Hirdetés

2020. október 25., vasárnap

Gyorskeresés

Hozzászólások

(#1) Male


Male
nagyúr

"Maga a funkció azért fontos a szervergyártóknak, mert ilyen formában egy rendkívül megbízható védelmet kapnak a platform firmware-t manipuláló malware-ek ellen, legyen szó lokális vagy távoli hozzáférési formában végrehajtott támadásról."
Hogyan véd a Malwareektől az, hogy első indítás utántól csak Dell gépekben működik a proci? Olyan Malwareről még nem hallottam, ami átrakná egy másik gépbe a procit.
...a firmware-ekre meg régen létezett tökéletes védelem a módosítás ellen, egy jumper formájában...

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#2) Alogonomus


Alogonomus
aktív tag

Ezzel a módosítással akkor nem csak hogy kényszerűen csak egyben lehet a szervereket továbbértékesíteni, de valószínűleg az alaplap hibája esetén az egyébként hibátlan processzorok és egyéb esetleg még érintett (befoglalt) bővítőeszközök is mehetnek a kukába. Mindez úgy, hogy az AMD eleve ellátási nehézségekkel küzd.
AMD nyer rajta, mert ugyanazt a teljesítményt úgyis csak egy új EPYC processzoros rendszerrel tudják biztosítani, így csak nagyobb lesz a kereslet, ami az árakat is felhajtja.

(#3) dabadab


dabadab
titán

Akinek nem lett volna világos a cikkből (nekem se, ezért elolvastam az angol eredetit):

Az egész arról szól, hogy a CPU-ba bele lehet égetni (szigorúan egyszeri, megismételhetetlen, visszafordíthatlan műveletről van szó) egy gyártó nyilvános kulcsát (van ez a kétkulcsos titkosítás, hogy van egy nyilvános és egy titkos kulcs: a titkos kulcs a gyártónál van, ezzel készíti a digitális aláírást, a nyilvános kulcsot viszont bárki megkaphatja és ezzel tudják ellenőrízni, hogy tényleg a gyártó titkos kulcsával készült-e az aláírás) és ezután az Epyc csak és kizárólag olyan firmware-t hajlandó betölteni, amit annak a kulcsnak a titkos párjával írtak alá.

Így aztán ha Hekker Béla csinál egy hekkelt firmware-t, akkor azzal el se indul a processzor, mert vagy nem lesz rajta delles aláírás, vagy ha lesz is, akkor meg nem fog stimmelni a firmware tartalmával.

DRM is theft

(#4) nonsen5e válasza dabadab (#3) üzenetére


nonsen5e
addikt

Így már minden érthető. :R

「今が最高」

(#5) dabadab válasza Alogonomus (#2) üzenetére


dabadab
titán

valószínűleg az alaplap hibája esetén az egyébként hibátlan processzorok és egyéb esetleg még érintett (befoglalt) bővítőeszközök is mehetnek a kukába.

Nem, semmi nem megy a kukába, nem az alaplaphoz van kötve, hanem a firmware aláírókulcsához van kötve, ami a gyakorlatban valószínűleg annyi megkötést jelent, hogy az adott CPU azután már csak Dell alaplappal működik.

DRM is theft

(#6) Ribi válasza dabadab (#3) üzenetére


Ribi
nagyúr

Mennyire gyakori a FW hekkelés távolról?
Mert nem sok ilyenről hallottam eddig. :F

(#7) dabadab válasza Ribi (#6) üzenetére


dabadab
titán

Szerintem semennyire, a social enginerringgel bevitt hekkelt firmware lényegesen reálisabb fenyegetés.

[ Szerkesztve ]

DRM is theft

(#8) Ezekiell válasza dabadab (#3) üzenetére


Ezekiell
őstag

Jó cikk, köszi ;)

"Az interneten terjedő összes idézetem igaz." - Darwin

(#9) dokanin


dokanin
tag

Ezek szerint beköszöntött a hekkeléssel tönkretehető hardverek kora. :)
Gondolom, ha a vírus valami úton módon frissítette a firmware-t, de utána viszont nem indul el a gép, az eredeti firmware-t se lehet csak úgy feltenni, max csak procicserével, ami szervereknél gondolom nem olyan pikk-pakk megy. Bár gőzöm sincs valójában hogy megy ez. :)

[ Szerkesztve ]

(#10) Alogonomus válasza dokanin (#9) üzenetére


Alogonomus
aktív tag

Plusz procicserével az átmeneti processzor is kötődik már az alaplaphoz.

(#11) Ribi válasza dokanin (#9) üzenetére


Ribi
nagyúr

Nem kell oda olyan, sima update és tönkreteszi :D
Úgy tűnik Dell nagyon szeretné ha userei új vasat vennének minél sűrűbben. :(

(#12) Alogonomus válasza dabadab (#5) üzenetére


Alogonomus
aktív tag

"Nem, semmi nem megy a kukába, nem az alaplaphoz van kötve, hanem a firmware aláírókulcsához van kötve, ami a gyakorlatban valószínűleg annyi megkötést jelent, hogy az adott CPU azután már csak Dell alaplappal működik."

Szerencsés esetben talán valóban csak annyit jelent, hogy egy pontosan ugyanolyan alaplapot kell szerezni.

(#13) MasterDeeJay

Hosszú távon epyc fail, már ha lehet így fogalmazni. Már amikor ezred áron fognak ezek a procik menni lomiból és nehéz lesz eladni.
Tegyük fel hogy 5+ év múlva mennek selejtbe a gépek, akkor az alakatrészek meg ebay-en, ali-n stb végzik. Vicces lesz látni hogy DELL only cpu vagy hogy brand unlocked?
De biztos vagyok benne hogy az ügyes kínaiak majd kitalálnak erre is valamit, mint ahogy eddig is tették a lomis szerver alkatrészekből.

The Glorious Dual Xeon Gaming Master Race :) Master of chinese x79/x99

(#14) Lacika112


Lacika112
aktív tag

Nem tudom mit csodálkoznak páran.
Egybe gépeknél az alaplap és a táp csatija se "szabványos" sok esetben.
A gyártó így oldja meg az adott tápot ne használd más alaplappal, és az adott alaplapot más táppal.

Annyi a különbség most nem egy műanyag pokayoke csatin múlik, kidöglik alóla a lap még amúgy is garis így csak lapcsere ami nem is a te költséged. Mire lejár a garija addigra meg már 256/512 es Epyc-ek lesznek a piacon és nem fog senkit érdekelni.....

ha meghúzom a kocsidat az oc-nek számít?

(#15) catlaca


catlaca
aktív tag

Amellett valszeg egyben selejtezik a gépeket, érdekelne vajon mennyire gyakori egy szerver élettartama során a processzor fejlettebbre cserélése? Mire elavul, szerintem olcsóbb egyben cserélni az egész dobozt.
Így nem fogják lopkodni a procikat a hp beépített emberei. :DD

[ Szerkesztve ]

“Hülyeségre nincs diéta” (Rejtő Jenő)

(#16) Abu85 válasza MasterDeeJay (#13) üzenetére


Abu85
HÁZIGAZDA

Erre nincs feloldás. Egyszer égethető a dolog. Később nem módosítható. Ha az lenne, akkor nem lenne elég biztonságos ahhoz, hogy rengeteg pénzt fizessenek érte a cégek.

A semmi az nem nincs, hanem van. Ha a semmi van, akkor nincs semmi, de ha nincs semmi, akkor valami van, de az nem semmi.

(#17) dabadab válasza Alogonomus (#12) üzenetére


dabadab
titán

Szerencsés esetben talán valóban csak annyit jelent, hogy egy pontosan ugyanolyan alaplapot kell szerezni.

Nem, az a szerencsétlen eset, ha minden modellhez külön aláírókulcsot használnak, ami egyébként elég valószínűtlen.
Tippre viszont az a helyzet, hogy van egy központi Dell kulcs és azzal írják alá az összes FW-t.

[ Szerkesztve ]

DRM is theft

(#18) Male válasza dabadab (#3) üzenetére


Male
nagyúr

Köszi!

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ALLEZ AMÉLIE!!! //////////////////////////////////////////// Forex programozás: https://forex.kismunka.hu - Webfejlesztés: https://ozweb.hu

(#19) dokanin


dokanin
tag

Az lenne már csak a vicces, ha valami úton módon kompromittálódna a Dell kulcsa.
Akkor vajon mit lépnének? :D

(#20) Reggie0 válasza dokanin (#9) üzenetére


Reggie0
nagyúr

BC-n vagy kulon programozo csatin kereszul ujra lehet programozni a firmwaret. Proci se kell hozza.

(#21) Armagedown


Armagedown
őstag
LOGOUT blog

Ez nem túl zöld megoldás, mert így a későbbiekben nen lehet újrahasznosítani őket akármilyen alaplapban, olyanok így mint a mostani forrasztott processzoros és memóríás laptopok, sokkal hamarabb lesz belőlük elektronikai hulladék.

“If you don't read the newspaper, you're uninformed. If you read the newspaper, you're mis-informed.”

(#22) Reggie0 válasza dokanin (#19) üzenetére


Reggie0
nagyúr

Ezert hasznalnak tobbszintu hitelesitest: Csinalnak egy root certet, amivel alairjak az aktualis certeket, majd az aktualis certekkel a firmwaret. Az elso lepest csak egyszer kell megtenni, a masodik lepesben levo cert pedig cserelodhet az uj firmware-vel. Mivel a root certet el lehet rakni a szefbe akar evekig igy sokkal kisebb az eselye, hogy kikeruljon.
Ezen felul tamogatott a multiple root of trust, tehat akar tobb kulcsot is meg lehet adni, ha az adott prociban van eleg hely,. A komrpomitalodott kulcsot pedig ki lehet nullazni.

(#16) Abu85: Modositani korlatozottan lehet. 1->0 bitatmenetre van lehetoseg, csak 0-bol nem lehet 1-be visszabillenteni.

Rosszindulatu firmwarevel az unlocked procikat orokre tonkre lehet tenni, csak 0-ra kell irni az osszes fuse bitet.

[ Szerkesztve ]

(#23) Ribi válasza Reggie0 (#22) üzenetére


Ribi
nagyúr

Ahogy Asus update tanúsítványát és ezzel az update folyamatát is meghekkelték, ezt is ha meghekkeli valaki, akkor az adott tanúsítvánnyal alárt firmware-t továbbra is elfogadja, hiszen az van beleégetve, hogy fogadja el. Hiába cserélik le az új tanúsítványt, az van beleégetve, hogy fogadja el a régit.
#24 :És ők nem tudják "lépettni" a saját tanúsítványukkal? Azzal tovább aláírnak újabb tanúsítványt?

[ Szerkesztve ]

(#24) Reggie0 válasza Ribi (#23) üzenetére


Reggie0
nagyúr

Nem teljesen, mert van jopar fuse bit verzioszamlalasra es a koztes certet ellenorzo kodreszben lehet leptetni a min verziot es letiltani a regi kulcsot.
Ugyanezek vedenek a downgrade ellen is.

[ Szerkesztve ]

(#25) [CsuCsu] válasza Armagedown (#21) üzenetére


[CsuCsu]
őstag

Szervereket az esetek tulnyomo reszeben egyben cserelik.

(#26) noPublicFG


noPublicFG
senior tag

Ezt nem ismertem, köszönöm! :R Mindig tanul valami újat az ember!

plus ça change, plus c'est la même chose

(#27) sh4d0w válasza dokanin (#9) üzenetére


sh4d0w
nagyúr
LOGOUT blog (1)

Az már rég beköszöntött, mióta az EFI változók tartalmához hozzá lehet férni írási joggal. Ha valakinek ez a szándéka, csak kinullázza őket, az alaplap meg mehet a kukába...

https://coreinfinity.tech

(#28) Reggie0 válasza sh4d0w (#27) üzenetére


Reggie0
nagyúr

Mar joval elobb is bekoszontott, eleg csak valami csinos feszultseget beallitani.

Szerencsere ez nem nagyon divat, mert nem lehet belole penzt csinalni. A tamado erdeke, hogy valamilyen eroforrashoz jusson es rejtve maradjon.

[ Szerkesztve ]

(#29) MuldR válasza catlaca (#15) üzenetére


MuldR
tag

Az amazon nemrég upgradelt több 10 000 xeon procit.
https://www.youtube.com/watch?v=EZMAIOBXp9E

(#30) catlaca válasza MuldR (#29) üzenetére


catlaca
aktív tag

Gondolom Ali-expresszen vették, zsákos kiszerelés free shipping. :DDD :DD

“Hülyeségre nincs diéta” (Rejtő Jenő)

(#31) xeon forever


xeon forever
őstag

Hmmmm.Finom.
Szerintem mozgas erzekelot is tehetnenek a szerverekbe es ha megmozditod akkor van 3 masodperced egy hexadecimal is kodot beirni mielott az ala epitett 2,5kg c4 felrobbanna.
:))

MAIN QUEST LINE: DELL WORKSTATIONS 2x T5810 2xT3600 T1600 RouterBOARD 750G r3 RouterBOARD RB260GS 3Com Switch 4800G RETRO Cuccok:GIGA P45UD3R+Xeon e5430@3.73GHZ ://www.passmark.com/baselines/V9/images/126668301354.png

(#32) gabika1972


gabika1972
csendes tag

Gondolom ez olyan cégeknek éri meg akiket nem különösebben ráz meg ha zsákszám kell a szeméttelepre majd kiönteni ezeket a procikat. A nincs ingyen ebéd elv alapján valakivel ki lesz fizettetve ez a többletköltség(ügyfelek,adófizetők stb).

(#33) Yeffy válasza dabadab (#3) üzenetére


Yeffy
addikt

koszi a kiegeszitest, nem olvastam az eredeti cikket, gondoltam, rendesen volt forditva, de igy mar mindjart mas a leanyzo fekvese. :K

Big girls ride harder! || Kondi powaa'! ヅ

(#34) [CsuCsu] válasza gabika1972 (#32) üzenetére


[CsuCsu]
őstag

El lehet adni a szervert es venni ujat. Nem kell kidobni semmit.

(#35) dabadab válasza gabika1972 (#32) üzenetére


dabadab
titán

Elmondanád, hogy miért kellene "zsákszám kiönteni ezeket a procikat a szeméttelepre"?

DRM is theft

(#36) thedioda válasza dabadab (#17) üzenetére


thedioda
tag

Elvileg a dell modellenkét különbözöt használ. A HP használja mindenhova ugynazt. A Supermicro meg nem is használja ezt a "védelmet" egyáltalán legalabbis egyenlöre.

"A Linux rendkívül felhasználóbarát, csak megválogatja a barátait."

(#37) Kopi31415 válasza dabadab (#17) üzenetére


Kopi31415
félisten

Nekem egyetlen master aláíró kulcs eléggé biztonsági problémásnak néz ki, azt elég megszerezni és minden termékre lehet utána tarolni alapon.

Part to Part | Status:122% completed | Estimated time remaining:1193hr 2min 30sec ----- Converting Data | Status: 425% completed | Estimated time remaining: 1193hr46sec

(#38) thgergo válasza dabadab (#35) üzenetére


thgergo
tag

5-10 után úgy is mindegy lesz, az akkori 1000+ magos processzorokhoz képest nem fog senki se ilyenekkel foglalkozni. Akkor már nem fogja megérni 24/7 üzemeltetni ezeket, megy egybe a kukába, vagy Ebay-re ha a security policy megengedi.
Maximum a jelenlegi Ebay-es Xeon procibazárt fogja megakasztani, hogy Vér Pisti desktop Tower gépbe 64magosítsa az alap 8 magos EPYC-et.
Cserélhetik majd alaplapostul a gépet, avagy elterjednek a kókányolt DELL és HP biosok gigabyte és más alaplapba is ha az nincs lelockolva :)

[ Szerkesztve ]

-

(#39) Kopi31415 válasza Reggie0 (#24) üzenetére


Kopi31415
félisten

Ha a Downgrade ellen védett, az azért lehet jó, mert egy gyártói elcseszett firmware után nem lehet korrigálni korábbira visszaváltással. Amire egy szerver esetén a gyártó mondhatja, hogy user error és leszarja.

Part to Part | Status:122% completed | Estimated time remaining:1193hr 2min 30sec ----- Converting Data | Status: 425% completed | Estimated time remaining: 1193hr46sec

(#40) emvy válasza Kopi31415 (#37) üzenetére


emvy
nagyúr

Ez van a root certekkel is, ott is kb. megoldjak.

while (!sleep) sheep++;

(#41) [CsuCsu] válasza Kopi31415 (#39) üzenetére


[CsuCsu]
őstag

Szervereknel kicsit mas a hozzaallas, mint konzumer termekeknel. Komoly gyartok gyorsan reagalnak minden elcseszett dologra, ha egyaltalan atmegy a QA-n a hiba. Vallalati ugyfelek eleg nagyok es megfontoltak ahhoz, hogy fontos legyen a minosegbiztositas. Es ott nem is nagyon mokolgatjak a szervereket, ha mar be vannak epitve. A gyartoi support elintezi.

(#42) longwild válasza catlaca (#15) üzenetére


longwild
aktív tag

a magyar valóságot tekintve elég gyakori. Konkrétan 130db, 6 éves, 1CPU + 32GB ram +250GBx2 szerverekből épitettünk össze 1 hónapja, 18db 2CPU vagy 4CPU szervereket, 384GB RAM és nem tudom mennyi terra HDD-vel... (azt már nem én csináltam)
Ezek a gépek még pár évig teljesen vállalhatóak lesznek átlagos felhasználásra. Nyilván nem adatbányászatra meg egyéb hyper teljesitmeny igenyes feladatokra...

Mindezt Xeon alapokon, de a beszerzesi idopontban mas ugye nem is nagyon volt enterprise rendszerekben...

szoftver szakmabeli... MS, Brazos, Beverly250

(#43) catlaca válasza longwild (#42) üzenetére


catlaca
aktív tag

Ez gondolom világszinten nem olyan volumen, hogy felmerüljön mint későbbi megoldandó probléma ( mármint, hogy vajon mi lesz a bontott cpu-kkal). A dell nagyobb vásárlói felteszem tokkal vonóval cserélik a gépparkot, a használtpiacnak is egy sokadik lépcsője lesz ahol már szóló procik bukkannak fel. Ami azt illeti az otthoni gépem is csak ritkán élt át proci cserét, többnyire a lapprociram triót fejlesztem.
Valószínűleg majd a távoli jövőben okoz majd néhány anyázós szituációt a dolog, de nem olyan volumenben, hogy most bárkit is érdekeljen: vajh mi lészen a dellizált epikkel öt esztendő múlva ? :DD

“Hülyeségre nincs diéta” (Rejtő Jenő)

(#44) Kopi31415 válasza [CsuCsu] (#41) üzenetére


Kopi31415
félisten

Ha elég nagy a cég. Azért egy HP vagy Dell EPYC szerver vásárlásához nem kell óriás cégnek lenni, és simán leszarható méret lehet az még.

Part to Part | Status:122% completed | Estimated time remaining:1193hr 2min 30sec ----- Converting Data | Status: 425% completed | Estimated time remaining: 1193hr46sec

(#45) Driftmester


Driftmester
tag

Intelnek van hasonló biztonsági feature-e? :F
Már ami a firmware malware ellen védene... :D

Hirdetéseim: http://hardverapro.hu/tag/driftmester

(#46) Lacika112 válasza longwild (#42) üzenetére


Lacika112
aktív tag

off:
"a magyar valóságot tekintve "
Abszolút nem számít világviszonylatba. Ne bántásnak vedd csak a hazai viszonyokat kár ilyen értelemben összehasonlítani.
Itt még a "gizikék" sok esetbe xpn és pentium 4 cerkán nyomulnak az exel táblázaton hisz még működik így nem cserélik le (értelem szerűen példa volt) :R

ha meghúzom a kocsidat az oc-nek számít?

(#47) hallador válasza Driftmester (#45) üzenetére


hallador
addikt

Igen 2017 óta. Az ötlet nem új, a RISC világban ez már régen van. De x86-nál sem az AMD találta ki, alkalmazta.

The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [HP EliteBook 830 G6, I7 32GB 2TB, HP ProBook 430 G5, I5 32GB 1TB ; Debian Stretch; Linux Mint 20, Ubuntu 20.04, OpenSuse Leap 15.2 ; ASUS ZenBook UX333FA I3;]

(#48) Reggie0 válasza Kopi31415 (#39) üzenetére


Reggie0
nagyúr

Nem kotelezo minden lepesnel tiltani, eleg csak a kritikus patcheknel, mint pl. amikor letiltanak egy kulcsot.

(#49) morgyi válasza dabadab (#3) üzenetére


morgyi
veterán

Ok de ez gyártónként egyedi? Fw-enként egyedi? Laptípusonként egyedi? Gépcsaládonként vagy bios-onként egyedi?
Nem mindegy

A Linux rendkívül felhasználóbarát, csak megválogatja a barátait

(#50) spect80


spect80
tag

Előre látom már a cikket, hogy emberi hibából rossz firmware megy ki és szerverek tömkelegét vágja haza mert támadásnak nézik :)

[ Szerkesztve ]

Copyright © 2000-2020 PROHARDVER Informatikai Kft.