"Maga a funkció azért fontos a szervergyártóknak, mert ilyen formában egy rendkívül megbízható védelmet kapnak a platform firmware-t manipuláló malware-ek ellen, legyen szó lokális vagy távoli hozzáférési formában végrehajtott támadásról."
Hogyan véd a Malwareektől az, hogy első indítás utántól csak Dell gépekben működik a proci? Olyan Malwareről még nem hallottam, ami átrakná egy másik gépbe a procit.
...a firmware-ekre meg régen létezett tökéletes védelem a módosítás ellen, egy jumper formájában...

Ezzel a módosítással akkor nem csak hogy kényszerűen csak egyben lehet a szervereket továbbértékesíteni, de valószínűleg az alaplap hibája esetén az egyébként hibátlan processzorok és egyéb esetleg még érintett (befoglalt) bővítőeszközök is mehetnek a kukába. Mindez úgy, hogy az AMD eleve ellátási nehézségekkel küzd.
AMD nyer rajta, mert ugyanazt a teljesítményt úgyis csak egy új EPYC processzoros rendszerrel tudják biztosítani, így csak nagyobb lesz a kereslet, ami az árakat is felhajtja.

Így már minden érthető.

D4 klán: HunPH - invért privát rám

Mennyire gyakori a FW hekkelés távolról?
Mert nem sok ilyenről hallottam eddig.

Jó cikk, köszi

Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.

Ezek szerint beköszöntött a hekkeléssel tönkretehető hardverek kora.
Gondolom, ha a vírus valami úton módon frissítette a firmware-t, de utána viszont nem indul el a gép, az eredeti firmware-t se lehet csak úgy feltenni, max csak procicserével, ami szervereknél gondolom nem olyan pikk-pakk megy. Bár gőzöm sincs valójában hogy megy ez.

[ Szerkesztve ]

Plusz procicserével az átmeneti processzor is kötődik már az alaplaphoz.

Nem kell oda olyan, sima update és tönkreteszi
Úgy tűnik Dell nagyon szeretné ha userei új vasat vennének minél sűrűbben.

"Nem, semmi nem megy a kukába, nem az alaplaphoz van kötve, hanem a firmware aláírókulcsához van kötve, ami a gyakorlatban valószínűleg annyi megkötést jelent, hogy az adott CPU azután már csak Dell alaplappal működik."

Szerencsés esetben talán valóban csak annyit jelent, hogy egy pontosan ugyanolyan alaplapot kell szerezni.

Hosszú távon epyc fail, már ha lehet így fogalmazni. Már amikor ezred áron fognak ezek a procik menni lomiból és nehéz lesz eladni.
Tegyük fel hogy 5+ év múlva mennek selejtbe a gépek, akkor az alakatrészek meg ebay-en, ali-n stb végzik. Vicces lesz látni hogy DELL only cpu vagy hogy brand unlocked?
De biztos vagyok benne hogy az ügyes kínaiak majd kitalálnak erre is valamit, mint ahogy eddig is tették a lomis szerver alkatrészekből.

Vintage Story PH szervere újra fut!

Nem tudom mit csodálkoznak páran.
Egybe gépeknél az alaplap és a táp csatija se "szabványos" sok esetben.
A gyártó így oldja meg az adott tápot ne használd más alaplappal, és az adott alaplapot más táppal.

Annyi a különbség most nem egy műanyag pokayoke csatin múlik, kidöglik alóla a lap még amúgy is garis így csak lapcsere ami nem is a te költséged. Mire lejár a garija addigra meg már 256/512 es Epyc-ek lesznek a piacon és nem fog senkit érdekelni.....

ha meghúzom a kocsidat az oc-nek számít?

Amellett valszeg egyben selejtezik a gépeket, érdekelne vajon mennyire gyakori egy szerver élettartama során a processzor fejlettebbre cserélése? Mire elavul, szerintem olcsóbb egyben cserélni az egész dobozt.
Így nem fogják lopkodni a procikat a hp beépített emberei.

[ Szerkesztve ]

Erre nincs feloldás. Egyszer égethető a dolog. Később nem módosítható. Ha az lenne, akkor nem lenne elég biztonságos ahhoz, hogy rengeteg pénzt fizessenek érte a cégek.

Senki sem dől be a hivatalos szóvivőnek, de mindenki hisz egy meg nem nevezett forrásnak.

Az lenne már csak a vicces, ha valami úton módon kompromittálódna a Dell kulcsa.
Akkor vajon mit lépnének?

BC-n vagy kulon programozo csatin kereszul ujra lehet programozni a firmwaret. Proci se kell hozza.

Ez nem túl zöld megoldás, mert így a későbbiekben nen lehet újrahasznosítani őket akármilyen alaplapban, olyanok így mint a mostani forrasztott processzoros és memóríás laptopok, sokkal hamarabb lesz belőlük elektronikai hulladék.

“If you don't read the newspaper, you're uninformed. If you read the newspaper, you're mis-informed.”

Ezert hasznalnak tobbszintu hitelesitest: Csinalnak egy root certet, amivel alairjak az aktualis certeket, majd az aktualis certekkel a firmwaret. Az elso lepest csak egyszer kell megtenni, a masodik lepesben levo cert pedig cserelodhet az uj firmware-vel. Mivel a root certet el lehet rakni a szefbe akar evekig igy sokkal kisebb az eselye, hogy kikeruljon.
Ezen felul tamogatott a multiple root of trust, tehat akar tobb kulcsot is meg lehet adni, ha az adott prociban van eleg hely,. A komrpomitalodott kulcsot pedig ki lehet nullazni.

(#16) Abu85: Modositani korlatozottan lehet. 1->0 bitatmenetre van lehetoseg, csak 0-bol nem lehet 1-be visszabillenteni.

Rosszindulatu firmwarevel az unlocked procikat orokre tonkre lehet tenni, csak 0-ra kell irni az osszes fuse bitet.

[ Szerkesztve ]

Ahogy Asus update tanúsítványát és ezzel az update folyamatát is meghekkelték, ezt is ha meghekkeli valaki, akkor az adott tanúsítvánnyal alárt firmware-t továbbra is elfogadja, hiszen az van beleégetve, hogy fogadja el. Hiába cserélik le az új tanúsítványt, az van beleégetve, hogy fogadja el a régit.
#24 :És ők nem tudják "lépettni" a saját tanúsítványukkal? Azzal tovább aláírnak újabb tanúsítványt?

[ Szerkesztve ]

Nem teljesen, mert van jopar fuse bit verzioszamlalasra es a koztes certet ellenorzo kodreszben lehet leptetni a min verziot es letiltani a regi kulcsot.
Ugyanezek vedenek a downgrade ellen is.

[ Szerkesztve ]

Szervereket az esetek tulnyomo reszeben egyben cserelik.

Ezt nem ismertem, köszönöm! Mindig tanul valami újat az ember!

plus ça change, plus c'est la même chose

Az amazon nemrég upgradelt több 10 000 xeon procit.
https://www.youtube.com/watch?v=EZMAIOBXp9E

Gondolom Ali-expresszen vették, zsákos kiszerelés free shipping.

Gondolom ez olyan cégeknek éri meg akiket nem különösebben ráz meg ha zsákszám kell a szeméttelepre majd kiönteni ezeket a procikat. A nincs ingyen ebéd elv alapján valakivel ki lesz fizettetve ez a többletköltség(ügyfelek,adófizetők stb).

koszi a kiegeszitest, nem olvastam az eredeti cikket, gondoltam, rendesen volt forditva, de igy mar mindjart mas a leanyzo fekvese.

Big girls ride harder. ヅ || Kondi powaa'!

El lehet adni a szervert es venni ujat. Nem kell kidobni semmit.

Elvileg a dell modellenkét különbözöt használ. A HP használja mindenhova ugynazt. A Supermicro meg nem is használja ezt a "védelmet" egyáltalán legalabbis egyenlöre.

"A Linux rendkívül felhasználóbarát, csak megválogatja a barátait."

5-10 után úgy is mindegy lesz, az akkori 1000+ magos processzorokhoz képest nem fog senki se ilyenekkel foglalkozni. Akkor már nem fogja megérni 24/7 üzemeltetni ezeket, megy egybe a kukába, vagy Ebay-re ha a security policy megengedi.
Maximum a jelenlegi Ebay-es Xeon procibazárt fogja megakasztani, hogy Vér Pisti desktop Tower gépbe 64magosítsa az alap 8 magos EPYC-et.
Cserélhetik majd alaplapostul a gépet, avagy elterjednek a kókányolt DELL és HP biosok gigabyte és más alaplapba is ha az nincs lelockolva

[ Szerkesztve ]

-

Ha a Downgrade ellen védett, az azért lehet jó, mert egy gyártói elcseszett firmware után nem lehet korrigálni korábbira visszaváltással. Amire egy szerver esetén a gyártó mondhatja, hogy user error és leszarja.

Ez van a root certekkel is, ott is kb. megoldjak.

while (!sleep) sheep++;

Szervereknel kicsit mas a hozzaallas, mint konzumer termekeknel. Komoly gyartok gyorsan reagalnak minden elcseszett dologra, ha egyaltalan atmegy a QA-n a hiba. Vallalati ugyfelek eleg nagyok es megfontoltak ahhoz, hogy fontos legyen a minosegbiztositas. Es ott nem is nagyon mokolgatjak a szervereket, ha mar be vannak epitve. A gyartoi support elintezi.

a magyar valóságot tekintve elég gyakori. Konkrétan 130db, 6 éves, 1CPU + 32GB ram +250GBx2 szerverekből épitettünk össze 1 hónapja, 18db 2CPU vagy 4CPU szervereket, 384GB RAM és nem tudom mennyi terra HDD-vel... (azt már nem én csináltam)
Ezek a gépek még pár évig teljesen vállalhatóak lesznek átlagos felhasználásra. Nyilván nem adatbányászatra meg egyéb hyper teljesitmeny igenyes feladatokra...

Mindezt Xeon alapokon, de a beszerzesi idopontban mas ugye nem is nagyon volt enterprise rendszerekben...

szoftver szakmabeli && Beverly250

Ez gondolom világszinten nem olyan volumen, hogy felmerüljön mint későbbi megoldandó probléma ( mármint, hogy vajon mi lesz a bontott cpu-kkal). A dell nagyobb vásárlói felteszem tokkal vonóval cserélik a gépparkot, a használtpiacnak is egy sokadik lépcsője lesz ahol már szóló procik bukkannak fel. Ami azt illeti az otthoni gépem is csak ritkán élt át proci cserét, többnyire a lapprociram triót fejlesztem.
Valószínűleg majd a távoli jövőben okoz majd néhány anyázós szituációt a dolog, de nem olyan volumenben, hogy most bárkit is érdekeljen: vajh mi lészen a dellizált epikkel öt esztendő múlva ?

Ha elég nagy a cég. Azért egy HP vagy Dell EPYC szerver vásárlásához nem kell óriás cégnek lenni, és simán leszarható méret lehet az még.

Intelnek van hasonló biztonsági feature-e?
Már ami a firmware malware ellen védene...

Hirdetéseim: http://hardverapro.hu/tag/driftmester

off:
"a magyar valóságot tekintve "
Abszolút nem számít világviszonylatba. Ne bántásnak vedd csak a hazai viszonyokat kár ilyen értelemben összehasonlítani.
Itt még a "gizikék" sok esetbe xpn és pentium 4 cerkán nyomulnak az exel táblázaton hisz még működik így nem cserélik le (értelem szerűen példa volt)

ha meghúzom a kocsidat az oc-nek számít?

Igen 2017 óta. Az ötlet nem új, a RISC világban ez már régen van. De x86-nál sem az AMD találta ki, alkalmazta.

The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]

Nem kotelezo minden lepesnel tiltani, eleg csak a kritikus patcheknel, mint pl. amikor letiltanak egy kulcsot.

Előre látom már a cikket, hogy emberi hibából rossz firmware megy ki és szerverek tömkelegét vágja haza mert támadásnak nézik

[ Szerkesztve ]