Про эффективность локального фаерволла

конечно может

Тогда резонный вопрос, как защищать гейтвейты которые смотрят в Интернет? Ведь сами гейтвейты могут слать/принимать всё что угодно и им их фаерволл «не указ»? Да и аппаратные фаерволлы тоже могут «шпионить»/пропускать запрещенный, но нужный им трафик.

Запускать на них только свободное ПО, в идеале на свободном железе. А то никакой гарантии нет, что блоб нвидии после очередного обновления не начнёт твои пароли в NSA отсылать

Свободное ПО не панацея. В каком-то линуксовом дистре был встроен вредоносный код, и никто этого не заметил, хотя сорцы были открыты. Другое дело, если заказывать аудиты кода используемого софта.

безопасности нет нигде, это выдумка, иллюзия. можно только минимизировать риски.

intel me и та амдшная штука как раз про это, она работает с сетью и сканирует твою память независимо от ОС. это уровень -1, ты не можешь его контроллировать в ОС

если тебе прям супер пупер надо что-то защищать, то не подключай это к интернету — очевидно же.
отдельные компы или локалка куда информацию приносят на физических носителях.

Подождите. Объясните тем, кто не верит в чудеса.

Некая проприетарная аппаратная прошивка имеет доступ к сети и памяти моего ноутбука, но не имеет доступ к програмным интерфейсам ОС и ПО?

Допустим, она некоторым образом, может получить команду активации, перехватить управление сетевым устройством у ОС и начать отправлять содержимое оперативной памяти по моему WiFi соединению.

То есть, если я программным образом сделаю измененный мак адрес своей карты ключем доступа к сети роутера, то, возможно, закладка NSA станет бесполезна?

Если я на роутере ограничу доступ только ip адресом моего vpn, то, еще более вероятно, что закладка NSA станет бесполезной?

Если такая закладка была активирована, то можно ли обнулить активацию, чтобы можно было сохранить ноутбук?

(PS: кто притащил сюда гугл капчу? : Код проверки защиты от роботов не совпадает (incorrect-captcha-sol)

Это не поможет, речь идет о специальном програмном коде, который может активировать закладки во всех компьютерах, которые обрабатывают сигнал содержащий код для закладки. Таким образом все оборудование твоего сетевого окружения послужит источником распространения специального сигнала и тебя сразу вычислят по ip.

В каком-то линуксовом дистре был встроен вредоносный код, и никто этого не заметил, хотя сорцы были открыты.

Подробности давай.

ну купи еще микротик или хуавей, там нет интел ме

гейтвейт

ойт-вейт

В каком-то линуксовом дистре был встроен вредоносный код

Мы все умрем. Особенно ты.

Самый очевидный способ: не включать.

То есть, если я программным образом сделаю измененный мак адрес своей карты ключем доступа к сети роутера, то, возможно, закладка NSA станет бесполезна?

Думаю что более правильным будет сделать вайтлист на роутере для твоих программных маков.

Если я на роутере ограничу доступ только ip адресом моего vpn, то, еще более вероятно, что закладка NSA станет бесполезной?

Да. Вероятность того что софт МЕ и аналогичной хрени умеет много - не велика.

Допустим, она некоторым образом, может получить команду активации, перехватить управление сетевым устройством у ОС и начать отправлять содержимое оперативной памяти по моему WiFi соединению.

Только если в этой штуковине есть драйвер для соответствующего сетевого железа. В противном случае эту штуковина просто попробует запустить что-то из известной ей ОС или выполнить определённую команду там. Зачастую это более действенно, чем вшитие драйверов в прошивку, так как обычно на таких компьютерах стоит шиндовс, умеющий без дополнительных компонентов взаимодействовать с UEFI и втихую получать и выполнять оттуда команды. А это уже намного хуже, поскольку в соответствующих разделах UEFI обычно и драйверы лежат, и дополнительные приложения. Именно поэтому такие системы так яростно борются за невозможность изменения прошивки материнской платы.

Мы все умрем. Особенно ты.

Я пришёл для того, чтобы имели жизнь и имели с избытком. Евангелие от Иоанна 10, 10 - слова Иисуса Христа.

Истинно, истинно говорю вам: верующий в Меня имеет жизнь вечную. Евангелие от Иоанна 6, 47. Слова Иисуса Христа.

Евангелие от Иоанна 11, 25-26: Иисус сказал ей: Я есмь воскресение и жизнь; верующий в Меня, если и умрёт, оживет. И всякий, живущий и верующий в Меня, не умрет вовек.

ME будет взаимодействовать скажем с цисками по пути следования трафика, шизик. Даже если ты посылаешь сообщение на адрес, не факт что оно туда дойдёт, или дойдёт не модифицированным.

Прицепить пейлоад к пакету вообще не проблема. Поэтому никаких контактов с устройствами, подключёнными к глобальной сети (и даже нефильтруемой сети электропитания)

Расскажи об этом пользователям какого-нибудь ipmi от supermicro. 9 из 10 имеют ненастроенный ipmi на первом сетевом интерфейсе и ждущие только ip от dhcp. Весь прошлый год сосала одна нефтеструктура с мегадипломированными админами из числа тех, кто учился маршировать и кубировать снег. Они и подумать не могли, что у них на внешних портах висят админки ipmi с дефолтными паролями, пока сетевики провайдера их носом в какашку не ткнули. Дебилы анально огараживались суперфайрволами и настройками ос, а школота с известного ресурса тупо выкладывала скрины действий админов.

Расскажи об этом пользователям какого-нибудь ipmi от supermicro.

Я разве говорил что предложенное мной суперский и идеальный для всех случаев жизни способ?