Pinebook: первый опыт

С x86 же дело обстоит совершенно иначе - процесс инициализации наглухо огорожен на всех без исключения вариантах этого поделия.

А как же тогда Libreboot? Это разве не исключение из всех, которые якобы без исключения?

На старые с 32бит uefi даже не ставится.

Можно поподробнее? В чем проявляется эта огороженность у Pentium2...? и не проявляется например у atom d510 ?

Pentium2, Atom D510 - современные? Где-то протекла криокамера?

А как же тогда Libreboot?

Это хардкорный реверс-инжиниринг. И то, далеко не всё расковыряли. Так, лишь бы хоть как-то завелось.

Это разве не исключение из всех, которые якобы без исключения?

Это не исключение ни разу. То, на чём работает Libreboot до сих пор огорожено по самое небалуйся. И маньякам из coreboot/libreboot пришлось потратить 100500 человекочасов на хардкорный реверс, чтобы хоть как-то суметь запустить считанные комбинации железа. Тогда как чтобы завести подавляющее большинство ARMов c MIPSами достаточно прочитать даташит от производителя.

Тогда появляются такие вопросы:

1) Что является признаком открытости аналога BIOS для ARM компьютера? Т.е. если для X86 - это наличие прошивки Coreboot или лучше Libreboot, то что для ARM? У ARM вроде бы нет BIOS как у X86 или я ошибаюсь? Но тогда зачем:

https://libreboot.org/docs/hardware/c201.html#ec-firmware-is-free-software

?

2) Какой ноут на ARM (и другие варианты, если есть) посоветуешь как самый свободный и неподверженный различным уязвимостям типа spectre, прошивочным и аппаратным троянам (в т.ч. внутри проца в дефолтном микрокоде) и который можно использовать для современного десктопа на Linux и/или Фряхе?

А BIOS ноутов с Pentium MMX 1997 года тоже содержит трояны?

Использование такого ноута с современным полностью открытым линуксом не может считаться безопасным?

1) Что является признаком открытости аналога BIOS для ARM компьютера?

Наличие полной документации о том, как проинициализировать процессор, контроллер RAM и периферию через которую планируется загружать ядро в RAM, которая позволяет написать полноценный загрузчик без какого-либо реверс-инжиниринга, без взлома ключей шифрования, без каких-то непонятных блобов типа микрокода и прочего.

Т.е. если для X86 - это наличие прошивки Coreboot или лучше Libreboot, то что для ARM?

Наличие Core/Libreboot вообще никак не говорит об открытости x86. x86 закрыт и огорожен. То, что удалось каким-то чудом взломать/отреверсить огороженность для некоторых моделей процессоров и чипсетов, не означает, что x86 стал открытым и неогороженным.

Для ARM в «роли» BIOS обычно используют u-boot. Есть ещё несколько открытых загрузчиков. Можно написать свой. Можно просто в инициализацию ядра вставить нужный код, если заранее разместить ядро по адресу на который передаётся управление при reset процессора, например во флешке.

А BIOS ноутов с Pentium MMX 1997 года тоже содержит трояны?

Трояны, прописывающиеся в BIOS ещё во времена 486 появились. Так что может и содержать, да.

Использование такого ноута с современным полностью открытым линуксом не может считаться безопасным?

Троян для венды в биосе не сможет работать под линуксом, так что в какой-то степени линукс обезопасит даже BIOS Pentium MMX с трояном. В те времена, управление из BIOS передавалось в ОС и про BIOS можно было забыть. Нынешние же BIOS'ы для x86 не отдают полностью управление компом ОС, и даже после загрузки ОС продолжают прерывать её выполнение для всяких тёмных делишек - от всяких невинных задач типа слежения за температурой процессора и мостов до совершенно неизвестно чего. Это даже не учитывая всяких Intel ME и прочего.

Трояны, прописывающиеся в BIOS ещё во времена 486 появились. Так что может и содержать, да.

Их устанавливали еще на заводе? BIOS 486-ого вроде бы не прошивался так просто как у Pentium, т.е. программатора на плате 486-ого вроде бы не было?

Троян для венды в биосе не сможет работать под линуксом,

Нынешние же BIOS'ы для x86 не отдают полностью управление компом ОС, и даже после загрузки ОС продолжают прерывать её выполнение для всяких тёмных делишек

Если я правильно понимаю, современные трояны с активацией из BIOS или прошивок носителей работают в невидимых рингах CPU, виртуализируя ось целиком и невидимы внутри оси для любых программ в т.ч. для ядра и для антивирусов? И такие трояны совместимы с большинством популярных осей без разницы Windows или Linux?

так что в какой-то степени линукс обезопасит даже BIOS Pentium MMX с трояном.

Получается, старые трояны времен Pentium MMX были не виртуализирующими? А тогда какими?

В те времена, управление из BIOS передавалось в ОС и про BIOS можно было забыть.

Просто сначала навешивали своих обработчиков прерываний вместо вызовов BIOS и потом при запуске оси инжектировали свои хуки в рамках API оси куда только можно? Но виртуализацией CPU не занимались?

Какой ноут на ARM (и другие варианты, если есть) посоветуешь как самый свободный и неподверженный различным уязвимостям

Никакой. Если у тебя такие вопросы возникают - то ты просто не справишься с установкой и настройкой линукса на АРМ и станешь 100500ым неудачником, пытающимся бессмысленно поставить драйвера Mali чтобы решить проблемы с проигрыванием видео.

типа spectre,

ARM'ов слишком много разных, вероятность того, что кто-то напишет нечто использующее spectre именно для твоей модели крайне низка.

прошивочным и аппаратным троянам (в т.ч. внутри проца в дефолтном микрокоде)

В ARM нет микрокода. Это чисто хардварный процессор, а не неизвестно что, эмулирующее систему команд x86 микрокодом, как интелевские и АМДшные процессоры.

и который можно использовать для современного десктопа на Linux и/или Фряхе?

Никакой. Ты не осилишь использование современного десктопа на ARM. Если бы мог осилить - не задавал бы таких вопросов здесь. Раз задаёшь - не осилишь.

Если хочешь что-то заведомо неподверженное никаким новым причудам, не иметь проблем с установкой и чувствовать себя в относительной безопасности, лучше найди старый Mac на PowerPC и поставь на него линукс или фряху. Вроде всякие свежие дебианы вполне есть для PPC, да и хаутушек в интернетах по поднятию линукса на PPC Mac вполне достаточно.

Ты не осилишь использование современного десктопа на ARM. Если бы мог осилить - не задавал бы таких вопросов здесь. Раз задаёшь - не осилишь.

Я не понимаю твоей логики относительно моего осиляторства.

Задаю вопросы, чтобы сэкономить время и деньги и попытаться сразу сделать правильный выбор, а не гуглить до умопомрачения (что я почти уже :) и не перебирать методом проб и ошибок.

Большое спасибо за совет по Макам, надо погуглить эту тему.

И мне не надо на секурном компе видеомультиков со звуком и другого мульимедиа.

Надо только VNC, KeePass и работу с криптотокенами.

Их устанавливали еще на заводе? BIOS 486-ого вроде бы не прошивался так просто как у Pentium, т.е. программатора на плате 486-ого вроде бы не было?

На мамках компьютеров никогда и не было никаких программаторов. Прошивка BIOS - просто определённые обращения к флешке, ничего более. UVEPROM (с окошечком) перестали ставить ещё на 386. Какое-то время ещё ставили масочные ПЗУ, но флешки подешевели и стали ставить их.

Если я правильно понимаю, современные трояны с активацией из BIOS или прошивок носителей работают в невидимых рингах CPU, виртуализируя ось целиком и невидимы внутри оси для любых программ в т.ч. для ядра и для антивирусов? И такие трояны совместимы с большинством популярных осей без разницы Windows или Linux?

Теоретически такое может быть, да. Кто-то даже это реализовывал. Практически - для Intel ME вообще выделили отдельный процессор.

Получается, старые трояны времен Pentium MMX были не виртуализирующими? А тогда какими?

Самыми обычными вирусами. Просто писали себя не только в исполняемые бинарники, но и в BIOS.

Просто сначала навешивали своих обработчиков прерываний вместо вызовов BIOS и потом при запуске оси инжектировали свои хуки в рамках API оси куда только можно? Но виртуализацией CPU не занимались?

А зачем, если Win95/98/XP можно было и так нагнуть? Да и с виртуализацией тогда было как-то не очень.

Задаю вопросы, чтобы сэкономить время и деньги и попытаться сразу сделать правильный выбор, а не гуглить до умопомрачения (что я почти уже :) и не перебирать методом проб и ошибок.

Не сделаешь ты правильный выбор, потому что он огромен, но для того, чтобы им воспользоваться нужно хорошо знать чего хочется.

Большое спасибо за совет по Макам, надо погуглить эту тему.

Ещё есть DEC Alpha и SUN Sparc Station. Но последние потормознее PPC будут, а Альфа перешла в разряд коллекционных раритетов и найти её можно только за очень приличные деньги.

Это можно вообще на STM32 каком-нибудь завести, вообще-то. Даже на F4/F7 вполне заводится линукс.

Ещё есть DEC Alpha и SUN Sparc Station.

Давно хотел побаловать себя настоящим SUN для развлечения, но пока увы.

А в плане безопасности мне кажется по X86 больше инфы по workaround-ам типа libreboot+первые atom-ы.

По ARM тоже море инфы как там настроить. Для десктопа наверно интересным вариантом мог бы быть:

https://ru.aliexpress.com/wholesale?SearchText=ROCK64 4G&d=y&origin=n...

Но мне нужен ноут. Задача очень узкоспециализированная пока: управление удаленными компами (SSH+VNC) с минимальным риском утечки ключей (Rutoken+Nitrokey+Keepass).

Посоветовал бы самый секьюрный ARM ноутбук из популярных и относительно недорогих.

Но последние потормознее PPC будут, а Альфа перешла в разряд коллекционных раритетов и найти её можно только за очень приличные деньги.

Впечатление, что продавцы с Авито читают наши темы и 486 щас стоит как несколько уровня Athlon/Phenom, хотя несколько лет назад за них наверно и гроша бы не дали.

Практически - для Intel ME вообще выделили отдельный процессор.

В IBM Thinkpad T60 вроде бы еще не было IntelME? Как он в плане безопасности после прошивки Libreboot?

Уязвимости типа Spectre конечно остаются, но если использовать только open source из репы Debian? SSH+VNC+OpenSC+GPG2+KeePass Ну может, еще Trinity собрать.

Откуда тут взяться атакам типа Spectre?

Посоветовал бы самый секьюрный ARM ноутбук из популярных и относительно недорогих.

Возьми любой старый ноут, вынь оттуда всё x86 поставь любую понравившуюся платку на Allwinner A10/A20 + конвертер HDMI-LVDS для матрицы - будет тебе ноутбук на АРМ без единого блоба. Только с клавиатурой пошаманить надо будет.

Pinebook тоже можно без блобов завести, вроде, но точнее надо читать форумы.

Есть ещё планшеты некоторые на Allwinner'ах, но их найти сложно.

ROCK64 4G.
...
Но мне нужен ноут.

Скоро выйдет ноут на RK3399. От тех же ребят (pine64, rockpro64), которые выпускали стодолларовый ноутбук на Allwinner A64. Цена ноутбука на RK3399 будет около $200.

Для ARM в «роли» BIOS обычно используют u-boot. Есть ещё несколько открытых загрузчиков. Можно написать свой. Можно просто в инициализацию ядра вставить нужный код, если заранее разместить ядро по адресу на который передаётся управление при reset процессора, например во флешке.

А зачем тогда в проекте Libreboot оказался Хромобук 201? Мало им других открытых аппаратных загрузчиков типа u-boot?

Какой же все таки ноут на ARM самый удобный, практичный, прочный, секьюрный, подходящий для фрихи с линупсом, наверно относительно дорогой, но доступный БУ на Авито и Ebay?

P.S. Не обратил внимания, что сабж как раз об этом стодолларовом ноутбуке на Allwinner A64.

Скоро выйдет ноут на RK3399.

Можно пруф? Интересно было бы почитать. Если в Россию вернусь, то, может, закажу (тут не хочется платить мытарям).

В IBM Thinkpad T60 вроде бы еще не было IntelME? Как он в плане безопасности после прошивки Libreboot?

Понятия не имею. У меня есть T61 и там AMT - предок Intel ME уже есть, правда, тогда ещё отключаемая.

И еще, пожалуйста, поясните, можно ли защититься на хосте от атак spectre из гостевой оси, если использовать не аппаратную виртуализацию, а медленную полную эмуляцию типа bochs или qemu.

В случае QEMU можно было бы выбрать еще и гостевой проц, который считается неуязвимым типа Cortex A53. Разве просто создать код ARM, который бы нужным образом транслировался в инструкции внешнего хоста X86 и приводил бы к спекулятивным атакам spectre на внешнем CPU?

Можно пруф? Интересно было бы почитать.

Учитесь гуглом пользоваться, мать его етить.

https://www.cnx-software.com/2019/01/31/pinebook-pro-linux-bsd-rk3399-laptop/

Лучше бы сначала в имеющемся поддержку допилили.

А то в ядре от производителя чипа одни компоненты не работают, а в mainline — другие.

Это нормально. Ваша задача была переписать драйвера и протолкнуть их в mainline ядро. Вы с этой задачей не справились, разумеется. Только разводили нытьё на ЛОРе.

Чья «ваша»?

А зачем тогда в проекте Libreboot оказался Хромобук 201? Мало им других открытых аппаратных загрузчиков типа u-boot?

Понятия не имею. Ну захотели - и сделали Libreboot для 201. U-Boot для него тоже есть.

доступный БУ на Авито и Ebay?

Кроме Хромобука наверно ничего нет, но без блоба WiFi не будет. Можно затычку на Atheros воткнуть.

Если только не пердолится в Авиту в ожидании очередного неосилятора, который добыл Pinebook, но не осилил.

Чья «ваша»?

Твоя и других обладателей Pinebook-а.

Ну а почему пользователи windows-буков не реверсят железяки и не пишут драйверы сами?

Ну а почему пользователи windows-буков не реверсят железяки и не пишут драйверы сами?

Потому что заплатили за систему (а так же вставили себе его зонд по самые гланды) Микрософту, который сделал это для них, или порешал этот вопрос с производителем за них. Ваш К.О.

Тебе не нужно ничего реверстить. Возьми Allwinner-овские драйвера, перепиши и отправь в mainline.
Не хочешь - пользуйся виндой. Ты вообще латентный вантузятник и неосилятор, это уже давно понятно.

Кроме Хромобука наверно ничего нет, но без блоба WiFi не будет. Можно затычку на Atheros воткнуть.

Если я правильно понимаю, то судя по:

https://forum.level1techs.com/t/list-of-cpus-most-likely-immune-to-spectre/12...

Из относительно свежих процов без блобов в бивисах, не считая десктопный либребутнутый d510, есть варианты только ARM и ,возможно, какая-то совсем экзотика типа незнакомого мне RISC-V?

Если только не пердолится в Авиту в ожидании очередного неосилятора, который добыл Pinebook, но не осилил.

Pinebook чем то лучше Chromebook?

Интересно, все таки что будет секурьнее при прочих равных (насколько это возможно) условиях:

Ноут на Pentium 1 MMX с 80+ метров ОЗУ и блобовым бивисом или современный ARM бук с 1+ гигов ОЗУ и безблобовым процом и безблобовым бивисом? Я так понимаю, оба варианта не подвержены известным в паблик на сегодняшний день атакам типа Spectre.

Например, для работы под OpenBSD.

Судя по:

https://www.infoworld.com/article/3099038/open-source-tools/openbsd-60-tighte...

OpenBSD больше не позволяет запускать линукс проги в режиме совместимости?

Можно ли их запускать в Jail (chroot)? типа такого:

https://devil-detail.blogspot.com/2013/08/debian-linux-freebsd-jail-zfs.html?m=1

Не разбирался детально, может быть, там суть того же compatibility (которого уже нет) только в chroot/jail?

BSD Linux compatibility - это свойство ядра?

Т.е. не получится сделать OpenBSD-> jail with FreeBSD -> Linux Compatibility ?

а потом linux chroot -> linux wine -> и вот она безопасная прога под венду, которая еще и не работает на ARM

какая жуть

Pinebook чем то лучше Chromebook?

Жрёт меньше, 64бита вместо 32 и т.п.

Если хочешь что-то заведомо неподверженное никаким новым причудам, не иметь проблем с установкой и чувствовать себя в относительной безопасности, лучше найди старый Mac на PowerPC и поставь на него линукс или фряху.

А чем, например, Power Mac G4 лучше в плане секурности либребутнутого Intel Atom D510?

Разве у Power Mac G4 нет блобов в цепочке загрузки? Сомневаюсь, что линуксовые дрова для него лучше, чем для X86.

Процы G4 vs D510 одинаково не подвержены известным уязвимостям?

Разве у Power Mac G4 нет блобов в цепочке загрузки?

Когда я его палочкой тыкал, лет 7 назад, не было.

Сомневаюсь, что линуксовые дрова для него лучше, чем для X86.

А какая разница линуксовым дровам под какую архитектуру их собрали?

Насколько я знаю, под ppc вообще нет ни одного проприетарного драйвера. Никакая nvidia своё унылое проприетарное говно просто никогда не собирала для powerpc'шного линукса.

Процы G4 vs D510 одинаково не подвержены известным уязвимостям?

Я сильно сомневаюсь, что кому-то придёт в голову пилить что-то использующее spectre для PPC, даже если оно там теоретически возможно.

Еще один список процессорных архитектур:

https://en.wikipedia.org/wiki/Comparison_of_CPU_microarchitectures

Есть колонка с признаком: in order / speculative

А как превратить в «Pinebook» следующий девайс:

https://www.citilink.ru/catalog/mobile/tablet_pc/421703/

?

Т.е. понятно, что по USB наверно можно подключить USB хаб и к нему клавиатуру, мышку и т.п.

Осталось только понять, как запустить Linux или BSD?

Т.е. прямо на железке без BLOB загрузчиков, а не в chroot андроида.

Это какая-то комедия получается, даже либребутнутый хромойбук 201 на дырявом проце, а буков на годных процах типа A53 почти нет на авите, ebay и али.

Такой способ борьбы против свободки путем непроизводства свободных буков даже когда материнки к ним уже есть?

Это что же получается, придется самостоятельно переколхозить Asus EEE в A53-ий?

Вообщем идея с самодельным ноутом похоже не такая уж и плохая учитывая, что почти во всех немногих ноутах, доступных на spectre free процах типа A53 предусмотрено использование какого-нибудь блоба. Даже для raspberry3 нужен BLOB:

https://wiki.debian.org/RaspberryPi3

https://linux-sunxi.org/A64

GPL Violations
The publically available SDKs contain kernel and u-boot trees which include and depend on several binaries. Allwinner is always violating the GPL in this way since A31. In the current A64 SDK, lots of blobs are included in kernel and U-Boot, including the critical DRAM code and the important HDMI code.

кругом подставы, свободная такая свободка, но с блобами.

и тут:

https://www.phoronix.com/scan.php?page=news_item&px=Librem-5-Secondary-Pr...

тоже

Если в строчках таблицы:

https://en.wikipedia.org/wiki/Comparison_of_single-board_computers#Operating_...

указаны зелененькие надписи «Yes; Mainline» для линупсого ядра, то значит оно работает с линупсом без блобов?

Как найти во всем этом многообразии зелененькие и одновременно без spectre?

Забавно, из сотни плат нашлась только пара, у которых одновременно дрова в ядре и защита от spectre, причем только одна из них более менее распространена:

Dragonboard 410c

В ней все дрова open source?

А цена как у пинобука.