понимают значение слова «безопасность» — а некоторые хабраавторы не понимают. И если авторам вендоры не приплачивают, то почему не написать как есть, а не нести чушь про «безопасность», цельнотянутую из маркетингового прогона вендоров?

                      +2
                      Тут же очевиден классический вектор атаки: разрабатываешь процессор совместимый с AMD сокетом и ведущий себя как EPYC, система загружается, диски расшифровываются, после чего процессор начинает исполнять вредоносные инструкции и пересылает секурные ключи на сервер контролируемый злоумышленником. Один мой друг таким образом биткоин кошелёк увёл.
                        +5
                        Кажется перед этим надо незаметно спереть весь физический сервер.
                          +1
                          разрабатываешь процессор

                          Нужно всего лишь… (с)

                            0
                            так это… у китайцев же был доступ к x86 от амд старого поколения без части блоков с шифрованием.
                          +8
                          Читатели понимают, поэтому эта новость очень хорошая для тех, кому важна безопасность и, судя по всему, покупатели этих процессоров очень заинтересованы это все использовать. Здесь предельно очевидный профит и закрытие одной огромной дыры — отсутствие надежного root of trust в процессе загрузки машины. В прошивку можно понапихать какого угодно говна (что успешно и делают, что на ПК, что до недавно времени на маках пока там не появился Т2) и никто об этом не узнает. UEFI secure boot начинается как раз с прошивки, что делает его бесполезным. Перенос этого всего в проц с прожиганием фьюзов (а не прошивкой это во флэшку по какому-то супер пупер надежному алгоритму) можно сказать гарантирует невозможность просто модифицировать прошивку. Как правильно написали выше, невозможность установить такой проц в платформу другого вендора это лишь неприятное следствие.

                          И заинтересованы в этом всем будут прежде всего облачные провайдеры, которые крутят тучу клиентов на одном и том же железе. И хер его знает, не пытается ли кто из них пролезть через гипервизор и залить в прошивку руткит. Здесь так же очень кстати аппаратное шифрование памяти виртуалок у амд. Вон гугл клауд на эпиках новый тип виртуалок сделал благодаря этому cloud.google.com/blog/products/identity-security/introducing-google-cloud-confidential-computing-with-confidential-vms
                            +2

                            Я в этой теме не очень силен. Но, теоретически, вижу здравое зерно в том, чтобы брендовая материнка и, соответственно, вся система не запускалась на ОЕМ процессоре.
                            Но не понимаю почему запрещено запускать процессор на другой конфигурации? Вот вынул я камень со списанного сервера на работе и воткнул в свой гиковский десктоп, мне эта безопасность нафиг не сдалась. Я могу понять эту ситуёвину в случае с дисками, чтобы мы не могли ни систему на других дисках запустить, ни диски на другой системе, ибо на них информация.


                            Зачем лочить и процессор и мат. плату? Процессор сам по себе никакой угрозы не несёт.

                              +6
                              Вторичный рынок несет угрозу кошельку производителя. Любого, чего угодно. Т.е., в данном случае, для AMD и вендоров ситуация win-win.
                                0
                                Так и вторичный рынок не страдает особо. Серверы продают целиком. Они и продолжат работать. При поломке никто внезапно в платформу делл не будет ставить мать какого-нить супермикро, это не ПК. Потрошение серверов на компоненты аж до процессора — не знаю, кто так реально делает. Если у кого-то была цель нагнуть вторичный рынок, то очевидно они этой цели не достигли.
                                  0
                                  Даже сейчас, когда разница только в наклейке на коробке, позиции с названием «Dell (или HP) Processor Option» продаются в 1.5-2 раза (а на уцененные по возрасту модели до 3-5 раз) дороже аналогичных без «лока», а что будет в отсутствие физической возможности использовать альтернативу сложно даже представить. «Пройдись по рыночку...», ага.
                                    0
                                    Так это плата за бренд. Ничего не поменялось. Не хочется — вперед к супермикро. Ну и лок не в процессоре, а в матери. В мать делла любой эпик проц можно вставлять, и он точно так же будет залочен при первом запуске.
                                      +1
                                      Об этом и речь — вторичного рынка процов не будет — все материнки от вендора будут обеспечены относительно свежими камнями, а остатки от апгрейда только гвоздиком на стену приколачивать. Ну а следующий «логичный» шаг («из соображений безопасности», конечно) — вставить можно только предпрошитый проц — шах и мат.
                                        0
                                        Ну я бы особо не печалился, к тому времени как обсуждаемые серверы доберутся до вторичного рынка — уже найдутся хаки для этой защиты.

                                        771й процессор тоже в 775 сокет не подходил на старте, а вон как повернулось.
                                          0
                                          Очень врядли такое будет, с 771/775/478 очень много чего сильно изменилось в плане «безопасности».
                                            0
                                            Ну есть вариант примера посвежее, с чипсетом H110 и инженерными ксеонами на 1151 сокете. Я имею ввиду что была бы инженерная задача, а решить ее смогут, при достаточном объеме рынка.
                                            В конце-концов можно пережечь какой-нить утилитой все фьюзы и вычислить подпись к этим нулям — и железо снова станет «универсальным».
                                            Впрочем скорее всего в рамках одного производителя и поколения процессоров коды наверно будут одинаковые, а на вторичке будут просто продавать «EPYC от DELL», и все привыкнут. Никто ведь не удивляется что корзины от ХП не подходят к супермикре.
                                    0
                                    В ближайшей перспективе — может и не будут, а так вон на али можно приобрести в меру древний зеон на 6-8 ядер в комплекте с платой от хуананя и парой планок памяти за 10-15 штук, а за 20 — и вовсе комплект из пары процов и двухсокетовой платы и 4 планок памяти.
                                      +2
                                      в меру древний зеон на 6-8 ядер в комплекте с платой от хуананя и парой планок памяти за 10-15 штук,
                                      эм. мамка 5,5к и проц 2700 за 13к с 8/16, останется оперативку по 1,4к за 4гб ДДР4 новой, но без ЕСС, в принципе на ам4 ЕСС работает вроде как на разных мамках. Плюс проц тот же можно взять бу.
                                      Но в чём смысл глобальный такой системы старой по сравнению с вариантом купить новое железо с гарантией? ЕСС?
                                        +1

                                        Жреть дофига, шумит соответственно, NUMA, опять же, если процов два, у которых с частотами Молаг Бал колдовал…


                                        ECC точно работает на практически всех ASUS/ASRock на B|X чипсетах.
                                        Парочка вот таких (картинка левая у них) успешно трудилась еще на R5-2600, сейчас на R9-3900 в паре с X370 Killer SLI.

                                          0
                                          Ну я лично просто кроме этой утверждать, что на других точно работать будет не могу. Просто на форумах читал отзывы.
                                            0

                                            Можно зайти в описание платы на сайте вендора же. Только гига прямым текстом говорит, мол, no-ECC support на практически любой плате.


                                            Плюсом есть ньюанс с APU: ECC умеют только PRO-версии.
                                            Хотя, на обычном 2200 на какой-то TUF edac-модуль подгружался…

                                              0
                                              На сайтах вендора бывает написано одно, а читать это надо по другому. Помню для меня был сюрприз ещё на интелах, что даже если указано ECC, то нужно искать сноску в каком-нибудь где будет написано в духе "(operate in non-ECC mode)", и рассказали мне об это в какой-то старой теме про выбор железа под личный нас… с тех пор я уже ничему не верю просто так)
                                                0

                                                Все лгут ))
                                                У Intel поддержка ECC на десктопе появилась, кажется, с 4xxx серией, у AMD была с момента обретения IMC. Чему этот, как любитель zfs, несказанно рад.


                                                А operate in non-ECC mode, кажется, у гиги и msi частенько встречался пару лет назад.

                                                  0
                                                  Не, там было что-то связанное с чипсетом на плате, когда пихнуть планку можно, а смысла — никакого.
                                                  А ECC тогда поддерживалось не на декстопе в целом, а в отдельных декстопных процах (серия T), которые использовали в серверных и рабочих конфигурациях наряду с ксеонами, причем у самого интела в описании на сайте процессоров могло быть не указано что она включена. У меня так кубик (так и стоят, сволочи, кстати, веселый год на работе, что уже «работает — не трожь») апнут до i5-T с селерона — с поддержкой ecc.
                                                  веселуха
                                        +1
                                        Только маааленький совет — топовые камни на хуана не ставьте, чтобы потом не жалеть сгоревших денег.
                                    +4
                                    Я же расписал, в чем смысл. Никто не ставил себе целью лочить процессор к материнкам. Это всего лишь побочный эффект системы безопасности. Смысл в доверенной загрузке. «Вот вынул я камень со списанного сервера на работе и воткнул в свой гиковский десктоп» делайте десктоп на платформе того же вендора и не будет проблем. Очевидно это несерьезный кейс для подобного железа.
                                      +2

                                      Если бы цель не ставили, то, очевидно, и не залочили бы.
                                      Это следствие текущего, откровенно маркетингового, решения системы безопасности.
                                      Не давать грузиться матери на "неправильном" проце — причина хоть и надуманная, но имеющая под собой основание.
                                      Не давать грузиться процу на "неправильной" матери вообще никаких рисков безопасности не несёт.
                                      Из ваших объяснений тоже не очень понятно почему лок должен быть двухсторонний а не только на матери.


                                      С бу железками тоже всё не так просто. Жизненный цикл делловского сервера modelX, предположим, 5 лет, и через эти 5 лет dell просто перестанет подписывать для него любую комплектуху. И как только полетит хоть один из компонентов, вам придется выбрасывать весь сервер целиком, или идти искать, например, процессор на птичьем рынке, что для бизнеса так себе идея. А в это время amd будет производить пачками новую линейку неподписанных процессоров, которая будет вполне совместима с текущим железом.


                                      А полная замена сервера — это очень вкусняшка, ибо dell это не только производитель железа, но еще и support и субподрядчик по различным работам в датацентрах.

                                        +2
                                        Еще раз. Система безопасности требует наличие root of trust. При чем такого, который нельзя перепрошить и подменить. С него начинается загрузка и проверки подписи всех компонентов вплоть до ОС. Благодаря прожигу фьюзов достигается именно это и никакими другими путями это сделать не получится безопасно. АМД контролирует только процессор. Прошивке матери доверять нельзя, там может быть что угодно и именно ее мы хотим защитить. Контроллеры платформы у каждого свои, на этом не построишь единое решение, которым смогут пользоваться все (по этому пути как раз пошла эпл, поставив перед цпу свой Т2, с которого и начинается загрузка машины. Они могут позволить себе, потому что железо у них свое собственное). Остается только сам процессор, в котором специально для этого находится специальной контроллер безопасности, который все эти функции и выполняет.

                                        Не надо искать заговор там, где его нет. Если посмотрите вокруг, то это стандартный подход в индустрии в плане реализации безопасной доверенной загрузки и ничего лучше не придумали. У эпл всю жизнь так было. В процессор зашит ROM на заводе с бутлоаудером и ключом, с которого начинается доверенная загрузка. Тоже самое делает qualcomm, nintendo, microsoft и наверняка туча других. Разница с амд лишь в том, что амд прожигает этот ROM при первом запуске. Это работает, это безопасно и проверено.

                                        через эти 5 лет dell просто перестанет подписывать для него любую комплектуху

                                        Что ничем не отличается от просто прекращения выпуска новых биосов. Подпись ничего здесь не меняет.

                                        И как только полетит хоть один из компонентов, вам придется выбрасывать весь сервер целиком, или идти искать, например, процессор на птичьем рынке, что для бизнеса так себе идея.

                                        Процессор можно будет купить любой другой для этого сокета. При первом запуске он так же будет залочен под мать. Все остальные компоненты вообще здесь не при чем, весь сабж только о процессора и защите биоса.

                                        А в это время amd будет производить пачками новую линейку неподписанных процессоров, которая будет вполне совместима с текущим железом.

                                        И? Если мать умеет с ним работать, то можете пойти купить и поставить.
                                          0
                                          Процессор можно будет купить любой другой для этого сокета. При первом запуске он так же будет залочен под мать. Все остальные компоненты вообще здесь не при чем, весь сабж только о процессора и защите биоса.

                                          Если все обстоит так, то я вообще перестал понимать логику...


                                          1. Прошиваем кучу зловредов в биос матери
                                          2. Вставляем новый проц, который лочится под измененный биос
                                          3. Profit

                                          Система безопасности требует наличие root of trust. При чем такого, который нельзя перепрошить и подменить

                                          Получается, один раз, до лока, перепрошить можем. Безопасность стоимостью в один новый процессор?


                                          Или фишка в том, что мы прошиваем кучу зловредов через удаленку, md5 (или типо того) меняется, процессор перестает нормально работать и сервер "безопасно" падает?

                                            0
                                            Если все обстоит так, то я вообще перестал понимать логику…
                                            Прошиваем кучу зловредов в биос матери
                                            Вставляем новый проц, который лочится под измененный биос
                                            Ну так это ж нужно внедриться в поставщика решения и прошить заранее до запуска. Тут же доверие Dell или HP — есть.
                                            А вот если кто перепрошьёт уефи позже — сервер откажется стартовать.
                                              +2
                                              А вот если кто перепрошьёт уефи позже — сервер откажется стартовать.

                                              Насколько я понимаю из обсуждения, откажется стартовать он на текущем процессоре. Если вставить новый, то он залочится под новый биос и обычно запустится.
                                              Эта система поможет предотвратить удаленные атаки, когда прошить можно, а заменить процессор нет (если падение сервера можно назвать предотвращением).


                                              В этом есть некоторый смысл. Тем не менее, на мой взгляд, решение больше коммерцией продиктовано чем здравым смыслом.
                                              По крайней мере, ни об одной подобной атаке я не слышал.

                                                +4

                                                Если нет способа вернуть процессор в рабочее состояние, то банальный фикс прошивки будет стоить тысячи долларов.
                                                Это может понадобиться разве что военным, но у них там своя атмосфера.


                                                Есть другое хитрое следствие, если за счет бага в прошивке можно активировать привязку процессора, получится этакий новый CIH. Который сработает при первом же обновлении фирмвари через WU.

                                            +1
                                            Не надо искать заговор там, где его нет. Если посмотрите вокруг, то это стандартный подход в индустрии в плане реализации безопасной доверенной загрузки и ничего лучше не придумали.

                                            и от чего меня защищает этот подход?

                                              0
                                              А вы какой игрок в индустрии?
                                                0

                                                конечный пользователь, разумеется, который покупает эти самые сервера

                                                  0
                                                  Как кто?
                                                    0

                                                    что вы хотели спросить?


                                                    речь о приобретении себе лично или на фирму? на фирму.
                                                    принимаю ли участие в выборе оборудования? да.
                                                    принимаю ли я участие в эксплуатации серверов? да.
                                                    фирма — облачная платформа/хостинг-провайдер/etc или конечный потребитель серверов? конечный потребитель, даже не IT-компания.

                                                      –1
                                                      Ок. Теперь простой запрос от ИБ: какие угрозы для компании и её клиентов влечёт вектор атаки на базовую прошивку материнки, если её можно будет провести из виртуалки?
                                                      С учётом, что идеальными не бывают ни ОС, ни прошивки, ни гипервизоры?
                                                        0

                                                        сходу не готов сказать, расскажите свою версию атаки и как предлагаемое новшество поможет её предотвратить

                                                          –1
                                                          А для этого нужно читать то, что пишут другие, пытаясь встать на логику тех, кто отвечает за ИБ в крупных корпорациях в том числе. А не задавать вопросы из принципа: раз мне не нужно, значит никому не нужно. То есть перечитать пару раз все комментарии creker в теме.
                                                            0
                                                            А не задавать вопросы из принципа: раз мне не нужно, значит никому не нужно

                                                            почему я должен страдать из-за того, что нужно кому-то другому? давайте в рамках борьбы с изнасилованиями женщин проведём ещё всеобщую кастрацию мужчин.

                                                              0
                                                              А ещё я помню, как в страдания записывали переход с классического биоса на уефи.
                                                              Потому что. Потому что безопасность.
                                                              А вы предлагаете в рамках своей аналогии вернуться к временам, когда женщин можно было дубинкой по голове и за волосы в пещеру. Ну а что, ведь нормально же было всё, чего они начинают.
                                                                +2
                                                                А ещё я помню, как в страдания записывали переход с классического биоса на уефи.

                                                                Там проблема была в невозможности запускать неподписанные загрузчики. Безопасность безопасностью, но ПК, который может работать только с условной вистой, печалил народ больше, чем вирусы в загрузчике.
                                                                  –2
                                                                  А меня больше печалила безопасность XP. С которой я постоянно встречался, админя сеть ноутов, которые вечно подключались к чужим сетям предприятий причём каждую неделю к новой. И при этом ноуты на висте у меня просто «работали». Вот реально, за несколько лет эти ноуты у меня не вызвали никаких проблем.

                                                                  Поэтому на вопросы «зачем нам безопасность, нам и так хорошо», мне, который некогда имел некоторые знания по ИБ, всегда было как-то трудно ответить. Разве что послать смотреть в ютубе мультик про банк от создателей братьев пилотов.
                                                                    0
                                                                    которые вечно подключались к чужим сетям предприятий причём каждую неделю к новой

                                                                    У меня всё работает.
                                                                      0
                                                                      У меня всё работает.
                                                                      У меня такая же нога и она не болит.
                                                                      Извините, но почему-то вы у меня стали ассоциироваться исключительно с тем персонажем.
                                                                        0
                                                                        Извиняюсь за то, что у меня нет ваших проблем.
                                                                          0
                                                                          Это основание их отрицать, я понял.
                                                                      0
                                                                      Работают и приносят деньги вовсе не админы с ИБ, а пользователи этих ноутбуков. И делать их жизнь невыносимой (а Виста на ноутбучных хардах с парой гигов оперативки была именно такой) ради удобства обслуги не станет ни один вменяемый руководитель.
                                                                        0
                                                                        И делать их жизнь невыносимой (а Виста на ноутбучных хардах с парой гигов оперативки была именно такой)
                                                                        Именно поэтому все прочие аудиторы вечно грустно спрашивали, когда им такую невыносимую жизнь купят. А обе девушки с оными ходили счастливые (надо понимать, что это была виста с сервис-паками). Ибо к тому времени XP на ноутах с гигом и третьим вроде как сервиспаком, что не особо помогало при подключении в зараженным сетям, как и антивирусы, так вот, данный XP тоже не поражал скоростью и комфортом работы.
                                                                        Более того, ноут с вистой был ещё и у моей сестры примерно в то же время. С таким же эффектом.
                                                                          0
                                                                          У нас первым делом просили поставить ХР с комплектного диска, а потом Lenovo сами начали её предустанавливать на всех доступных моделях и диск для даунтгрейда заменили на диск с апгрейдом до Висты.

                                                                          Хотя на мощном домашнем компе она работала неплохо, но единственным преимуществом был новый DirectX для игорей и без него ХР там жила бы до выхода 8.1.
                                                                            0
                                                                            Ну так и я в организацию купил висту не в момент выхода оной и не первые ноуты на нём, вполне себе чуть позже и с сервис паками она не на совсем дохлых процах шевелилась весьма шустро, даже при 2 гигах и 2 ядрах. Более того, после второго сервиса пака я как бы не замечал разницу ни в скорости работы, ни в внешнем виде висты и новой семерки. Единственным отличием для меня стало, что починили применение настроек сети, что на висте требовало ресета.
                                                                            И это при том, что дома я сидел на xp до очередного апгрейда железа и перешёл сразу аж на семерку с первым сп, если не ошибаюсь.
                                                                              +1

                                                                              Ненависть к висте была, в основном, потому что ее агрессивно напихивали туда, где XP шевелилась если не с трудом, то на грани: 512 памяти, встроенный GPU, одно ядро, и частоты чуть выше 1GHz — пара охочих до ресурсов приложений и все.
                                                                              В таких случаях просто неоткуда было взять и отдать ей второе ядро для ее собственных нужд и полгига памяти в придачу. И аппетиты к жесткому диску: на быстром тонком Maxtor 40GB — отдать треть только под ОС? UAC, опять же — не зря его иначе как "*уяк" и не называли.


                                                                              Ну а к выходу 7 домашние компьютеры уже подросли немного, и на двухядернике с 2÷3 GHz, 2ГБ памяти и интеграшкой не от интел — было вполне удобно.

                                                                            0
                                                                            Ибо к тому времени XP на ноутах с гигом и третьим вроде как сервиспаком, что не особо помогало при подключении в зараженным сетям, как и антивирусы

                                                                            Они не освоили SRP?
                                                                      +1
                                                                      как в страдания записывали переход с классического биоса на уефи

                                                                      протесты были не против возможности ограничивать запуск неподписанного кода, а против того, что принятие решение о том, какой код можно запускать, хотели отобрать у пользователя. и как раз благодаря той шумихе такого в массовом сегменте не случилось (для arm, например, случилось).

                                                                        0
                                                                        Ага, а теперь зато красота, да? Особенно, когда так?
                                                                          +1
                                                                          Ну так нельзя обеспечить безопасность, удобство и свободу одновременно. Для того, чтобы отвалилась первая статья, достаточно стереть стандартные ключи, добавить свой и подписать им надёжный загрузчик ОС.
                                                                            0
                                                                            Так пользователи жаловались невзирая на то, что подобная возможность уже была на момент жалоб. Просто потому, что изменилось привычное им и потребовались какие-то телодвижения вообще совершать, а ещё, о хуже, вначале узнать что-то новое…
                                                                              0
                                                                              Не забыв подписать GOP драйвер своим ключём, особенно если видеокарта внешняя. А это уже занятие не для рядового-полупродвинутого пользователя, которое может в итоге потребовать внешний программатор, т.к. есть вероятность запороть прошивку видеокарты.
                                                                                0
                                                                                А то. Безопасность требует жертв.
                                              +1
                                              Открою секрет: habr.com/ru/company/dsec/blog/326556 и не надо изобретать ещё более крутых вендорлоков. В итоге цепочка безопасности рвётся только после загрузчика ОС, если включён SecureBoot и загрузчик дырявый.
                                                0
                                                Secure Boot вообще не использует цепочку доверия от процессора или начала загрузки. Он и не защищает от атакующего, имеющего физический доступ. Под доверенной загрузкой понимают Trusted/Verified Boot.
                                                  +1
                                                  Secure Boot это одно из звеньев цепочки защиты, начинающейся с ME + Boot Guard. Если мы какое-то звено рушим — то рушится всё.
                                                    0

                                                    Secure Boot реализуется исключительно программно, в UEFI, и никак не задействует ни ME, ни Boot Guard, ни в принципе не привязан к x86. Это просто проверка цифровой подписи у EFI-файлов и компонентов, средствами самого UEFI, и пользователь может модифицировать доверенные сертификаты.
                                                    Вы думаете о какой-то другой технологии, верноятно, Trusted Boot.

                                                      +3
                                                      Совершенно нет, я думаю о Secure Boot, как о финальном аккорде в цепочке защиты, которая начинает выполняется ME/UEFI, который проверит, а подписанные-ли моей подписью OpRomы и загрузчики стартуют и не даст запустить загрузчик ОС/ Опром, если подписи нет/она не моя. То, что это полностью программная вещь я прекрасно знаю, и тут как раз и вылезает задача Intel BootGuard и IBV, чтобы я был уверен, что этот программный код никто не испортил. Кроме того, я смеха ради добавлял полную блокировку на NVRAM, в этом случае включенный SecureBoot мне давал 99% гарантию (если до него не найдется дыр), что фиг что на моём клиенте (это был HP T620) удастся запустить без вскрытия корпуса, т.к. ключи вшиты мои, на Setup Utility висит пароль, а сама SPI флешка после старта жёстко заблокирована (включая регистры и WP# в нуле). Единственный вариант обойти всё это — внешний программатор, но если уж совсем упарываться, то можно подумать об эпоксидной смоле…
                                                0
                                                Как можно пролезть через гипервизор? Для этого требуется наличие какой-то дыры в нём?
                                                  0
                                                  Естественно.
                                              +2

                                              В свое время не знал про такую заботу о "безопасности" пользователя, и купил для Dell'вского NAS. Абсолютно аналогичные не брендованные диски. "Нагнул систему" — думал он: "купил такие же диски в два раза дешевле".


                                              Хорошо покупал на амазоне — смог без проблем вернуть после того как не определились.


                                              Кстати о "целостности данных" Dell, похоже, тоже заботится, ибо диски помирали с завидной предсказуемостью, как по плану. Даже в бюджет компании была внесена сравнительно точная сумма на год, на покупку новых.

                                                +2

                                                У меня так до сих пор на балконе лежит 100 штук SATA HDD производства Hitachi, которые никуда кроме их NAS не воткнуть, да.

                                                  +1
                                                  Наверняка их можно перешить, скорее всего там паспорт какой-то специализированный (то что выдается по команде IDENTIFY DEVICE (ECh) ), потому и не определяется, зашить туда обычный и все. Не думаю что они всю систему команд перекорячили для вендорлока.
                                                +7

                                                Вот следишь так за хитростями современных маркетологов и все больше удивляешься тому, что платишь за покупку того или иного «чуда инженерной мысли» полную стоимость, но по предоставленным тебе возможностям похоже, что скорее берёшь его в аренду.

                                                  +2
                                                  И так и представляются лица продаванов вендоров, рассуждающих: «а юзеры пусть вообще спасибо скажут, что мы им хотя бы в аренду продали железо».

                                                  Слов нет, связать каждый компонент с каждым — неплохая (но очень узкополезная) идея, но смущают всё те же старые мысли:
                                                  1) пресловутая универсальность компьютеров резко пропадает, а цена не падает (более того, во многих случаях вендор даже не говорит, какую подляну можно купить себе — и это, что характерно, обманом покупателя не считается), и
                                                  2) все эти коды и подписи что-то вовсе не супернадежны — так что можно быть уверенным в том, что вскоре умные головы найдут, как обойти защиту по воровству данных или внедрению руткита, а вот покупатель будет еще и лимитирован в возможностях что-то поделать. А вендоры (да вот интел со своими дырами как пример) вовсе не побегут за свой счет юзерам менять дырявое привязанное железо на недырявое привязанные.

                                                  Те вывод не радует — за свой счет покупать руки-выкручивалку мало кому интересно. Для крупных провайдеров (вот выше гугл с его облаком упоминался) — да, это может и подойти (так они и фирмварю с дизайном серверов сами могут себе позволить делать, так что, случись косяк, сами и будут устранять — или не будут), но на массовом рынке такая фича, без четкой возможности не включать изначально не всем понравится.

                                                  Ну а рассуждения вида «вы же не нищеброды, вы же предпочитаете покупать новое железо» — с учетом, что не каждый новый процессор выдает существенный рост производительности, а порой из заметных фич размахивает только экономией энергии, да и просто из логики, что процы не горят ровно через пару лет после выпуска, идея купить б/у и собрать себе стенд здесь, на Харбе, принимается многими вполне хорошо, как бы вендоры не убеждали в обратном.

                                                  И, повторюсь, пример производителей процов, в чьих детищах широкие возможности для атак, защита от которых сводится к обновлениям софта, ведущего к замедлению камней (и то не на 100% уверенность) — можно точно сказать, что проблемы и с новинкой будут, и будут они строго за счет покупателей.
                                                      +2

                                                      Мне в этом контексте всегда John Deere с его тракторами и запретом на ремонт вспоминается.

                                                    +3

                                                    Как уже писали выше, здесь и правда маркетологи и б/у рынок не слишком поучаствовали, Intel Boot Guard уже давно работает абсолютно аналогичным образом — ключи вендора зашиваются в Intel ME, после чего при модификации биоса / переносе чипа на комп другого вендора — ничего не запустится. И это в первую очередь защита от малвари.
                                                    Основное отличие в том, что если у интела ME с ключами сидит в чипсете (а чипсет у десктопов и серверов — на материнке), то у AMD соответствующий сопросессор PSP сидит прямо в CPU. Поэтому и не получится "перекинуть" залоченный процессор.
                                                    Впрочем, вы точно так же не сможете поставить залоченный ультрабучный б/у процессор Intel — там чипсет совмещён с процессором, что приводит к идентичной ситуации.

                                                      +3
                                                      И это в первую очередь защита от малвари

                                                      или от opensource?

                                                      +5

                                                      Почему то самую интересную часть не перевели:


                                                      We did not get to test higher-end CPUs since Dell’s iDRAC can pop field-programmable fuses in AMD EPYC CPUs that locks them to Dell systems.

                                                      Вобщем, любому процессору EPYC, установленному в эту мат.плату, тут же пережигаются фьюзы, и он навсегда оказывается привязан к мат.платам Dell.

                                                        0

                                                        "can" не есть "will", но гарантий никто не даст.

                                                          +1
                                                          Они так сломали один процессор и пошли разбираться:
                                                          Early in that process, we used an AMD EPYC 7251 CPU, the low-end 8-core model, and noticed something curious. It would not work in our other test systems after.
                                                          +3
                                                          А не создает ли эта защита новый вектор атаки…

                                                          Успешно распространившийся вирус прожигающий фьюзы мусором. От покупок б.у. EPYC я пожалуй буду воздерживаться.
                                                            0
                                                            Врядли такой вирус успешно распространится, если только силами спецслужб. Вирусописатели пишут их для извлечения выгоды (майнинг, спам, вымогательство), а какая выгода из дохлого сервера?
                                                              0

                                                              Навскидку:


                                                              • Продать тому, кому представляет выгоду дохлый сервер конкурента
                                                              • Ваши файлы зашифрованы процессор заблокирован, переведите $1000 in BTC на следующий адрес …
                                                                0
                                                                Ну такое.
                                                                Если он гарантийный то и проблемы нет, если негарантийный то это значит что ему уже больше 5 лет и конкуренты этого ларька, который купил б/ушный сервер денег не наскребут на такую атаку.
                                                                Если «процессор заблокирован», то он не загрузится и не напишет куда переводить. Да и ушатать компы можно прямо сейчас, без этой заморочки с процессором: залить во все флеши нули (постирать биосы-прошивки на матери/контроллерах/винтах/SPD оперативки/и тд)
                                                                  0
                                                                  Если он гарантийный то и проблемы нет

                                                                  Процессор исправный, и находится в состоянии, обусловленном принципами его работы. Никто не поменяет его по гарантии, не гарантийный это случай.


                                                                  не загрузится и не напишет куда переводить

                                                                  Если файлы ОС зашифрованы, то она не загрузится и не напишет куда переводить. Зато в каждой затронутой папке остается файл с содержимым … переведите $1000 in BTC на следующий адрес … — как раз на тот случай, если будут восстанавливать из-под другой ОС.

                                                                    0
                                                                    «переведите $1000 in BTC на следующий адрес» чтобы что? проц то они уже не оживят. Ну а если файлы зашифрованы то какой смысл проц выводить из строя?

                                                                    Ну а по гарантии там по разному конечно бывает, смотря какой контракт.
                                                                    Мелкую контору может так и кинут, а если крупная контора у крупной купила по контракту с 5-летней гарантией, то там и решается по другому: стикеры на месте и комп не работает — значит случай гарантийный.
                                                                    В той организации где я сейчас работаю согласно контракту вендор меняет по гарантии системник даже если стикер на корпусе сорван и нет харда (харды мы не отдаем в любом случае)
                                                                      0

                                                                      Если этот правильно понял то это просто внезапно произошло, без преднамеренной активации деструктивной опции.


                                                                      Значит, среди жертв прогресса окажутся гораздо менее компетентные люди, чем вы.

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое