https://opennet.me/openforum/vsluhforumID3/135946.html Исследователи безопасности из компании Google опубликовали информацию об уязвимости (CVE-2024-56161) в процессорах AMD, затрагивающей загрузчик микрокода и позволяющей обойти механизм проверки цифровой подписи при обновлений микрокода. Загрузка модифицированного микрокода позволяет скомпрометировать механизм AMD SEV (Secure Encrypted Virtualization), применяемый в системах виртуализации для защиты виртуальных машин от вмешательства со стороны гипервизора или администратора хост-системы...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62668<br> https://opennet.me/openforum/vsluhforumID3/135946.html#101 Tue, 11 Feb 2025 10:13:03 GMT &gt; RDRAND мало где является единственным источником энтропии.<br>&gt; Собственно я не знаю где оно единственный, обычно собирают в пул энтропии <br>&gt; много всякого разного, и на наличие RDRAND вообще пофиг.<br><br>См. https://www.kernelconfig.io/config_random_trust_cpu<br><br>Хуже того, по умолчанию доверие к случайным числам и от CPU, и от загрузчика включено:<br>https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git/tree/drivers/char/random.c#n821<br><br>Да, после инициализации системы будет пополнение пула энтропии и от других источников, но при их исчерпании снова будет всё на RDRAND. Так что большинство систем, где cpu и bootloader random.trust не выключены, уже скомпрометированы.<br><br>Спасибо systemd и засланному казачку Поттерингу, без которых эту хрень по-умолчанию не включали бы. А так формальной причиной стала нехватка энтропии на старте systemd.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#99 Sun, 09 Feb 2025 11:35:30 GMT &gt;&gt; Лень разбираться ибо даром не нужно <br>&gt;&gt; Но их почему-то несколько и с разной ценой.<br>&gt; - ОЕМ <br>&gt; - в коробке, но без куллера (не спрашивайте зачем тогда коробка...) <br>&gt; - в коробке и с куллером https://opennet.me/openforum/vsluhforumID3/135946.html#97 Wed, 05 Feb 2025 22:00:57 GMT 1. От подготовленно вторжения людьми готовыми на любые статьи УК с финансированием это не поможет. Это против случайных одиночек-зодротов, которые с трудом готовы принять условное или домашний арест, максимум против уличной гопоты грабящей магазины.<br>Я тебе за час накидаю общий план как туда войти-выйти с желаемым и даже вероятно не встретить снаружи сват. Но это дорого в реализации (минимум 0,5м баксов) и не быстро по времени подготовки. Собственно самая большая проблема которую я вижу - как среди всего того мусора что у них есть найти физически нужное за фиксированное время.<br><br>2. Для клиента ДЦ модель рисков может включать в себя и силовиков с ордером которым персонал ДЦ постелит ковровую дорожку до стойки с сервером, нальёт бухла и сам всё принесёт.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#96 Wed, 05 Feb 2025 21:50:08 GMT Ты как то странно себе представляешь процесс :)<br><br>Ну зашифрованы они, можешь ими утерется :)<br>Но тебе же надо чтобы там что то загрузилось, вот админ хоста виртуализации тебе может предоставить свой EFI биос, который будет содержать код который работает ну нулевом и ниже уровне защиты.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#95 Wed, 05 Feb 2025 19:35:21 GMT &gt; в датацентре по умолчанию персонал будет получать доступ к гостевым машинки<br><br>Ваш залитый нечистотами подвал с двумя списанными стойками &#8212; это не датацентр. Я проходил стажировку в AWS, конкретно обеспечение безопасности и операционное управление ДЦ (security and operations management). Удачи подойти к стойке достаточно близко чтобы потрогать случайный сервер руками, не говоря уже залезть и что-то там раскурочить. Персонал ДЦ и охрана за неделю знают кто придёт, где, что и почему он будет делать.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#94 Wed, 05 Feb 2025 19:21:23 GMT От сИкРеТнЫхЪ инопланетных технологий взлома действительно невозможно защититься. От реальной модели угроз &#8212; а она, кстати, расписана вполне подробно, заспросите у своего аккаунт менеджера документацию &#8212; вполне защищает. Ну, пока дыру не обнаружат, но это дело такое, все ошибаются, поэтому security in depth и не полагаться на то, что щеколда удержит дверь.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#93 Wed, 05 Feb 2025 14:55:57 GMT Термопаста уже не нужна. Kryo Sheet даёт эффективность сравнимую с жидким металлом и не требует замены. Ломкий только, надо осторожно класть.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#91 Wed, 05 Feb 2025 12:00:22 GMT Если я правильно понял фстек, то речь о том что вообще пофиг какой там микрокод и какие права, ибо чел из PT (Positive Technologies?) был прав и там вся защита в бекдорах, которые можно выдать за ошибки когда их раскроют/найдут.<br> https://opennet.me/openforum/vsluhforumID3/135946.html#90 Wed, 05 Feb 2025 10:06:45 GMT always has been<br>