Вопрос первый.
Есть компьютер. Нужно гарантировать отсутствие руткитов в прошивках чипов и устройств, а если есть - вычистить. КАК? Ни одно средство сканирования не умеет сканировать прошивки.
Есть компьютер. Нужно гарантировать отсутствие руткитов в прошивках чипов и устройств, а если есть - вычистить. КАК? Ни одно средство сканирования не умеет сканировать прошивки.
Никак. Сам себя в анальные условия по ТЗ загнал.
1 Я себя загнал в реалистичные условия. Ни один нормальный пользователь не будет выпаивать чипы из материнской платы и всовывать их в программатор так как это лишает гарантии, чревато выходом из строя и слишком трудоёмко, чтобы регулярно проводить такую проверку. К тому же это ставит под вопрос безопасность и доверенность эвм, к которой подключён программатор. Если чипы можно прошить без программатора, то их можно и считать без него. Или на крайняк прошить референсной прошивкой, но для этого опять же нужна доверенная среда.
2 виртуализацию можно задетектить с помощью "красных таблеток". Виртуализацию любого уровня, включая уровень ОС. То есть и руткит тоже.
Нужно решение, которое
1 ищет все потенциально руткитные места
2 проверяет доверенность считывания прошивок с помощью красной пилюли
3 считывает все прошивки
4 проверяет их целостность и проводит сигнатурный и эвристический анализ
5 делает тебе минет
6 вытирает тебе жопу после сранья
Не смешно.
7 делает смешно
Поклоняемся гету!
Если серьезно.
>Qubes OS
Спокойно работает у меня дома, я за то, чтобы включить в обзор. Мегасерверов за сотни денег для неё не нужно.
>антивирусы проприетарны и подконтрольны компании, а компания - атакующему, так что малварь мо
Не все антивирусы, бро. Как минимум под винду есть вариант ав с открытым кодом.
>без деградации функциональности, производительности
Я вы сказал - с разумной деградацией, тк FDE это -5% производительности.
Я не встречал пока подобного
>Я бы сказал - с разумной деградацией, тк FDE это -5% производительности.
Принято.
Значит надо запилить. Универсальный программатор для биосов/уефи/биосов видеокарт/прочих чипов - программа flashrom. Если её модифицировать чуток, то будет и красная пилюля (там есть стадия измерения и калибровки задержек, собственно если это будет перехватываться малварью, то задержки существенно возрастут). Надо потрясти ЛК на тему отреверсеных исходников/бинарников малвари от equation, думаю есть шанс, что дадут, если привлечь внимание сми.
Также неплохо бы заменить биос на корбут, так как проприетарное говно может содержать в себе что угодно. Вот с этим совсем всё печально, так как каждый чипсет и каждую матплату надо делать отдельно, и работы там море из-за проприетарности всего и вся, включая даташиты.
Будь готов, что этот проект захотят развалить на старте. Ибо тут ты выступаешь против интересов ВСЕХ государств разом. Блока нато - в частности.
Но идея - сверхгодная.
Тогда вот минимальная схема:
1. Ноут (переносной, исключаем несанкционированный доступ на физическом уровне), желательно с открытой платформой.
Варианты?
Lenovo Thinkpad X60, как у Столлмана. Или https://www.crowdsupply.com/purism/librem-15/ librem-15
+
Debian
>Будь готов, что этот проект захотят развалить на старте. Ибо тут ты выступаешь против интересов ВСЕХ государств разом. Блока нато - в частности.
Внезапно у государств у самих стоит такая проблема, так что могут даже профинансировать
Почитав Гигабайты Власти, начинаешь считать, что закрытый биос и прошивки - для них очень даже нужны. Хорошо, если я не прав.
Нашел упоминание некого китайца Yeeloong от 10 года
https://www.fsf.org/resources/hw/endorsement/gluglug
Ламповый и свободный (даже bios) пк.
Разве что на вид, как говно.
Правда мне не нравится это:
>В устройстве не должно быть никаких аппаратных или программных бэкдоров и шпионских модулей в любом виде, которые способны предоставить кому-либо кроме владельца идентификатор устройства, его местоположение или сведения об активности пользователя, за исключением случаев, 1) когда пользователь явно попросит об этом, 2) когда этого требуют протоколы коммуникации либо 3) законодательство. В последнем случае владельца устройства следует проинформировать заметным сообщением и ссылкой на то, где получить дополнительную информацию.
Понятное дело, не должно быть вообще.
Вопрос крайне актуален.
Что у нас, в качестве замены биоса? Что со свободным железом?
Что у нас, в качестве замены биоса? Что со свободным железом?
http://www.coreboot.org/Supported_Motherboards#Laptops
Список материнок, которые поддерживают coreboot
Я знаю о корбут. Моя не поддерживает и документации нет, а реверсить нет ни времени ни квалификации. Пробовал - какая-то белиберда выдаётся.
Моя тоже, но тут я скорее за замену железа, под задачи, сейчас думаю ноут купить "новый" X60
Бамп ультрагодному треду
Чет не могу понять что это за ебола такая.
Чем UEFI плох?
Там зонд, анон.
Позволяет на низком уровне по поступлению пакета извне - совершать злодеяния по отношению к твоей пеке.
>Там зонд, анон.
>Позволяет на низком уровне по поступлению пакета извне - совершать злодеяния по отношению к твоей пеке.
Серьезно?
Почему бы тогда не форкнуть EFI без зонда? Он же опенсорс.
Зачем какую-то оче странную еболу придумывать?
Я просто хочу разобраться если че.
А то я на сайте почитал, но как то все смутно оче.
Как там дела с поддержкой всякой йобы. Ну например xmp профиля оперативной памяти памяти?
Управлением скоростью вращения вентиляторов?
Питанием и частотой процессора и встроенного gpu, вот это все.
Молодец, ты открыл для себя payload tianocore.
Корбут это больше чем уефи, там есть различные payloadы, позволяющие быстро грузить линукс, винду, полноценный свободный uefi и т д. Пейлоады можно обновлять без перешивки.
И вообще, что-то мы скатились в обсуждение корбута вместо обсуждения очистки прошивок от малвари.
>Он же опенсорс
дело в том, что нет
давай обсудим все варианты?
>Ни один нормальный пользователь не будет выпаивать чипы из материнской платы и всовывать их в программатор
Верно. Точно так же, как ни один нормальный пользователь не будет требовать «гарантировать отсутствие руткитов».
Будет, в рамках определённой модели угроз, если исследователи уровня /crypt/ разработают способ.
!
Есть готовые гайды по максимум огораживанию и безопасности в дебиане и фряхе? И желательно ещё в junod/pfsense
Анон, нужен ли EMET? Его ведь научились обходить, а в МС до сих пор не пофиксили.
не актуально
https://github.com/maqp/tfc-nacl/
Какие-то извращения, зачем-то 3 компа
Якобы передающий данные не получает, посредник данные не видит, получатель данные не может передать. Используется зачем-то гальваническая развязка. Рушим по частям исходные посылки.
>The NH is assumed to be compromised, but unencrypted data never touches it.
Данные не касаются, но атаки подтверждения проводить можно, модулируя пропускную способность, можно напрямую собирать и передавать метаинформацию.
>Malware that exploits an unknown vulnerability in RxM can infiltrate to the system, but is unable to exfiltrate keys or plaintexts, as data diode prevents all outbound traffic.
"диод" не мешает передаче данных по сторонним каналам: ультразвуком, электромагнитным полем, энергопотреблением, температурой.
>Malware can not breach TxM as data diode prevents all inbound traffic. The only data input from RxM to TxM is the 72 char public key, manually typed by user.
Малварь может быть уже внутри, называется Management Engine, и хрен вы её оттуда вычистите.
Какие-то извращения, зачем-то 3 компа
Якобы передающий данные не получает, посредник данные не видит, получатель данные не может передать. Используется зачем-то гальваническая развязка. Рушим по частям исходные посылки.
>The NH is assumed to be compromised, but unencrypted data never touches it.
Данные не касаются, но атаки подтверждения проводить можно, модулируя пропускную способность, можно напрямую собирать и передавать метаинформацию.
>Malware that exploits an unknown vulnerability in RxM can infiltrate to the system, but is unable to exfiltrate keys or plaintexts, as data diode prevents all outbound traffic.
"диод" не мешает передаче данных по сторонним каналам: ультразвуком, электромагнитным полем, энергопотреблением, температурой.
>Malware can not breach TxM as data diode prevents all inbound traffic. The only data input from RxM to TxM is the 72 char public key, manually typed by user.
Малварь может быть уже внутри, называется Management Engine, и хрен вы её оттуда вычистите.
Привет, хочу выучиться на техника по информационной безопасности но смутно представляю с чего начинать. Сам не знаю нихуя, за плечами СПО, 21 лвл и потуги изучения языков программирования. Посоветуйте с чего начать путь к этой профе.
Драститя. Подскажите, где можно задать вопрос о проксировании данных в хроме? Здесь можно?
В /s/.
8. Проигрывает с треда
Всякие Эльбрусы и Байкалы как раз ответ на твой вопрос.
Он же сказал, что у него уже есть компьютер.
А так бы ответ был что-нибудь вроде https://raptorengineeringinc.com/TALOS/prerelease.php
Бампану вопрос
С самого начала раздела следовало запилить этот тред, тред сам себя не запилит. Но он так и не был запилен. Исправляю оплошность.
Модель угроз:
таргетированная атака (потому что она опаснее, разрушительнее, глубже и имеет больше шансов на успех, чем нетаргетированная)
атакующий имеет ресурсы и возможности сравнимые с государством, резидентом которого вы являетесь (руткиты (включая руткиты уровня прошивок различных встроенных и не встроенных в мат. плату устройств), зеродеи, специально написанная или купленная у контор вроде hacking team малварь, инновационные засекреченные атаки, финансирование, давление на бизнес, НКО и независимых разработчиков, возможность принимать любые законы)
у атакующего нет физического доступа к вашему оборудованию (иначе всё бесполезно) и вам самим (иначе доступ станет санкционированным)
Система (сеть, компьютер, мобильный телефон), постоянно подключенная к интернету, на которой выполняется типовая работа: веб-серфинг, обновление установленных программ, установка новых программ.
Антивируса нет (антивирусы проприетарны и подконтрольны компании, а компания - атакующему, так что малварь мо). Процессор с поддержкой DEP.
Задача:
как можно более уменьшить вероятность не санкционированого оператором доступа к информации, хранимой и обрабатываемой (включая данные с устройств в виде потока) в информационной системе без деградации функциональности, производительности и прочих существенных издержек
Средства защищающегося:
использование имеющегося в свободном доступе ПО
использование информации, находящейся в свободном доступе
коммерчески-доступное аппаратное обеспечение (дешёвое!, а не компьютер, на котором можно запустить Qubes OS так, чтобы она не тормозила)
голова на плечах (обычный пользователь, а не супергений с суперфинансированием и свободным временем)
крайне ограниченное количество свободного времени на настройку