Как отключить PSP у процессора на базе AMD?

А для чего всё это необходимо? Чтобы получить какую-то секретную информацию с оборудования этого производства?

Поисковая система, создавалась в противовес наглеющим крупным поисковикам, но как сейчас не знаю.

https://duckduckgo.com


Вообще с точки зрения приватности скорее всего самое правильное это использовать YaCy (https://yacy.net/) на своём локальном ПК, но он хоть и годен для поиска, но ещё немного сыроват.

А для чего всё это необходимо? Чтобы получить какую-то секретную информацию с оборудования этого производства?

Это зависит от конкретных целей конкретного атакующего.

А, то есть это уже не для защиты…

ergo тебе описал конкретный способ воровства данных, ну а причины и цели его применения для каждого случая индивидуальны.

А, то есть это уже не для защиты…

Что-то мне подсказывает что ты не понял, прежде чем защищать данные ты должен узнать и ещё больше придумать сам все возможные все способы их украсть и только потом последовательно предотвращать использование каждого способа утечек и вторжений.

Нет, это я понимаю, просто пока еще очень плохо во всём этом ориентируюсь

Как я понимаю меры по защите данных осуществляешь ты лично и твой бюджет состоит из одной твоей скромной по размерам зарплаты?

Комнату то, деньги на фольгу и ИБП двойного преобразования тебе выделить то согласны?

В принципе, да. Ну, плюс еще отложенная для чего-нибудь сумма

Тогда забей, в одиночку даже если ты устранишь несколько проблем, то часть проблем устранишь неправильно, а какую то часть не устранишь вообще.

А отвечать тебе за эти недосмотры придётся.

Комнату то, деньги на фольгу и ИБП двойного преобразования тебе выделить то согласны?

А кто их должен выделять?

Твоё начальство, да без разницы кто, но не ты из своей зарплаты.

А кого мне надо еще найти для этого?

Купить FX.

Не знаю, иди в [Job](www.linux.org.ru/forum/job/) и изучай объявления о поиске и предложении работы по администрированию чего либо, так как администрирование и сопровождение сопряжённые с ИБ области.

Совсем без ничего - Trinity и Richland для FM2. Действительно, 2013 год, как и AM3+.
В Kaveri и Godavari для FM2+ есть неизвестно как задействованное ARM Cortex-A5 TrustZone ядро. Но поверхностей атак нет, вроде.

Я посмотрел про следующие. Действительно, я забыл что Carrizo выпустили и для FM2+, у которого не понять толком, есть ли PSP. Вроде, скорей есть. Кто-то пишет, что при апгрейде на него у его Asrock в UEFI появился пункт fTPM.

С ноутбуками сложней, но примерно так же и вероятней, что для Carrizo-L реализовали fTPM, а вот в Embedded раньше реализовали fTPM - для Beema/Mullins.

Вообще опасения перед PSP скорей раздуты, если рассматривать не в контексте полностью открытой платформы. IME на порядок жирней и раскинул свои поверхности по всем уровням и даже сетевым. Intel практически монополизирует реализацию управления. А AMD оставляет это на производителей, которые для обычного десктопа не стараются, а, разве что, для enterprise и embedded делают всякие антиугоны и удаленное управление.

Ok, а насколько опасно приобретать вот это вот все в составе готового решения, например HP Elitedesk? Не будет ли там зондов от производителя? Просто такое барахло стоит недорого и возится не нужно - все упаковано в годный корпус и выглядит нормально.

Сын папича

HP Elitedesk

https://support.hp.com/us-en/document/c05949013

AMD DASH is disabled by default

Как на таких с IME не знаю, но это на обычных платах халатно к нему относятся.
Кроме белых списков проблем особых не вижу. С прошивками лучше, наверно, чем полгода поддержки у обычных плат.

TPM, похоже что, предпочитают классический - отдельным чипом. Хотя у таких в 2018 году тоже уязвимости обнаружили. Не знаю, как сейчас с экспортом/импортом таких TPM, раньше запрещали.

Кстати, смотрю по уязвимости TPM в AMD. Взяли блоб из репозитория coreboot, а для проверки за неимением железа запустили на ARM эмуляторе.
https://seclists.org/fulldisclosure/2018/Jan/12

У меня штатно отключается в настройках UEFI.

Ты путаешь с Intel ME

Не, как раз PSP глубже интегрирован. https://doc.coreboot.org/soc/amd/psp_integration.html

PSP AGESA binaries
AGESA Boot Loaders (ABLs) are a set of binary images executed by the PSP. They are responsible for initializing APU silicon components (including but not limited to APU memory interface) on S5, S4 and S3, prior to releasing the main cores from reset.

А сломанный IME даст 30 минут поработать. Он же не в процессоре, а чипе.

Kaveri уже поддерживают (правда не все) Out of Band Manageability, аналог интеловской АМТ, базирующейся на intel ME. Так что зонды есть и в них.

Вообще опасения перед PSP скорей раздуты, если рассматривать не в контексте полностью открытой платформы. IME на порядок жирней и раскинул свои поверхности по всем уровням и даже сетевым. Intel практически монополизирует реализацию управления. А AMD оставляет это на производителей, которые для обычного десктопа не стараются, а, разве что, для enterprise и embedded делают всякие антиугоны и удаленное управление.

Нацелился на Lenovo ThinkStation P620

Кроме опции отключения PSP, которая, как говорят, на самом деле отключает только сервисы, подскажите, пожалуйста, какие опции в bios (или в самой материнке) должны присутствовать, чтобы проверить безопасность на "антиугоны и удалённое управление" перед покупкой?

Терпеть на x86 и не хранить нужную инфу на них. Ждать risc 5

В этом смысле оба хуже.

Ты в курсе, что OOBM работает только в локальной сети?

а зачем?

OOBM работает только в локальной сети

И ты поверил?

Последняя абсолютно чистая железка из коробки это Xeon E5450 и сородичи на сокете 775 чипсет G41 или его аналог от nVidia nForce 790 или его обрубки. Второй крайне редок но лучше тем что держит 16 мегабайт памяти модулями по 16 чипов по 4гига на модуль. У первого ограничение 12 гигабайт если четыре слота но опять таки только модули с размером чипа 256 мегабайт.

У АМД последнее чистое железо это на сокете G34 оптероны. На али можно купить и ещё. Минус что они грелки по 130-180 ватт. И материнки без закладки только Хуанджи и Джингша. Плюс что держат любые DDR3 модули какие только есть и на четыре слота могут 64 гига работать. Минус в том что там ядро на самом деле синоним потока у HT. При чём поток производительностью как у Пентиума 4. Так что 16 ядерный оптерон с 16 ядрами и грелка уступает по производительности 4 ядерному 8 потоковому Rocket Lake.

На Хеоn 2011-v3 на некоторых платах выключен Intel ME на уровне биоса. И речь не о пользовательской заглушке. Но это на форум джингшистов надо конкретные ревизии выяснять. И А там им дофига и обьяснения у китайских продавцов на али часто лажа!

Утилита IntelME dissabler не отключает Intel ME. Она лишь на чипсете H410 и B460 включает режим RED mode. Который предназначен американской полиции. Он блокирует управление по сети. Но не известно есть ли обход у АНБ или нет. Но на более новых чипсетах включая старшие модели 400 х она лишь иммитирует отключение Intel ME. AMD PSP не отключается. Так что из свежего последнее что хоть как то можно огородить это Rocket Lake на H410 или B460. Но на многих материнках нет поддержки Rocket Lake-S. У Gigabit есть точно версии с поддержкой и у Asrock. Да у ASUS есть пункт якобы выключения и ME и PSP. Но он не выключает их через UEFI консоль они работают. Просто их не видят пользовательские утиты.

Вообще UEFI это уже закладка от АНБ. И даже отключив Intel ME надо вырезать сетевой стек и дистанционное управление UEFI. Тоесть задача не тревиальная но достижимая rom.by это делал пока КГБ его не завербовала и теперь плебеям он не делает.

Но Zen не отключаем. Hygon потому и глючит что даже китайцы не смогли полностью отключить PSP хотя пытались поэтому и двигают Longsoon от купленной ими MIPS. То что сейчас MIPS это только коллектив а патенты у китайцы и разработки. Но по большому счёту Longsoon ближе к SPARC.

Есть ещё Zhaoxin но там китайский зонд. Но не американский да.

Так что кристально чистое без зондов это E5450 G41 и 12 гигов на четырёхслотовой материнке где только BIOS и нет UEFI.

С возможным слухачом от китайцев G34 Socket Opteron. Но часто можно построить чистую систему и даже с 64 гигами но если нет UEFI.

Как то оградиться от АНБ позволяют сборки на 2011-v3 но только на китайских платах и не всех. И только если там BIOS а не UEFI.

Ну а если UEFI то только H410 или B460 оградить Intel ME и пересборкой UEFI. Но это уровнь американской полиции. То есть нем гарантированная защита.

Ноутбуки только AMD до Zen безопасны. А вот Intel с 2003 года все имеют Intel ME.

Но всё остальное

Это чушь так как разработа его курируется Стенфордом.

что за чушь. не стоит путать ядро ОС и сервисы пользователей. Конечно у Intel сервисы пользователей лучше так как с Banias ещё. А у AMD c Zen Но ядро управления для АНБ у них одно и тоже. Intel ME это ARM 11 ядро и ОС нет не Minix я писал у себя в заблоченом блоге какая а сейчас забыл. Потом это стало Quark. Кстати названного в честь Ференги. У AMD это ARM11 ядро и таже самая ОС от АНБ. То есть им АНБ просто дало старую версию IntelME но сменило шифрование. Почему взломать пока и не вышло. Там скорее всего RSA 512 так как PSP работает очень шустро. Но взломать RSA 512 пока никто не смог. а в новых интелах RSA 1024 и это не секрет. В старых было RSA 128 и его компроментацией взломали частично. Плюс ментовские компы отжатые в штатах мексиканцы проработали. Вообще автор хака Intel ME четыре мексиканца.

А есть ли чо искаропки? Волшебная точка доступа, подключаешься к ней и всё