поиск свободного ноутбука

https://www.securityfocus.com/bid/104214

По сравнению с G505S ноутбуки от Purism значительно более несвободны; помимо Intel ME (прошивка которого пусть и урезается, но сам ME от этого никуда не исчезает) - там есть закрытый бинарник Intel FSP, и может быть ещё чего. Purism Librem конечно же лучше чем System76 - и благодаря всяким killswitch'ам wifi/микрофона/камеры, и потому что coreboot внутри Librem даёт тебе возможность и самостоятельно пересобирать биос для получения даже ежедневных обновлений, и встраивать в него приятные вещи вроде memtest/tetris/KolibriOS. Поэтому если G505S - не вариант, например из-за более низкой производительности, и не боишься ME/FSP, то Librem не так уж и плох

уязвимость в procps-ng - программная, а не аппаратная. с таким же успехом время от времени обнаруживают уязвимости и в другом софте других дистрибутивов одобренных FSF. зато нет закрытых бинарников с не-пойми-чем, и когда их нет - лучше чем когда они есть

вычислительный процесс на сисвызовах

Не пускать дворников и шизиков в программирование. Чем больше тайм слайсы, тем больше производительность, это и до уязвимостей было всем известно.

какую ОС на ноутбуке используете?

Из свободных (одобренных FSF): раньше стоял Trisquel (форк убунты), сейчас перекатываюсь на Parabola (форк Arch Linux)

либрбут и коребут бывают с закрытым блобом для псп или аналогичная ситуация с интел?

я пока не видел ни одной амд-шной платы с зондом PSP которая бы поддерживалась коребутом, но закрытый блоб обязательно понадобится, а значит - путь в либребут такому железу закрыт; оно если и будет где-нибудь - то только в коребуте и только с блобом

xhci - необязателен, только если тебе нужен USB 3.0

Бери тогда сразу абакус, чего мелочиться.

точно кто-то попадется с закладкой как у меня и ип много....

где возможно приобрести ноутбук Столмана?

Если без anti-meltdown патча пакет syslog-ng компилился 4 минуты, а с патчем стал 21 минуту, то для пользователя-линуксоида в данном конкретном случае производительность снизилась на 81%

Тащи пруфс с тестированием на свежем ядре и на всех релевантных поколениях процессоров.

У меня есть внешний жёсткий диск который типа «USB 3.0»: так вот, когда на другом компе я его подключаю к порту USB 3.0, то копирует всего на 10-15% быстрее чем через порт 2.0. Например, какой-то файл вместо 30 минут копируется 33-35. Ради доп. свободы можно немного потерпеть! Да и многие другие «USB 3.0» устройства не дают впечатляющего выигрыша, некоторые вообще просто наклейку приклеили что «USB 3.0» (особенно всякие флешки), а там даже максимальная скорость по USB 2.0 не всегда выходит. Поэтому и без USB 3.0 можно спокойно жить

Так это просто и твой диск тоже днище. Знаю я амдунов.

Стронгли релевант: http://youtu.be/KOjCJXHJhPg

А вот и нет - самый обычный HDD во внешнем корпусе. Ты же не будешь предлагать SSD заместо него, 1 ТБ SSD стоит очень дорого

помимо Intel ME (прошивка которого пусть и урезается, но сам ME от этого никуда не исчезает)

Насколько я понял, там Intel ME модуль и AMT отключается. И вместе с этим, они используют TPM чип для подписи BIOS'a и ME, таким образом, что если они изменятся, при загрузке пользователь узнает что система скомпрометирована.

Есть ли у этого недостатки?

https://puri.sm/posts/measuring-the-intel-me-to-create-a-more-secure-computer/

Intel FSP

Libreboot не убирает FSP? Прочитал faq libreboot'a. Там судя по тому что FSP рулит SMM, а SMM руткиты уже есть в этих ваших даркнетах — ситуация плачевная вообще.

Кстати:

https://puri.sm/posts/intel-fsp-reverse-engineering-finding-the-real-entry-po...

2018-05-10 UPDATE: Intel politely asked Purism to remove this document which Intel believes may conflict with a licensing term. Since this post was informational only and has no impact on the future goals of Purism, we have complied. If you would like the repository link of the Intel FSP provided from Intel, please visit their publicly available code on the subject.

2018-04-23 UPDATE: after receiving a courtesy request from Intel’s Director of Software Infrastructure, we have decided to remove this post’s technical contents while we investigate our options. You are still welcome to learn about reverse engineering in general with my introductory post on the matter, Introduction to Reverse Engineering: A Primer Guide.

Intel такие http://pidora.ca/

Стронгли релевант:

24 минуты смотреть рассуждения неосилившего свободу. лол

2,5″ 5200rpm днище, ещё небось из 2007года.

Многабукав? Потерпите, швабодунам не привыкать.

Стронгли релевант: http://youtu.be/KOjCJXHJhPg

Камеру пониже еще надо было. Моооар стронгли.

и как я тебе притащу, если у меня нет ни одного Intel помимо 4-го пенька, а в AMD мельдония нету? :) такое сильное замедление 4 -> 21 минута обнаружили на свежем i5-7440HQ с Fedora 27, и этого достаточно

Пошли оправдания. Кстати отличительная черта амдуна - рассуждать о том, чего он не имеет и соответственно не имеет о нём реального представления.

на одноплатниках нашли закладки? там блобы закрытые есть...

есть свободные одноплатники, на свободных чертежах и т.п.

Погугли, если не найдёшь, я позже скину ссылку. Уже с мобилки.

Во внешние диски всегда ставят отбраковку с завода, так что не слишком релевантно. Если ты только не заплатишь за высокое качество и/или спеки отдельно.

Вообще кому реально нужно делают процессоры с нуля, пусть хотя бы на fpga.

Эмулируют инструкции какого-то семейства, или свои?)

я сам туда во внешний корпус свой терабайтник поставил, 2016 года выпуска

ты сам попросил невозможного. если тебе так интересно, замедлится ли на твоём интеле из-за мельдония тоже на 81% или всего лишь на 79%, ну так скомпиль syslog_ng у себя и довольствуйся полученными результатами

Да сейчас вообще ни одного одноплатника, способного работать без закрытых блобов (либо в загрузчике либо в ОС) - не существует. Поэтому и пытаются сделать EOMA68

Насколько я понял, там Intel ME модуль и AMT отключаются

Их прошивка уменьшается до минимальных размеров + выставляется специальный «ME-disabling bit», но с моей точки зрения нет 100% гарантий что оно действительно полностью отключилось (см. ниже)

И вместе с этим, они используют TPM чип для подписи BIOS'a и ME, таким образом, что если они изменятся, при загрузке пользователь узнает что система скомпрометирована

А если там есть встроенный механизм временного восстановления прошивки, так что при включении (может быть не всегда, а чтобы затруднить обнаружение проблемы - раз в месяц по выходным в нерабочее время, когда исследователи безопасности отдыхают) прошивки ME/AMT вместо загрузки из локальной памяти SPI Flash будет подгружаться не в урезанном а в полном варианте из какого-нибудь другого места - например, из секретного ROM внутри процессора? При этом содержимое SPI Flash чипов, в которых хранятся образы BIOS и ME, останется неизменным и TPM проверка при включении будет успешной. С появлением всяких инициатив вроде me_cleaner компания Intel обязательно будет искать пути совершенствования своего бэкдора, и даже если они пока не воплощены в железе сейчас, думаю они уже на бумаге и к этому нужно быть готовым

Libreboot не убирает FSP?

в Libreboot никого с закрытыми бинарниками не пускают, соответственно те железки которые не могут грузиться без закрытого FSP (в число которых входят Purism Librem) - пока не разработана опенсорсная альтернатива, могут поддерживаться максимум в коребуте. Собирают коребут вместе со встроенным бинарником FSP, и он используется в процессе загрузки

Кстати

Да, Intel мешает разработке опенсорсной замены FSP. Действительно, они - http://pidora.ca/

Неплохо неплохо интересный пост. А IDA лицензионная? В этих ваших интернетах только очень древняя IDA есть...

На FPGA не катит, потому что для синтеза прошивки для любых объёмных FPGA нужен закрытый несвободный софт, который в теории может скрытно добавить какую-нибудь бяку к твоему RISC-V . есть проект http://www.clifford.at/icestorm/ но там то ли 8 то ли 16 тысяч вентилей в поддерживаемой FPGA максимального объёма - соответственно, большой серьёзный процессор при помощи опенсорса в FPGA пока не получишь

Дешёвый китайский контроллер не тянет? Других предположений нет. USB3 дико быстрый так-то.

видел довольно свежую IDA на каких-то форумах несколько месяцев назад, там был большой скачок в версиях по сравнению с тем что было выложено до этого

Не знаю, может быть и так - но как тут быть, если большинство USB-шного железа собрано на этих дешёвых контроллерах? И получается: даже если потратиться на дорогие адаптеры с топовыми контроллерами, вдруг принесли к тебе вот такой типичный терабайтник или, того хуже, флешку - и всё, преимуществ USB 3.0 уже не ощущается...

Скорее всего имелся ввиду RISC-V, но его нельзя синтезировать опенсорсными тулами для помещения в объёмную FPGA т.к. проект IceStorm (см.выше) таких не поддерживает; а если использовать закрытые тулы - то это доп.риск безопасности. Лучше уж тогда собирать свой процессор из проволочек и других базовых компонентов, или приобрести у того кто уже смастерил подобное чудо - https://www.bigmessowires.com/bmow1/ - полный опенсорс, можно использовать как печатную машинку :)

незнаю как спросить... хочу на свободный на свободных чертежах глянуть.

Как проблему закладок и доп. функционала в серверных решают учитывая что есть спе. и меркд. уязвимости.

Вопрос связан что тцпдамп смотреть бесполезно. Они так уверены что сетевое оборудование без доп. функционала? Не учитывая дырок там.

А если там есть встроенный механизм временного восстановления прошивки, так что при включении (может быть не всегда, а чтобы затруднить обнаружение проблемы - раз в месяц по выходным в нерабочее время, когда исследователи безопасности отдыхают) прошивки ME/AMT вместо загрузки из локальной памяти SPI Flash будет подгружаться не в урезанном а в полном варианте из какого-нибудь другого места - например, из секретного ROM внутри процессора?

Кем? Исполнение процессора и tpm-чип контролируется open-source фирмварей «Heads» (http://osresearch.net) с записью в readonly область spi-flash. Объясни пожалуйста, является ли это решением?

У кого, хакеров из puri.sm?) Дмаю да, а так хз.

https://www.bigmessowires.com/bmow1/

Неее, ну это кроме как для хакинга и дрочинга я хз зачем надо))

Даже 486/586 для печатной машинки, без интернета получше будет. А и с стабилизатором напряжения, и фольгой на стенах))

есть свободные одноплатники, на свободных чертежах и т.п.

если бы они реально существовали, то вряд ли стали бы мучиться и делать EOMA68

Глянь https://en.m.wikipedia.org/wiki/List_of_open-source_hardware_projects

Как человек имеющий весьма ясное представление о всём том, о чём он говорит, я могу утверждать что чувак из видео не очень. Читай: не смотрите всяких пидоров.

непонял

где там чертежи? и исходники?

Там нету, там ссылки на проекты.

Является ли требованием попадания в этот список «open source hardware projects», помимо наличия открытых схем и тому подобного, возможности запуска этого железа без единого закрытого блоба? (где могут скрываться бэкдоры) Сомневаюсь - иначе бы там не было PiPhone и ZeroPhone т.к. любая pi-шка без блобов стартануть не может. Вот EOMA68 будет свободной не только в аппаратном но и в программном плане, поэтому она будет сертифицирована FSF RYF; а какой-нибудь PiPhone из списка по той ссылке - не будет

Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят

контролируется open-source фирмварей «Heads» (http://osresearch.net)

Подгрузка бинарников ME/AMT происходит на самом раннем этапе загрузки coreboot, задолго до передачи управления «Heads» или любому другому дополнению для coreboot. В результате неважно, используешь ли ты Heads/GRUB/SeaBIOS или что-то другое в качестве дополнения к coreboot, если бэкдор уже запустился по вышеописанной схеме

Во-первых есть, но они далеко не первой свежести, проще говоря - старые. Во-вторых, при чём тут EOMA68?
Boot ROM, он же сейчас везде есть. И чем это не блоб?

Во-первых есть, но они далеко не первой свежести, проще говоря - старые

назови пожалуйста конкретные модели. интересно, как же тогда FSF прошла мимо них? вот что они пишут про одноплатники:
https://www.fsf.org/resources/hw/single-board-computers
в категорию «свободные» пока не смогли поместить ни одного

причём тут EOMA68?

uuuuu нужны были «свободные одноплатники», а с моей точки зрения (которая может измениться при получении новой информации) пока что только EOMA68 может стать таким

Boot ROM, он же сейчас везде есть. И чем это не блоб?

в EOMA68 при его успешном создании - Boot ROM будет открытый. а в каком-нибудь PiPhone, Boot ROM - закрытый блоб, + могут требоваться доп.блобы для успешной загрузки ОС