"Maga a funkció azért fontos a szervergyártóknak, mert ilyen formában egy rendkívül megbízható védelmet kapnak a platform firmware-t manipuláló malware-ek ellen, legyen szó lokális vagy távoli hozzáférési formában végrehajtott támadásról."
Hogyan véd a Malwareektől az, hogy első indítás utántól csak Dell gépekben működik a proci? Olyan Malwareről még nem hallottam, ami átrakná egy másik gépbe a procit.
...a firmware-ekre meg régen létezett tökéletes védelem a módosítás ellen, egy jumper formájában...
Gyorskeresés
Legfrissebb anyagok
- Bemutató Spyra: akkus, nagynyomású, automata vízipuska
- Bemutató Route 66 Chicagotól Los Angelesig 2. rész
- Helyszíni riport Alfa Giulia Q-val a Balaton Park Circiut-en
- Bemutató A használt VGA piac kincsei - Július I
- Bemutató Bakancslista: Route 66 Chicagotól Los Angelesig
Általános témák
LOGOUT.hu témák
- [Re:] [bb0t:] Gyilkos szénhidrátok, avagy hogyan fogytam önsanyargatás nélkül 16 kg-ot
- [Re:] [Luck Dragon:] Asszociációs játék. :)
- [Re:] [sziku69:] Szólánc.
- [Re:] [D1Rect:] Nagy "hülyétkapokazapróktól" topik
- [Re:] RTX3070 16 GB VRAM-mal?
- [Re:] [gban:] Ingyen kellene, de tegnapra
- [Re:] PLEX: multimédia az egész lakásban
- [Re:] [sziku69:] Fűzzük össze a szavakat :)
- [Re:] Viber: ingyen telefonálás a mobilodon
- [Re:] [GoodSpeed:] Új alaplap, vagy BIOS frissítés után beállítandók II. Secure Boot
Szakmai témák
PROHARDVER! témák
Mobilarena témák
IT café témák
Útvonal
Fórumok » PC, mini PC, barebone, szerver » [Re:] Bizonyos szervergyártók magukhoz láncolják az AMD EPYC CPU-katHozzászólások
Male
nagyúr
(#2) Alogonomus
Alogonomus
őstag
Ezzel a módosítással akkor nem csak hogy kényszerűen csak egyben lehet a szervereket továbbértékesíteni, de valószínűleg az alaplap hibája esetén az egyébként hibátlan processzorok és egyéb esetleg még érintett (befoglalt) bővítőeszközök is mehetnek a kukába. Mindez úgy, hogy az AMD eleve ellátási nehézségekkel küzd.
AMD nyer rajta, mert ugyanazt a teljesítményt úgyis csak egy új EPYC processzoros rendszerrel tudják biztosítani, így csak nagyobb lesz a kereslet, ami az árakat is felhajtja.
dabadab
titán
Akinek nem lett volna világos a cikkből (nekem se, ezért elolvastam az angol eredetit):
Az egész arról szól, hogy a CPU-ba bele lehet égetni (szigorúan egyszeri, megismételhetetlen, visszafordíthatlan műveletről van szó) egy gyártó nyilvános kulcsát (van ez a kétkulcsos titkosítás, hogy van egy nyilvános és egy titkos kulcs: a titkos kulcs a gyártónál van, ezzel készíti a digitális aláírást, a nyilvános kulcsot viszont bárki megkaphatja és ezzel tudják ellenőrízni, hogy tényleg a gyártó titkos kulcsával készült-e az aláírás) és ezután az Epyc csak és kizárólag olyan firmware-t hajlandó betölteni, amit annak a kulcsnak a titkos párjával írtak alá.
Így aztán ha Hekker Béla csinál egy hekkelt firmware-t, akkor azzal el se indul a processzor, mert vagy nem lesz rajta delles aláírás, vagy ha lesz is, akkor meg nem fog stimmelni a firmware tartalmával.
DRM is theft
nonsen5e
addikt
Így már minden érthető.
D4 klán: HunPH - invért privát rám
dabadab
titán
valószínűleg az alaplap hibája esetén az egyébként hibátlan processzorok és egyéb esetleg még érintett (befoglalt) bővítőeszközök is mehetnek a kukába.
Nem, semmi nem megy a kukába, nem az alaplaphoz van kötve, hanem a firmware aláírókulcsához van kötve, ami a gyakorlatban valószínűleg annyi megkötést jelent, hogy az adott CPU azután már csak Dell alaplappal működik.
DRM is theft
Ribi
nagyúr
Mennyire gyakori a FW hekkelés távolról?
Mert nem sok ilyenről hallottam eddig.
dabadab
titán
Szerintem semennyire, a social enginerringgel bevitt hekkelt firmware lényegesen reálisabb fenyegetés.
[ Szerkesztve ]
DRM is theft
Ezekiell
veterán
Jó cikk, köszi
Aki mibennünk nem bízik, az önmagában sem bízik. Aki mibennünk nem bízik, az a mi fényes békénkben sem bízik. És aki a mi boldog, fényes békénkben nem bízik, az áruló.
dokanin
aktív tag
Ezek szerint beköszöntött a hekkeléssel tönkretehető hardverek kora.
Gondolom, ha a vírus valami úton módon frissítette a firmware-t, de utána viszont nem indul el a gép, az eredeti firmware-t se lehet csak úgy feltenni, max csak procicserével, ami szervereknél gondolom nem olyan pikk-pakk megy. Bár gőzöm sincs valójában hogy megy ez.
[ Szerkesztve ]
Alogonomus
őstag
Plusz procicserével az átmeneti processzor is kötődik már az alaplaphoz.
Ribi
nagyúr
Nem kell oda olyan, sima update és tönkreteszi
Úgy tűnik Dell nagyon szeretné ha userei új vasat vennének minél sűrűbben.
Alogonomus
őstag
"Nem, semmi nem megy a kukába, nem az alaplaphoz van kötve, hanem a firmware aláírókulcsához van kötve, ami a gyakorlatban valószínűleg annyi megkötést jelent, hogy az adott CPU azután már csak Dell alaplappal működik."
Szerencsés esetben talán valóban csak annyit jelent, hogy egy pontosan ugyanolyan alaplapot kell szerezni.
Hosszú távon epyc fail, már ha lehet így fogalmazni. Már amikor ezred áron fognak ezek a procik menni lomiból és nehéz lesz eladni.
Tegyük fel hogy 5+ év múlva mennek selejtbe a gépek, akkor az alakatrészek meg ebay-en, ali-n stb végzik. Vicces lesz látni hogy DELL only cpu vagy hogy brand unlocked?
De biztos vagyok benne hogy az ügyes kínaiak majd kitalálnak erre is valamit, mint ahogy eddig is tették a lomis szerver alkatrészekből.
Vintage Story PH szervere újra fut!
Lacika112
aktív tag
Nem tudom mit csodálkoznak páran.
Egybe gépeknél az alaplap és a táp csatija se "szabványos" sok esetben.
A gyártó így oldja meg az adott tápot ne használd más alaplappal, és az adott alaplapot más táppal.
Annyi a különbség most nem egy műanyag pokayoke csatin múlik, kidöglik alóla a lap még amúgy is garis így csak lapcsere ami nem is a te költséged. Mire lejár a garija addigra meg már 256/512 es Epyc-ek lesznek a piacon és nem fog senkit érdekelni.....
ha meghúzom a kocsidat az oc-nek számít?
#52931072
törölt tag
Amellett valszeg egyben selejtezik a gépeket, érdekelne vajon mennyire gyakori egy szerver élettartama során a processzor fejlettebbre cserélése? Mire elavul, szerintem olcsóbb egyben cserélni az egész dobozt.
Így nem fogják lopkodni a procikat a hp beépített emberei.
[ Szerkesztve ]
Abu85
HÁZIGAZDA
Erre nincs feloldás. Egyszer égethető a dolog. Később nem módosítható. Ha az lenne, akkor nem lenne elég biztonságos ahhoz, hogy rengeteg pénzt fizessenek érte a cégek.
Senki sem dől be a hivatalos szóvivőnek, de mindenki hisz egy meg nem nevezett forrásnak.
dabadab
titán
Szerencsés esetben talán valóban csak annyit jelent, hogy egy pontosan ugyanolyan alaplapot kell szerezni.
Nem, az a szerencsétlen eset, ha minden modellhez külön aláírókulcsot használnak, ami egyébként elég valószínűtlen.
Tippre viszont az a helyzet, hogy van egy központi Dell kulcs és azzal írják alá az összes FW-t.
[ Szerkesztve ]
DRM is theft
dokanin
aktív tag
Az lenne már csak a vicces, ha valami úton módon kompromittálódna a Dell kulcsa.
Akkor vajon mit lépnének?
Reggie0
félisten
BC-n vagy kulon programozo csatin kereszul ujra lehet programozni a firmwaret. Proci se kell hozza.
Armagedown
őstag
Ez nem túl zöld megoldás, mert így a későbbiekben nen lehet újrahasznosítani őket akármilyen alaplapban, olyanok így mint a mostani forrasztott processzoros és memóríás laptopok, sokkal hamarabb lesz belőlük elektronikai hulladék.
“If you don't read the newspaper, you're uninformed. If you read the newspaper, you're mis-informed.”
Reggie0
félisten
Ezert hasznalnak tobbszintu hitelesitest: Csinalnak egy root certet, amivel alairjak az aktualis certeket, majd az aktualis certekkel a firmwaret. Az elso lepest csak egyszer kell megtenni, a masodik lepesben levo cert pedig cserelodhet az uj firmware-vel. Mivel a root certet el lehet rakni a szefbe akar evekig igy sokkal kisebb az eselye, hogy kikeruljon.
Ezen felul tamogatott a multiple root of trust, tehat akar tobb kulcsot is meg lehet adni, ha az adott prociban van eleg hely,. A komrpomitalodott kulcsot pedig ki lehet nullazni.
(#16) Abu85: Modositani korlatozottan lehet. 1->0 bitatmenetre van lehetoseg, csak 0-bol nem lehet 1-be visszabillenteni.
Rosszindulatu firmwarevel az unlocked procikat orokre tonkre lehet tenni, csak 0-ra kell irni az osszes fuse bitet.
[ Szerkesztve ]
Ribi
nagyúr
Ahogy Asus update tanúsítványát és ezzel az update folyamatát is meghekkelték, ezt is ha meghekkeli valaki, akkor az adott tanúsítvánnyal alárt firmware-t továbbra is elfogadja, hiszen az van beleégetve, hogy fogadja el. Hiába cserélik le az új tanúsítványt, az van beleégetve, hogy fogadja el a régit.
#24 :És ők nem tudják "lépettni" a saját tanúsítványukkal? Azzal tovább aláírnak újabb tanúsítványt?
[ Szerkesztve ]
Reggie0
félisten
Nem teljesen, mert van jopar fuse bit verzioszamlalasra es a koztes certet ellenorzo kodreszben lehet leptetni a min verziot es letiltani a regi kulcsot.
Ugyanezek vedenek a downgrade ellen is.
[ Szerkesztve ]
[CsuCsu]
őstag
Szervereket az esetek tulnyomo reszeben egyben cserelik.
noPublicFG
senior tag
Ezt nem ismertem, köszönöm! Mindig tanul valami újat az ember!
plus ça change, plus c'est la même chose
Az már rég beköszöntött, mióta az EFI változók tartalmához hozzá lehet férni írási joggal. Ha valakinek ez a szándéka, csak kinullázza őket, az alaplap meg mehet a kukába...
https://www.coreinfinity.tech
Reggie0
félisten
Mar joval elobb is bekoszontott, eleg csak valami csinos feszultseget beallitani.
Szerencsere ez nem nagyon divat, mert nem lehet belole penzt csinalni. A tamado erdeke, hogy valamilyen eroforrashoz jusson es rejtve maradjon.
[ Szerkesztve ]
MuldR
tag
Az amazon nemrég upgradelt több 10 000 xeon procit.
https://www.youtube.com/watch?v=EZMAIOBXp9E
#52931072
törölt tag
Gondolom Ali-expresszen vették, zsákos kiszerelés free shipping.
xeon forever
addikt
Hmmmm.Finom.
Szerintem mozgas erzekelot is tehetnenek a szerverekbe es ha megmozditod akkor van 3 masodperced egy hexadecimal is kodot beirni mielott az ala epitett 2,5kg c4 felrobbanna.
PS5 jobb lenne Intellel+Nvidiaval? :P
gabika1972
tag
Gondolom ez olyan cégeknek éri meg akiket nem különösebben ráz meg ha zsákszám kell a szeméttelepre majd kiönteni ezeket a procikat. A nincs ingyen ebéd elv alapján valakivel ki lesz fizettetve ez a többletköltség(ügyfelek,adófizetők stb).
Yeffy
veterán
koszi a kiegeszitest, nem olvastam az eredeti cikket, gondoltam, rendesen volt forditva, de igy mar mindjart mas a leanyzo fekvese.
Big girls ride harder. ヅ || Kondi powaa'!
[CsuCsu]
őstag
El lehet adni a szervert es venni ujat. Nem kell kidobni semmit.
dabadab
titán
Elmondanád, hogy miért kellene "zsákszám kiönteni ezeket a procikat a szeméttelepre"?
DRM is theft
thedioda
tag
Elvileg a dell modellenkét különbözöt használ. A HP használja mindenhova ugynazt. A Supermicro meg nem is használja ezt a "védelmet" egyáltalán legalabbis egyenlöre.
"A Linux rendkívül felhasználóbarát, csak megválogatja a barátait."
#06658560
törölt tag
Nekem egyetlen master aláíró kulcs eléggé biztonsági problémásnak néz ki, azt elég megszerezni és minden termékre lehet utána tarolni alapon.
thgergo
tag
5-10 után úgy is mindegy lesz, az akkori 1000+ magos processzorokhoz képest nem fog senki se ilyenekkel foglalkozni. Akkor már nem fogja megérni 24/7 üzemeltetni ezeket, megy egybe a kukába, vagy Ebay-re ha a security policy megengedi.
Maximum a jelenlegi Ebay-es Xeon procibazárt fogja megakasztani, hogy Vér Pisti desktop Tower gépbe 64magosítsa az alap 8 magos EPYC-et.
Cserélhetik majd alaplapostul a gépet, avagy elterjednek a kókányolt DELL és HP biosok gigabyte és más alaplapba is ha az nincs lelockolva
[ Szerkesztve ]
-
#06658560
törölt tag
Ha a Downgrade ellen védett, az azért lehet jó, mert egy gyártói elcseszett firmware után nem lehet korrigálni korábbira visszaváltással. Amire egy szerver esetén a gyártó mondhatja, hogy user error és leszarja.
Ez van a root certekkel is, ott is kb. megoldjak.
while (!sleep) sheep++;
[CsuCsu]
őstag
Szervereknel kicsit mas a hozzaallas, mint konzumer termekeknel. Komoly gyartok gyorsan reagalnak minden elcseszett dologra, ha egyaltalan atmegy a QA-n a hiba. Vallalati ugyfelek eleg nagyok es megfontoltak ahhoz, hogy fontos legyen a minosegbiztositas. Es ott nem is nagyon mokolgatjak a szervereket, ha mar be vannak epitve. A gyartoi support elintezi.
longwild
aktív tag
a magyar valóságot tekintve elég gyakori. Konkrétan 130db, 6 éves, 1CPU + 32GB ram +250GBx2 szerverekből épitettünk össze 1 hónapja, 18db 2CPU vagy 4CPU szervereket, 384GB RAM és nem tudom mennyi terra HDD-vel... (azt már nem én csináltam)
Ezek a gépek még pár évig teljesen vállalhatóak lesznek átlagos felhasználásra. Nyilván nem adatbányászatra meg egyéb hyper teljesitmeny igenyes feladatokra...
Mindezt Xeon alapokon, de a beszerzesi idopontban mas ugye nem is nagyon volt enterprise rendszerekben...
szoftver szakmabeli && Beverly250
#52931072
törölt tag
Ez gondolom világszinten nem olyan volumen, hogy felmerüljön mint későbbi megoldandó probléma ( mármint, hogy vajon mi lesz a bontott cpu-kkal). A dell nagyobb vásárlói felteszem tokkal vonóval cserélik a gépparkot, a használtpiacnak is egy sokadik lépcsője lesz ahol már szóló procik bukkannak fel. Ami azt illeti az otthoni gépem is csak ritkán élt át proci cserét, többnyire a lapprociram triót fejlesztem.
Valószínűleg majd a távoli jövőben okoz majd néhány anyázós szituációt a dolog, de nem olyan volumenben, hogy most bárkit is érdekeljen: vajh mi lészen a dellizált epikkel öt esztendő múlva ?
#06658560
törölt tag
Ha elég nagy a cég. Azért egy HP vagy Dell EPYC szerver vásárlásához nem kell óriás cégnek lenni, és simán leszarható méret lehet az még.
Driftmester
tag
Intelnek van hasonló biztonsági feature-e?
Már ami a firmware malware ellen védene...
Hirdetéseim: http://hardverapro.hu/tag/driftmester
Lacika112
aktív tag
off:
"a magyar valóságot tekintve "
Abszolút nem számít világviszonylatba. Ne bántásnak vedd csak a hazai viszonyokat kár ilyen értelemben összehasonlítani.
Itt még a "gizikék" sok esetbe xpn és pentium 4 cerkán nyomulnak az exel táblázaton hisz még működik így nem cserélik le (értelem szerűen példa volt)
ha meghúzom a kocsidat az oc-nek számít?
hallador
addikt
Igen 2017 óta. Az ötlet nem új, a RISC világban ez már régen van. De x86-nál sem az AMD találta ki, alkalmazta.
The further a society drifts from truth, the more it will hate those that speak it. (George Orwell) [Work Machines: HP EliteBook, HP ProBook & Linux Mint 20 ; Entertainment: Apple Macbook AIR M1]
Reggie0
félisten
Nem kotelezo minden lepesnel tiltani, eleg csak a kritikus patcheknel, mint pl. amikor letiltanak egy kulcsot.