Это тред посвящён защите вашей ЭВМ и сети от атаки.С самого начала раздела следовало запилить этот тред, тред сам себя не запилит. Но он так и не был запилен. Исправляю оплошность.Модель угроз:таргетированная атака (потому что она опаснее, разрушительнее, глубже и имеет больше шансов на успех, чем нетаргетированная)атакующий имеет ресурсы и возможности сравнимые с государством, резидентом которого вы являетесь (руткиты (включая руткиты уровня прошивок различных встроенных и не встроенных в мат. плату устройств), зеродеи, специально написанная или купленная у контор вроде hacking team малварь, инновационные засекреченные атаки, финансирование, давление на бизнес, НКО и независимых разработчиков, возможность принимать любые законы)у атакующего нет физического доступа к вашему оборудованию (иначе всё бесполезно) и вам самим (иначе доступ станет санкционированным)Система (сеть, компьютер, мобильный телефон), постоянно подключенная к интернету, на которой выполняется типовая работа: веб-серфинг, обновление установленных программ, установка новых программ. Антивируса нет (антивирусы проприетарны и подконтрольны компании, а компания - атакующему, так что малварь мо). Процессор с поддержкой DEP. Задача:как можно более уменьшить вероятность не санкционированого оператором доступа к информации, хранимой и обрабатываемой (включая данные с устройств в виде потока) в информационной системе без деградации функциональности, производительности и прочих существенных издержекСредства защищающегося:использование имеющегося в свободном доступе ПОиспользование информации, находящейся в свободном доступекоммерчески-доступное аппаратное обеспечение (дешёвое!, а не компьютер, на котором можно запустить Qubes OS так, чтобы она не тормозила)голова на плечах (обычный пользователь, а не супергений с суперфинансированием и свободным временем)крайне ограниченное количество свободного времени на настройку
Вопрос первый.Есть компьютер. Нужно гарантировать отсутствие руткитов в прошивках чипов и устройств, а если есть - вычистить. КАК? Ни одно средство сканирования не умеет сканировать прошивки.
>>7778Никак. Сам себя в анальные условия по ТЗ загнал.
>>77861 Я себя загнал в реалистичные условия. Ни один нормальный пользователь не будет выпаивать чипы из материнской платы и всовывать их в программатор так как это лишает гарантии, чревато выходом из строя и слишком трудоёмко, чтобы регулярно проводить такую проверку. К тому же это ставит под вопрос безопасность и доверенность эвм, к которой подключён программатор. Если чипы можно прошить без программатора, то их можно и считать без него. Или на крайняк прошить референсной прошивкой, но для этого опять же нужна доверенная среда.2 виртуализацию можно задетектить с помощью "красных таблеток". Виртуализацию любого уровня, включая уровень ОС. То есть и руткит тоже.Нужно решение, которое1 ищет все потенциально руткитные места2 проверяет доверенность считывания прошивок с помощью красной пилюли3 считывает все прошивки4 проверяет их целостность и проводит сигнатурный и эвристический анализ
>>78005 делает тебе минет6 вытирает тебе жопу после сранья
>>7802Не смешно.
>>78077 делает смешно
>>7777Поклоняемся гету!Если серьезно.>Qubes OSСпокойно работает у меня дома, я за то, чтобы включить в обзор. Мегасерверов за сотни денег для неё не нужно. >антивирусы проприетарны и подконтрольны компании, а компания - атакующему, так что малварь моНе все антивирусы, бро. Как минимум под винду есть вариант ав с открытым кодом.>без деградации функциональности, производительностиЯ вы сказал - с разумной деградацией, тк FDE это -5% производительности.
>>7800Я не встречал пока подобного
>>7811>Я бы сказал - с разумной деградацией, тк FDE это -5% производительности.Принято.
>>7812Значит надо запилить. Универсальный программатор для биосов/уефи/биосов видеокарт/прочих чипов - программа flashrom. Если её модифицировать чуток, то будет и красная пилюля (там есть стадия измерения и калибровки задержек, собственно если это будет перехватываться малварью, то задержки существенно возрастут). Надо потрясти ЛК на тему отреверсеных исходников/бинарников малвари от equation, думаю есть шанс, что дадут, если привлечь внимание сми.Также неплохо бы заменить биос на корбут, так как проприетарное говно может содержать в себе что угодно. Вот с этим совсем всё печально, так как каждый чипсет и каждую матплату надо делать отдельно, и работы там море из-за проприетарности всего и вся, включая даташиты.
>>7834Будь готов, что этот проект захотят развалить на старте. Ибо тут ты выступаешь против интересов ВСЕХ государств разом. Блока нато - в частности.Но идея - сверхгодная.
>>7831>>7777Тогда вот минимальная схема:1. Ноут (переносной, исключаем несанкционированный доступ на физическом уровне), желательно с открытой платформой.Варианты? Lenovo Thinkpad X60, как у Столлмана. Или https://www.crowdsupply.com/purism/librem-15/ librem-15+Debian
>>7837>Будь готов, что этот проект захотят развалить на старте. Ибо тут ты выступаешь против интересов ВСЕХ государств разом. Блока нато - в частности. Внезапно у государств у самих стоит такая проблема, так что могут даже профинансировать
>>7841Почитав Гигабайты Власти, начинаешь считать, что закрытый биос и прошивки - для них очень даже нужны. Хорошо, если я не прав.
>>7840Нашел упоминание некого китайца Yeeloong от 10 года
>>7777https://www.fsf.org/resources/hw/endorsement/gluglugЛамповый и свободный (даже bios) пк.Разве что на вид, как говно.
>>7848Правда мне не нравится это:>В устройстве не должно быть никаких аппаратных или программных бэкдоров и шпионских модулей в любом виде, которые способны предоставить кому-либо кроме владельца идентификатор устройства, его местоположение или сведения об активности пользователя, за исключением случаев, 1) когда пользователь явно попросит об этом, 2) когда этого требуют протоколы коммуникации либо 3) законодательство. В последнем случае владельца устройства следует проинформировать заметным сообщением и ссылкой на то, где получить дополнительную информацию.Понятное дело, не должно быть вообще.
Вопрос крайне актуален.Что у нас, в качестве замены биоса? Что со свободным железом?
>>7777http://www.coreboot.org/Supported_Motherboards#LaptopsСписок материнок, которые поддерживают coreboot
>>7861Я знаю о корбут. Моя не поддерживает и документации нет, а реверсить нет ни времени ни квалификации. Пробовал - какая-то белиберда выдаётся.
>>7867Моя тоже, но тут я скорее за замену железа, под задачи, сейчас думаю ноут купить "новый" X60
>>7777Бамп ультрагодному треду
>>7861Чет не могу понять что это за ебола такая.Чем UEFI плох?
>>7932Там зонд, анон.Позволяет на низком уровне по поступлению пакета извне - совершать злодеяния по отношению к твоей пеке.
>>7935>Там зонд, анон.>Позволяет на низком уровне по поступлению пакета извне - совершать злодеяния по отношению к твоей пеке.Серьезно?Почему бы тогда не форкнуть EFI без зонда? Он же опенсорс.Зачем какую-то оче странную еболу придумывать?
>>7935>>7936Я просто хочу разобраться если че.А то я на сайте почитал, но как то все смутно оче.Как там дела с поддержкой всякой йобы. Ну например xmp профиля оперативной памяти памяти?Управлением скоростью вращения вентиляторов?Питанием и частотой процессора и встроенного gpu, вот это все.
>>7936Молодец, ты открыл для себя payload tianocore.Корбут это больше чем уефи, там есть различные payloadы, позволяющие быстро грузить линукс, винду, полноценный свободный uefi и т д. Пейлоады можно обновлять без перешивки.
>>7939И вообще, что-то мы скатились в обсуждение корбута вместо обсуждения очистки прошивок от малвари.
>>7936>Он же опенсорсдело в том, что нет
>>7942давай обсудим все варианты?
>>7800>Ни один нормальный пользователь не будет выпаивать чипы из материнской платы и всовывать их в программаторВерно. Точно так же, как ни один нормальный пользователь не будет требовать «гарантировать отсутствие руткитов».
>>7955Будет, в рамках определённой модели угроз, если исследователи уровня /crypt/ разработают способ.
!
https://www.blackhat.com/docs/us-15/materials/us-15-Hudson-Thunderstrike-2-Sith-Strike.pdf
Есть готовые гайды по максимум огораживанию и безопасности в дебиане и фряхе? И желательно ещё в junod/pfsense
Анон, нужен ли EMET? Его ведь научились обходить, а в МС до сих пор не пофиксили.
>>10659не актуально
https://github.com/maqp/tfc-nacl/Какие-то извращения, зачем-то 3 компаЯкобы передающий данные не получает, посредник данные не видит, получатель данные не может передать. Используется зачем-то гальваническая развязка. Рушим по частям исходные посылки.>The NH is assumed to be compromised, but unencrypted data never touches it.Данные не касаются, но атаки подтверждения проводить можно, модулируя пропускную способность, можно напрямую собирать и передавать метаинформацию.>Malware that exploits an unknown vulnerability in RxM can infiltrate to the system, but is unable to exfiltrate keys or plaintexts, as data diode prevents all outbound traffic."диод" не мешает передаче данных по сторонним каналам: ультразвуком, электромагнитным полем, энергопотреблением, температурой.>Malware can not breach TxM as data diode prevents all inbound traffic. The only data input from RxM to TxM is the 72 char public key, manually typed by user.Малварь может быть уже внутри, называется Management Engine, и хрен вы её оттуда вычистите.
Привет, хочу выучиться на техника по информационной безопасности но смутно представляю с чего начинать. Сам не знаю нихуя, за плечами СПО, 21 лвл и потуги изучения языков программирования. Посоветуйте с чего начать путь к этой профе.
Драститя. Подскажите, где можно задать вопрос о проксировании данных в хроме? Здесь можно?
>>22930В /s/.
>>78108. Проигрывает с треда
>>7778Всякие Эльбрусы и Байкалы как раз ответ на твой вопрос.
>>23281Он же сказал, что у него уже есть компьютер.А так бы ответ был что-нибудь вроде https://raptorengineeringinc.com/TALOS/prerelease.php
>>17115Бампану вопрос