Интересно, что будут делать с теми, кто за время удалёнки переехал.
Не знаю как у Яндекса, пример из другой конторы: когда моя супруга выходила на удалёнку, они с работодателем заключили доп. соглашение к ТД, где прописан адрес её фактического проживания, с которого она и работает. Такое вот формальное препятствие к переезду. То есть это уже не проблема работодателя, если сотрудник переедет.
Если что, я не знаю, имеют ли силу такие условия договора, не следил за новшествами в законодательстве, касающимися удалёнки.
Плательщик отдал деньги Apple, которая является агентом продавца и берёт с того комиссию. Тут вопрос в том, обязана ли Apple возмещать эту комиссию продавцу, когда того признают мошенником и обяжут возместить полную сумму покупателю.
Технология принадлежит не Nvidia, а Microsoft. Вот тут они пишут, что работают со своими партнерами по её внедрению. Нвидиа — партнер, RTX IO — результат сотрудничества. Но подробностей Майки не раскрывают.
Вообще, как я понял, оно уже реализовано на Xbox Series. Надеюсь, энтузиасты быстро расковыряют эти машинки и поделятся подробностями, как же оно работает.
Ну просто получить доступ одним устройством на шине PCIe к другому — это одно. А вот прочитать с NVMe данные, которые хранятся в файловой системе на GPT-разделе, да еще и зашифрованы битлокером (а по умолчанию шифрование включено в совместимой среде, оно программное, ключи в ОЗУ, давать к ним DMA устройствам на шине — вооот такущая дыра) — это что-то из разряда фантастики. Значит, как мне видится, мелкомягкие для этого дела разработали специальную ФС, раздел с которой будет создаваться на геймерских ПК, и к которому будет обращаться видеокарта. И с IOMMU тоже непонятно, он из этой схемы вылетает. А еще я не совсем понял, что такое NIC на схеме — ясно, что не сетевая карта, но что? И видеокарта цепляется к PCI-линиям CPU, а NVMe как правило висят на чипсетных, вот там и будет ботлнек, как этот решается?
Короче, сейчас вопросов больше, чем ответов. Очень жду подробностей от разработчиков =)
А есть какие-то подробности про DirectStorage API, на котором эта технология основана? Мне кажется, без серьезных изменений в железе (вследствие переделки всех уровней абстракции доступа к данным) не обойдётся. И с точки зрения безопасности всплывает куча нюансов.
Таким образом, наш новый фильтр включает виды преступлений, связанных с нападением (Assault) и убийством (Murder). Замечу сразу, что этот набор данных не включает непредумышленное убийство и убийство в рамках самозащиты, а только умышленное убийство.
Тут важно осторожно обращаться с критериями выборки, ваши исходные данные могут пересекаться по некоторым случаям, это может размазать результат, как мне кажется.
Я не специалист в UWP приложениях, но могу предположить, что этот флаг влияет на некий интерфейс, через который такие приложения используют сетевые функции. По логике, тот же интерфейс должен обрабатывать подключения к сети с лимитным доступом и ограничивать сетевой трафик, если лимит достигнут. Это могло бы объяснить такое поведение.
Почему при этом классические приложения продолжают получать доступ к сети — другой вопрос.
Поправьте меня, если ошибаюсь.
Интернет — сеть между интранетами. Как в первоначальном, так и в современном значении. Да, сейчас принята несколько иная таксономия (к примеру: PAN, LAN, MAN, WAN), и термин скорее исторический, но говорить о том, что "междусеть" — это "внутренняя сеть", в корне неверно. В том числе лингвистически.
И, кстати, inter — распространенная приставка в английском языке, считать её самостоятельной лексемой в контексте статьи как-то спорно.
Извините, а что здесь забавного? Вилка под напряжением это действительно небезопасно, и есть люди, которые этого не понимают, для которых и существуют такие объяснения.
А поделитесь источником информации? Действительно ли там используется Intel PTT помимо dTPM? Если это так, например, для процесса загрузки можно использовать fTPM из чипсета, а для всех остальных операций, связанных с криптографией — dTPM, это замечательно.
Но, как мне кажется, одновременно оба модуля в Windows использовать не получится.
Извините, не мог не написать сюда очередной комментарий. Вчера Microsoft анонсировала еще два устройства из линейки Surface. У того, которое на данный момент является топовым в линейке и позиционируется как устройство для профессионалов (имея на борту довольно мощное железо) — Surface Book 3 — дискретный чип TPM.
Довольно странное решение.
Посмотрел более осознанно отрывок из презентации Microsoft, о которой речь в статье (этот отрывок в прикрепленном твите). И правда, речь о распаянных модулях ОЗУ для предотвращения атаки cold boot ведется в контексте обсуждения Surface Laptop 3, на котором действительно используется fTPM.
Вообще, как я понял из описания технических характеристик актуальных устройств линейки Surface, fTPM используется пока только в трёх из них, это устройства, представленные осенью прошлого года. Ну и презентация, что логично, касается этих устройств, а не всей линейки.
А редактор Хабра, пишущий жёлтые заголовки, должен икать по ночам.
BitLocker эффективен только при соблюдении определённых условий.
Смотрите: Microsoft не снабжает Surface портами Thunderbolt под предлогом защиты от DMA-атак. Но DMA-атаки возможны только в тот момент (поправьте, если ошибаюсь), когда ОС еще не взяла на себя управление доступом к памяти для PCI, то есть до загрузки системы. Потому что после загрузки начинает работать механизм Kernel DMA Protection.
Именно поэтому Microsoft рекомендует использовать pre-boot аутентификацию и выключать уровни S1-S3.
Окей, предположим, что устройства Surface ориентированы на пользователей, которым нужны уровни S1-S3 (всё-таки, это мобильное устройство, их можно понять). Или пользователей, которым по каким-то причинам не хочется вводить PIN для разблокировки TPM. И лишение их возможности использовать Thunderbolt — необходимое зло. Казалось бы! Потому что существует атака по сторонним каналам на систему с TPM, которая не использует pre-boot аутентификацию. Ну то есть совершенно нет смысла не снабжать устройства Thunderbolt портом — достаточно опытный атакующий, который сможет утянуть ключи с помощью DMA-атаки, сможет сделать то же самое и через LPC. А использование аутентификации перед загрузкой (и прочих рекомендаций вендора) лишает атакующего сразу обоих векторов атаки.
Что касается обоснования распайки памяти вместо сокетов прямо на плату — учитывая всё вышесказанное, это похоже на попытку поставить железные ворота на забор из прутьев.
По своему опыту скажу, пограничный контроль в аэропорту не фиксирует, откуда прилетел каждый пассажир. У меня пару раз спрашивали "откуда этот рейс", когда я подходил к окну первым, но, например, ни разу не спрашивали ни о чем таком, когда было несколько рейсов из разных стран и очередь двигалась смешанно.
Так в России, в других странах иначе, кое где, например, нужно указывать в миграционной карте аэропорт вылета (это для иностранцев, опять же, родные граждане никаких карт не заполняют).
В Шереметьево, по хорошему, функцию такого контроля в сложившейся ситуации должен выполнять РПН, это их задача, а никак не пограничников.
С фронта не нужно ничего перебирать, он уже шлет трафик на бэки, достаточно глянуть нетстат или ss, или конфиги nginx.
У бэкендов вообще не должно быть публичных адресов, по-хорошему. Что, конечно, не избавляет от настройки фаерволла на них.
В статье подразумевается, что взломан был фронтенд-сервер. Автор пишет также, что доступа с бэкенда к фронтенду не было — даже если бы залились на бэкенд через уязвимое веб-приложение и подняли там привилегии, это не могло бы объяснить, как на фронтенде оказался пересобранный бинарник.
Тут ещё и закон излучения Кирхгофа нарушают.
Есть основания полагать, что довольно существенную роль в потреблении электроэнергии в данном случае играет кондиционер. Особенно летом.
Не знаю как у Яндекса, пример из другой конторы: когда моя супруга выходила на удалёнку, они с работодателем заключили доп. соглашение к ТД, где прописан адрес её фактического проживания, с которого она и работает. Такое вот формальное препятствие к переезду. То есть это уже не проблема работодателя, если сотрудник переедет.
Если что, я не знаю, имеют ли силу такие условия договора, не следил за новшествами в законодательстве, касающимися удалёнки.
Плательщик отдал деньги Apple, которая является агентом продавца и берёт с того комиссию. Тут вопрос в том, обязана ли Apple возмещать эту комиссию продавцу, когда того признают мошенником и обяжут возместить полную сумму покупателю.
А разве выделение текста мышью с зажатым Alt — это не стандартный функционал, который работает практически везде? Или я вас неправильно понял.
Технология принадлежит не Nvidia, а Microsoft. Вот тут они пишут, что работают со своими партнерами по её внедрению. Нвидиа — партнер, RTX IO — результат сотрудничества. Но подробностей Майки не раскрывают.
Вообще, как я понял, оно уже реализовано на Xbox Series. Надеюсь, энтузиасты быстро расковыряют эти машинки и поделятся подробностями, как же оно работает.
Ну просто получить доступ одним устройством на шине PCIe к другому — это одно. А вот прочитать с NVMe данные, которые хранятся в файловой системе на GPT-разделе, да еще и зашифрованы битлокером (а по умолчанию шифрование включено в совместимой среде, оно программное, ключи в ОЗУ, давать к ним DMA устройствам на шине — вооот такущая дыра) — это что-то из разряда фантастики. Значит, как мне видится, мелкомягкие для этого дела разработали специальную ФС, раздел с которой будет создаваться на геймерских ПК, и к которому будет обращаться видеокарта. И с IOMMU тоже непонятно, он из этой схемы вылетает. А еще я не совсем понял, что такое NIC на схеме — ясно, что не сетевая карта, но что? И видеокарта цепляется к PCI-линиям CPU, а NVMe как правило висят на чипсетных, вот там и будет ботлнек, как этот решается?
Короче, сейчас вопросов больше, чем ответов. Очень жду подробностей от разработчиков =)
А есть какие-то подробности про DirectStorage API, на котором эта технология основана? Мне кажется, без серьезных изменений в железе (вследствие переделки всех уровней абстракции доступа к данным) не обойдётся. И с точки зрения безопасности всплывает куча нюансов.
Тут важно осторожно обращаться с критериями выборки, ваши исходные данные могут пересекаться по некоторым случаям, это может размазать результат, как мне кажется.
Я не специалист в UWP приложениях, но могу предположить, что этот флаг влияет на некий интерфейс, через который такие приложения используют сетевые функции. По логике, тот же интерфейс должен обрабатывать подключения к сети с лимитным доступом и ограничивать сетевой трафик, если лимит достигнут. Это могло бы объяснить такое поведение.
Почему при этом классические приложения продолжают получать доступ к сети — другой вопрос.
Поправьте меня, если ошибаюсь.
Интернет — сеть между интранетами. Как в первоначальном, так и в современном значении. Да, сейчас принята несколько иная таксономия (к примеру: PAN, LAN, MAN, WAN), и термин скорее исторический, но говорить о том, что "междусеть" — это "внутренняя сеть", в корне неверно. В том числе лингвистически.
И, кстати, inter — распространенная приставка в английском языке, считать её самостоятельной лексемой в контексте статьи как-то спорно.
Извините, а что здесь забавного? Вилка под напряжением это действительно небезопасно, и есть люди, которые этого не понимают, для которых и существуют такие объяснения.
А поделитесь источником информации? Действительно ли там используется Intel PTT помимо dTPM? Если это так, например, для процесса загрузки можно использовать fTPM из чипсета, а для всех остальных операций, связанных с криптографией — dTPM, это замечательно.
Но, как мне кажется, одновременно оба модуля в Windows использовать не получится.
Извините, не мог не написать сюда очередной комментарий.
Вчера Microsoft анонсировала еще два устройства из линейки Surface. У того, которое на данный момент является топовым в линейке и позиционируется как устройство для профессионалов (имея на борту довольно мощное железо) — Surface Book 3 — дискретный чип TPM.
Довольно странное решение.
Посмотрел более осознанно отрывок из презентации Microsoft, о которой речь в статье (этот отрывок в прикрепленном твите). И правда, речь о распаянных модулях ОЗУ для предотвращения атаки cold boot ведется в контексте обсуждения Surface Laptop 3, на котором действительно используется fTPM.
Вообще, как я понял из описания технических характеристик актуальных устройств линейки Surface, fTPM используется пока только в трёх из них, это устройства, представленные осенью прошлого года. Ну и презентация, что логично, касается этих устройств, а не всей линейки.
А редактор Хабра, пишущий жёлтые заголовки, должен икать по ночам.
BitLocker эффективен только при соблюдении определённых условий.
Смотрите: Microsoft не снабжает Surface портами Thunderbolt под предлогом защиты от DMA-атак. Но DMA-атаки возможны только в тот момент (поправьте, если ошибаюсь), когда ОС еще не взяла на себя управление доступом к памяти для PCI, то есть до загрузки системы. Потому что после загрузки начинает работать механизм Kernel DMA Protection.
Именно поэтому Microsoft рекомендует использовать pre-boot аутентификацию и выключать уровни S1-S3.
Окей, предположим, что устройства Surface ориентированы на пользователей, которым нужны уровни S1-S3 (всё-таки, это мобильное устройство, их можно понять). Или пользователей, которым по каким-то причинам не хочется вводить PIN для разблокировки TPM. И лишение их возможности использовать Thunderbolt — необходимое зло. Казалось бы! Потому что существует атака по сторонним каналам на систему с TPM, которая не использует pre-boot аутентификацию. Ну то есть совершенно нет смысла не снабжать устройства Thunderbolt портом — достаточно опытный атакующий, который сможет утянуть ключи с помощью DMA-атаки, сможет сделать то же самое и через LPC. А использование аутентификации перед загрузкой (и прочих рекомендаций вендора) лишает атакующего сразу обоих векторов атаки.
Что касается обоснования распайки памяти вместо сокетов прямо на плату — учитывая всё вышесказанное, это похоже на попытку поставить железные ворота на забор из прутьев.
По своему опыту скажу, пограничный контроль в аэропорту не фиксирует, откуда прилетел каждый пассажир. У меня пару раз спрашивали "откуда этот рейс", когда я подходил к окну первым, но, например, ни разу не спрашивали ни о чем таком, когда было несколько рейсов из разных стран и очередь двигалась смешанно.
Так в России, в других странах иначе, кое где, например, нужно указывать в миграционной карте аэропорт вылета (это для иностранцев, опять же, родные граждане никаких карт не заполняют).
В Шереметьево, по хорошему, функцию такого контроля в сложившейся ситуации должен выполнять РПН, это их задача, а никак не пограничников.
С фронта не нужно ничего перебирать, он уже шлет трафик на бэки, достаточно глянуть нетстат или ss, или конфиги nginx.
У бэкендов вообще не должно быть публичных адресов, по-хорошему. Что, конечно, не избавляет от настройки фаерволла на них.
В статье подразумевается, что взломан был фронтенд-сервер. Автор пишет также, что доступа с бэкенда к фронтенду не было — даже если бы залились на бэкенд через уязвимое веб-приложение и подняли там привилегии, это не могло бы объяснить, как на фронтенде оказался пересобранный бинарник.
Но ведь на фронтенде кроме прокси ничего не было...
Символы ведь совсем необязательно хранить в ascii. Да хотя бы поксорить их могли.