У меня чёта mp4 плохо загружается. Нет ссылки на страницу с плейером?
"без TPM"
IBM, MS и прочим HP совершенно до лампочки на "заминусованный" TPM для официального российского импорта.
Они как поставляли технику/программы в россию, так и будут поставлять.
забавно то, что на серверном железе TPM кровавую гебню не беспокоит.
зато стойкое крипто к сиськам - только через "проверенных товагищей"
Есть атаки принципиально не закрываемые без TPM (и отчасти UEFI).
доблестные инженегры при рыцарях плаща и кинжала вроде как сделали "платки" с защищенной загрузкой
хз как хорошо они работают (и работают ли вообще), но то, что сделаны криво (буквально) - это факт
при монтаже в сервер приходилось "патчить" плоскогубцами
trusted boot это как раз российский мегабзик со времен первых РД по ИБ 90-х годов. Еще когда был DOS и кроме trusted boot другой защиты для него не было.
Edited at 2013-02-05 09:28 pm (UTC)
И сейчас нет. Проблема перешла на новый уровень - теперь она в гипервизорах.
Ну, это еще как она перешла.
Пока некоторые граждане продолжают делать wifi чипы, обладающие собственными мозгами и dma разным там кракозябрам с бутерами место на помойке.
некоторые считают, что firewire б-гопротивный всем нужен просто позарез.
Настоящий параноик должен начинать с микрокода в CPU.
и было признано полным булшитом по нескольким признакам сразу.
про микрокод на мейнфреймах было интереснее.
UEFI - сама по себе дыра. TPM уже обходится.
Я бы не стал окончательно верить в надежность TPM. Хотя бы потому, что tamper resistance там в спецификации на уровне пожеланий, а не требований.
Проблема в том, что без него нужно порядка минуты, чтобы вломиться. Даже если он сам не защищен в достаточной степени - процесс превращается в часы, что разительно уменьшает риски.
порядка минуты чтобы что? evil maid attack?
в "серьезных" организациях считается, что ноутбук, который ушел из поля зрения хотя бы на пол минуты, годится только под пресс. и с этим ничего не поделаешь.
я предлагаю исходить все-таки из самой реалистичной модели угроз -- "ноутбук сперли и ковыряют".
Edited at 2013-02-05 10:02 pm (UTC)
Именно evil maid. И никакие "серьезные" организации не считают, что все носители ноутбуков спят с ними под подушкой. Типичный клерк сильно отличается от киношного джеймсбонда.
в реальной жизни на тыщ десять инцидентов "сперли ноутбук" evil maid случится хорошо если один раз.
"Сперли" обычно неактуально для случаев, от которых может помочь TPM.
Да. Но тем не менее, это основная угроза, и привязывать защиту от нее к TPM -- это какой-то адъ.
К тому же у TPM нет доверенного канала до клавиатуры и (в отличие от "советских" систем trusted boot, кстати) полного контроля целостности загрузочного раздела, поэтому "волшебной" защиты от evil maid все равно не будет. А для "неволшебной" нужно за другими вещами следить.
Так что полезность TPM изрядно преувеличена.
Ну так до появления TPM у абсолютного большинства производителей никакой защиты толком и не было. Только IBM/Lenovo приятно выделялись на общем фоне.
Теперь все привязались к TPM, это понятно, появился чип к которому удобно привязаться. Я считаю, что это скорее прогресс и шаг вперед, нежели ужас-ужас.
в существующем виде это может быть скорее такое же ложное чувство безопасности, как fingerprint reader. вспоминаем, как он использовался на винде :-)
У кого надо - не ложное, все оттестируют сами, если требуется, а остальным не настолько надо.
Это, увы, плохой подход для реальной жизни.
Почему это? У чуваков у которых настоящая параноя есть на нее бюджет. А у кого бюджета нет - те не параноики, а прикидываются.
Ну т.е. понятно, что всеобщее счастье гораздо лучше, но у больших компаний (ну и государств) всегда свои соображения по разным случаям жизни.
Те, у кого "настоящая" паранойя -- это как раз те самые, у которых полагается не терять ноутбуки из поля зрения.
И опять же, ты понимаешь, что 95% коммерческого сектора -- это именно люди, которым хочется, а с бюджетом не очень и с дисциплинированностью тем более. Поэтому им нужно решение a) из коробки b) из той коробки, которую они уже купили c) требующее нулевого обучения для пользователей и околонулевого для админов и хелпдеска. И весь консумерский рынок ориентирован именно на это, а не на 0.5% DoD/FIPS certified, у которых такие хитрые шпионские игры, что evil maid актуальнее чем "спиздили ноут".
Да и то это все иллюзия и самообман, потому что и они теряют нешифрованные носители с дичайшей интенсивностью.
У Apple оно есть. В линуксе оно есть. А у микрософта нет почему-то.
Во-первых, TPM сейчас есть везде. Во-вторых, битлокер без TPM тоже можно заводить, делов то. Ну по крайней мере точно было можно в Win7, что в Win8 не знаю.
Т.е. я вообще не понимаю о чем речь и чего у кого нет.
Без TPM его "заводить" можно с usb-флэшки в качестве "ключа". Смех и грех.
Где это он "есть везде" из официально поставляемых в Россию ноутов, а?
![[User Picture]](http://l-userpic.livejournal.com/5585077/904690) | From:  kika
2013-02-05 06:37 pm (UTC)
| (Link)
|
> Удивительную синергию могут создавать разнородные долбоебы, впадая в случайный резонанс.
В стиле "основателя рунета" надо немедленно настрогать два экрана яростного параноидального баттхерта на тему "что не случаен этот резонанс! не случаен!".
Начал смотреть видео с девочкой-няшей, на "I'm a penetration tester" чота начал скалить зубы, а на "torture me in the undeground" (характерные жесты руками) заржал в голос и прекратил :)
penetration tester... хи-хи
double penetration tester!
хорошо рассказывает, с примерами, давая время усвоить.
зачем? не понятно.
подрочил, спасибо.
будет второй польскофеминосекурити-иконой после рутковской.
| 
