Kryptoanarchizm
Ochrona przed backdoorami sprzętowymi - Wersja do druku

+- Kryptoanarchizm (http://kryptoanarchizm.libertarianizm.net)
+-- Dział: Kryptoanarchizm (/forumdisplay.php?fid=14)
+--- Dział: Szyfrowanie i bezpieczeństwo (/forumdisplay.php?fid=20)
+--- Wątek: Ochrona przed backdoorami sprzętowymi (/showthread.php?tid=3810)



Ochrona przed backdoorami sprzętowymi - SharedAccount - 29.02.2016 15:12

W jaki sposób się chronić? Jak wyglądają potencjalne zagrożenia? Jakie ataki zostały w przeszłości ujawnione? Co warto wiedzieć?

Jedyne co mi przychodzi do głowy to faszystowski firewall i wszystko w maszynach wirtualnych, bez żadnej akceleracji sprzętowej.


RE: Ochrona przed backdoorami sprzętowymi - kr2y510 - 02.03.2016 0:26

Trzeba wpierw rozróżnić dwie rzeczy, backdoory wprowadzone przez producenta i modyfikacje sprzętu wprowadzone przez stronę trzecią.

(29.02.2016 15:12)SharedAccount napisał(a):  Jedyne co mi przychodzi do głowy to faszystowski firewall i wszystko w maszynach wirtualnych

W pierwszym przypadku wirtualizacja może pomóc, choć paranoicy mają co do tego wątpliwości.

Ja na dzień dzisiejszy jestem zwolennikiem innej technologii, mianowicie minimalnego otwartego hardware, pracującego jako proxy. Można sobie wyobrazić taką sytuację w której komputer nie ma dostępu do sieci, ale ma dostęp do bardzo szybkiego portu szeregowego (np. widzi go jak normalny serial/UART) który jest połączony z tym otwarto-hardware'owym proxy. Cały ruch pomiędzy urządzeniami odbywa się w protokole innym niż TCP/IP (np. Fibre Channel lub jakiś protokół przemysłowy). Po tym protokole lecą połączenia HTTP, HTTPS, FTP, SMTP, IMAP i pozostałe pożądane. Natomiast dalej komputer z otwartym hardware pakuje przez proxy ten ruch do sieci, dając własny stos TCP/IP. Oczywiście przy okazji, proxy to może filtrować ruch i go buforować.

Takie coś działa i to cholernie skutecznie. Kiedyś znajomy spiął w kilku firmach sieć wewnętrzną z internetem przez protokół Apple Talk wykorzystując stare wysłużone Maki. Przez kilka lat nie było tam żadnych włamań (Maki potem poszły na złom), mimo wielu prób. O jakimkolwiek włamaniu z zewnątrz do tych sieci, do tej pory nic nie wiadomo.

To rozwiązanie radykalne i kosztowne, ale naprawdę skuteczne.

(29.02.2016 15:12)SharedAccount napisał(a):  bez żadnej akceleracji sprzętowej.

Co do akceleracji sprzętowej, to bardzo niebezpieczne są jedynie generatory liczb losowych. Inne rzeczy nie mają wpływu na wynik przeprowadzanych operacji. Owszem mogą powodować wycieki przez fale elekromagnetyczne, lub inną technologię, co zostało wbudowane przez producenta lub jutro zostanie odkryte przez hakerów, ale tego nie da się wyeliminować nawet bez korzystania z akceleratorów, bo to zazwyczaj dotyczy całego chipa.

(29.02.2016 15:12)SharedAccount napisał(a):  W jaki sposób się chronić? Jak wyglądają potencjalne zagrożenia? Jakie ataki zostały w przeszłości ujawnione? Co warto wiedzieć?

Polecam zdrowy rozsądek, grzebanie przy sprzęcie oraz zapoznawanie się na bieżąco z możliwościami i technikami w tej materii, czyli w miarę regularnie czytać ZTS/Niebezpiecznik i podobne portale.


RE: Ochrona przed backdoorami sprzętowymi - SharedAccount 2 - 13.09.2017 14:16

Jeśli szukasz bezpiecznego laptopa, który udźwignie sensowny system operacyjny (Qubes OS) i podoła współczesnym zadaniom, to polecam ten wątek:

https://www.reddit.com/r/Qubes/comments/6wt4dj/which_laptop_with_nonbackdoored_pre2013_amd/

Ogólnie polecają Lenovo G505S, z procesorem z rodziny Bulldozer od AMD, który nie ma modułu Platform Security Processor (PSP, odpowiednika intelowskiego IME.

Więcej informacji o AMD'owskich i intelowskich procesorach tutaj:

https://libreboot.org/faq.html#hardware-compatibility


RE: Ochrona przed backdoorami sprzętowymi - SharedAccount - 13.09.2017 23:03

Od siebie dodam:
https://h-node.org/
https://puri.sm/
https://www.qubes-os.org/hcl/