AMD Secure Technology (или ранее называвшуюся Platform Security Proccessor — PSP).
AMD Secure Technology (или ранее называвшуюся Platform Security Proccessor — PSP).
К омпания AMD, также встраивает в свои процессоры ( аналогичную MЕ ) систему AMD Secure Technology (раньше называвшуюся PSP ), начиная с 2013 года.
Вскоре после исправления уязвимости SA-00086, производители материнских плат для процессоров AMD стали поставлять обновления BIOS, позволяющие отключить AMD Secure Technology, эту схожую с Intel ME подсистему.
Компания AMD постоянно старается улучшить работу своих процессоров Ryzen с помощью выпуска регулярных выпусков обновления протокола AGESA. Новая версия AGESA приносит не только поддержку материнским платам с Socket AM4 будущих процессоров AMD, но также добавляет возможность отключить встроенный Secure Processor, также известный, как «процессор для обеспечения безопасности платформы» или просто PSP.
AMD Secure Processor является аналогом Intel Management Engine. Этот встроенный процессор безопасности AMD был тоже подвергнут критике, как один из возможных векторов атаки, которые невозможно обнаружить на уровне операционной системы. Процессор PSP использует технологию ARM TrustZone для хранения конфиденциальных данных, и позволяет получить удалённый доступ к системе авторизированным администраторам.
В свете недавно выявленных уязвимостей в Intel Management Engine, компания AMD, похоже, решила добавить в новую версию AGESA возможность отключения Secure Processor пользователем через BIOS. Некоторые пользователи Reddit обнаружили, что при обновлении BIOS в нём появилась настройка, позволяющая включить или отключить PSP.
С ростом количества мобильных устройств и облачных служб компьютерная среда претерпевает постоянные изменения. Растет и число угроз конфиденциальности и безопасности — они приобретают все более разнообразный и изощренный характер. Только антивирусной программы уже недостаточно для надежной защиты. Теперь необходимо надежное аппаратное решение. Встроенная система безопасности на базе технологии AMD Secure защищает непосредственно процессор. Работая совместно с обширной сетью поставщиков платформ, AMD старается обеспечить максимальной защитой всю свою продукцию.
Появилась система безопасности, встроенная в аппаратное обеспечение — AMD предлагает технологию AMD Secure Processor1 в некоторых гибридных процессорах AMD. Технология ARM® TrustZone® с системным подходом к безопасности исполняет роль защитного «слоя» на оборудовании, создавая безопасную среду за счет разделения центрального процессора на два виртуальных «мира». Важные задачи выполняются в «безопасном мире» AMD Secure Processor, а другие задачи — в обычном режиме. Это помогает обеспечить надежное хранение и обработку важных данных и проверенных приложений. Кроме того, это помогает защитить целостность и конфиденциальность таких ключевых ресурсов, как пользовательский интерфейс и материалы поставщиков услуг. Но AMD тоже отклонила запросы на открытый исходный код, который работает на PSP.
PSP похож на Intel Management Engine для процессоров Intel. Еще в сентябре 2017 года исследователь безопасности Google Сфир Коэн сообщил об уязвимости AMD в подсистеме PSP, которая может позволить злоумышленнику получить доступ к паролям, сертификатам и другой конфиденциальной информации.
В марте 2018 года израильская компания по информационной безопасности, связанная с PSP, объявила о нескольких предполагаемых серьезных недостатках в процессорах AMD Zen с архитектурой AMD ( EPYC , Ryzen , Ryzen Pro и Ryzen Mobile), которые могли позволить вредоносным программам работать и получать доступ к конфиденциальным данным.
AMD объявила об обновлениях прошивки для устранения этих недостатков, их обоснованность с технической точки зрения была подтверждена независимыми экспертами по безопасности, которые рассмотрели раскрытия.
AMD так описывает технологию защиты: «Secure Processor (ранее — процессор для обеспечения безопасности платформы, PSP) является выделенным процессором с технологией ARM TrustZone, а также программной защищённой средой Trusted Execution Environment (TEE), призванной обеспечить работу доверенных приложений сторонних разработчиков. AMD Secure Processor — технология на базе аппаратных средств, которая обеспечивает безопасную загрузку с уровня BIOS до среды TEE. Доверенные приложения сторонних разработчиков могут задействовать стандартные программные интерфейсы, чтобы воспользоваться защищённой средой TEE (функции защиты TEE работают не во всех приложениях).
Новые уязвимости можно быдо разделить на четыре основные категории. Все они по сути позволяют злоумышленникам нацелиться на самый защищённый сегмент процессора, который имеет решающее значение для хранения конфиденциальной информации на устройстве. Определить вредоносный код, хранящийся в Secure Processor, почти невозможно. Зловред может располагаться там годами и не быть обнаруженным — информировали независимые эксперты по безопасности.
Некоторые пользователи компьютеров и ноутбуков, построенных на платформе AMD, при открытии диспетчера устройств могут обнаружить там некое устройство с названием AMD PSP 3.0 Device, требующее установки драйвера. Код у него PCI\VEN_1022&DEV_1456.
Далеко не каждый знает что это за устройство и где взять для него драйвер.
Аббревиатура PSP в данном случае расшифровывается как Platform Security Processor. Это отдельный процессор для защиты программного обеспечения компании AMD. Используется в работе антивирусов, а также защищает некоторые компоненты операционной системы от вредоносного воздействия. Является аналогом Intel Management Engine и также требует установки драйвера. Он входит в состав комплекта драйверов для чипсета.
Сам драйвер нужно скачивать с официального сайта поддержки производителя материнской платы или ноутбука, определив конкретную модель. Обычно он располагается в разделе «Чипсет» (Chipset).
Как отключить PSP у процессора на базе AMD?
Тут и раньше обсуждалась тема intel ME и AMD PSP, но мне так и не удалось найти что-то вроде «руководства по его отключению» именно у AMD. Надеюсь у кого-нибудь найдутся полезные ссылки на материалы по изучению этой темы, а то лично у меня получилось найти не слишком много информации об этом в интернете (я и не так уж давно в этой сфере, можно сказать чайник)
Вроде никак, так запихан, что любые попытки отключить приводят к остановке работы процессора
Но, вроде, частично можно удалить, или нет?
К сожалению, никак.
Процессоры AMD устроены таким образом, что если PSP не инициализируется, x86-ядра работать не будут. Т.е. отключить его невозможно в принципе.
Пока никто не расковырял, как оно там работает, т.к. эта штука специально сконструирована защищенной от вмешательства. Остается ждать большого слива, как было с intel me.
Но ведь он может получать доступ ко всем областям моей оперативной памяти и, в принципе, к тому, что как-либо связано с компьютером. Получается, о какой безопасности может идти речь, даже если я буду использовать Linux? Или я что-то не так понимаю?
Ты все правильно понимаешь, по-хорошему эту технику нельзя использовать там, где нужна секретность.
То есть лучше использовать intel?
Только ограниченное подмножество процессоров на определенных моделях материнских плат, где можно порезать Management Engine. Но да, в этом плане intel чуть лучше. Но в идеале брать. я даже не знаю, что сейчас без зондов. Какие-нибудь устаревшие не попсовые SoC на arm, всякие там risc-v и т.п. не широко распространенные системы.
То есть работать с какого-то относительно нового ноутбука не вариант, а намного лучше будет старый ПК?
Понятия не имею, безопаснее ли старый ноутбук. В старых ноутбуках тоже могут быть старые закладки, глючные прошивки и т.п. вещи. Все зависит от того, что и от кого ты собираешься прятать.
Хоспаде, ты там что гостайну прячешь, Неуловимый Джо?
тайные каналы говорят что опцию отключения PSP предоставляют только тем клиентам которым она действительно нужна. для розничных покупателей ничего такого нет.
Прятать в смысле формат файлов или содержание? Или что-то другое? И насколько старые устройства могут подойти? До 2013 года, или еще раньше?
У ASUS в UEFI может быть (по-моему, я видел у себя).
Ага, почти. А то по телевизору сказали, что на гугл диске уже не надо их хранить, мало ли что… А тебе-то кто рассказал, что я гостайнами владею?
воткнули no-op имитацию, а вы и поверили…
Эта настройка отключает не psp, а сервисы, которые psp предоставляет пользователю.
Но ведь он может получать доступ ко всем областям моей оперативной памяти и, в принципе, к тому, что как-либо связано с компьютером.
Если тебя мучает параноя то пропускай сетевой трафик через pppd работающий через RS232/RS485 порт(или какой там тебе под руку подвернётся на промежуточный компьютер на котором настрой белые списки, а потом с этого компьютера снова через pppd+RS порт и только уже с него в интернет.
При этом порты лучше всего использовать не с материнок, а отдельных плат расширения, чтобы вероятность того, что БИОС сможет с ними работать была бы минимальной.
То есть работать с какого-то относительно нового ноутбука не вариант, а намного лучше будет старый ПК?
Очень старый ПК в котором БИОС ещё на ROM, максимум UV EPROM который ты перпишешешь под свой БИОС.
Но тут надо учитывать, что помимо Inte ME и AMD PSP есть ещё куча всяких аппаратных уязвимостей, которые никакой правкой фирмварей и БИОС не устранить и они эти уязвимости скорее всего для всех этих архитектур хорошо известны.
по AMD последнее устройство — апрель-май 2013, по ссылке много инфы по теме. На данный момент это самое мощное устройство из доступных не требующее вырезать какие то прошивки из посторонних чипов, достаточно только заменить BIOS на coreboot.
В lenovo G505S удалось включить дискретную видюху + turbocore на coreboot, провели тесты, оно действительно работает. Если будет интересно, вот тема где идет обсуждение.
Еще из альтернатив например или вот но там есть свои нюансы, либо слабый CPU, либо физическое наличие зонда, пусть и с поврежденной прошивкой.
ты так говоришь, будто первый не слабый cpu
пропускай сетевой трафик через pppd работающий через
А не изобрели еще сетевух со встроенным отдельным дополнительным маленьким процом для фаервола?
А толку, на том проце будет свой зонд.
стоит ли кормить этих мошенников-проприетарщиков, когда есть тот же открытый risc-v?
в Интел засунуть АМД карту, в АМД засунуть Интел карту. Ну либо Хуавей или Эльбрус в любую из предыдущих.
А отсутствие зондов в «открытом» risc-v ты лично проконтролируешь?
серьёзные дяди, которым важна безопаснаость, должнны изготавливать проц полностью сами, не так ли?
Этот выключатель в AGESA, которое общее для всех, а вот в UEFI производитель должен озаботится о интерфейсе к нему.
Параноики, в am3+ и старей вообще ничего такого нет. Начиная с Kaveri(fm2+) и Beema/Mullins, в них совали Cortex-A5 с ARM TrustZone, а доделали его до PSP c Carrizo/Bristol, Stoney. Так что до zen было уязвимо из-за PSP только одно поколение недесктопных устройств.
Открытый risc-v точно так же может быть с аналогом PSP.
Открытый risc-v точно так же может быть с аналогом PSP.
В теории для свободных процессоров можно сделать аналог верифицированной сборки для дистрибутивов и например оценивать вид верхнего слоя в микроскопе под большм увеличением, микроизмерителями проверять соответствие электрических полей кристалла тому что следует ожидать от конкретной сборки.
Всё это не исключит, но должно несколько затруднить внедрение в процессор совсем уж откровенных зондов.
не может, ведь ты, как серьёзный дядя, его изготовишь сам
Я? Нет. Ещё я песок копать буду…
олимпиард бабла на это ты конечно же выделишь из сэкономленного с завтраков?
Ну ты же понимаешь, что в секурном проекте без этого никак.
Ну а на стороне потребителя хватит и датчика электрополя и обычного светового мироскопа с увеличением в несколько тысяч крат, что должно быть по карману тем у кого есть достойные похищения секреты.
промежуточный компьютер на котором настрой белые списки
Важно, какой компьютер? То есть это может быть как огромный старый ПК года 2006, так и какой-нибудь более современный мини ПК, работая с которым можно будет хотя бы из дома выйти, так?
Правильно ли я понимаю, что для настройки PPPD на обоих устройствах должен стоять linux?
И всё это при условии, что у меня на ноутбуке есть PSP, верно?
значит ты игро-ребёнок, и безопасность тебя не заботит. кроме того опускаться до песка не обязательно, достаточно контролировать уже сам литографический процесс
На винде есть аналог pppd, просто настраиваешь приём соединений с модема на COM порте.
И всё это при условии, что у меня на ноутбуке есть PSP, верно?
Помимо PSP есть аппаратные ошибки в самом железе ПК и нулувого дня в софте, как следствие нельзя чему либо верить вообще.
Для вдохновления скажу что Китайцы обрабатывают Rx и Tx линии последовательного порта раздельно на двух отдельных изолированных ПК.
Так как ничему верить нельзя то первостепеное значение имеет не ПК, а изоляция его и мониторящих Rx/Tx линии устройств чтобы бекдором в них нельзя было управлять и получать с него данные.
А значит обклеивай комнату(камеру) несколькими слоями тонкой фольги и диэлектрика(бумага) и смотри упомянутый выше опыт Китайцев.
И ещё, всякая уважающая себя спецслужба для предотвращения утечки информации через электросеть гальванически отвязывает свою внутренею электросеть с помощью мотора-генератора.
А это значит то, что ты должен питать свой ПК как минимум через ИБП двойного преобразования.
Через электросеть? Серьёзно? Как это вообще возможно?
подмешиваешь частоту к фазе снаружи. где-то внутри снимаешь с фазы. или на «землю», если нужно наружу что-то передать. возможно ошибаюсь в деталях, но общий принцип прмерно такой.
ЗЫ одно время так доступ к инету предоставляли в жилые комплексы. не видел вживую, но как технология попадалась на глазах. есть еще другая вещь PoE (Power Over Ethernet) — те же яйца, вид сбоку.
как уже выше сказали, двойное преобразование питания (из переменного в постоянное и обратно) подавляет такие примеси в фазе.
Параноики, в am3+ и старей вообще ничего такого нет. Начиная с Kaveri(fm2+) и Beema/Mullins, в них совали Cortex-A5 с ARM TrustZone, а доделали его до PSP c Carrizo/Bristol, Stoney. Так что до zen было уязвимо из-за PSP только одно поколение недесктопных устройств.
Ok, а линейку самых последних APU без PSP можешь назвать ?
А можно пожалуйста какие-нибудь ссылки или более «официальные» названия по этой теме? А то я почти ничего из написанного не понимаю
в реальной жизни это работает примерно так… есть закрытое производство. нужно оттуда снимать внутренний трафик. находится поставщик оборудования на это производство. идешь к вендору, договариваешься с ним за денежку немного апгрейднуть их сетевое оборудование (на питании добавляется фильтр подмешанной частоты). потом идешь к местному энергоузлу откуда запитано это производство. подмешиваешь по всем фазам свой управляющий сигнал и ждешь, когда апгрейднутая железка воткнется в сеть. а дальше уже дело техники сливать все что проходит через эту сетевую железяку.
Утечка данных и ловля её называется TEMPEST. Существует программка Tempest for Eliza, которой можно генерить СВ-сигнал с помощю ЭЛТ-монитора.
Интернет через электросеть — PLC.
Картинку из монитора можно было «принять» на узконаправлённую антенну, из ЭЛТ-мониторов. Смог ли кто-нибудь повторить подобное для LCD — не знаю.
На счет «одно время предоставляли» не сильно уверен, PLC никогда не была популярной.
Перегенерация электричества появилась ещё до распространения компьютеров как таковых:
Например телефонные разговоры в электросети я наблюдал лично подключив компьютерные колонки через развязку и делитель напряжения к розетке своей квартиры.
Понятно что советское КГБ не могло допустить подобных утечек и просто отделилось от электросети перегенерацией электричества.
Ну а сейчас помимо всяких технологий типа PLC(Power line communication) специалистам удавалось восстанавливать картинки с экранов и часть циркулирующих по ПК данных.
Но я знаю тут только про сам факт, так что подробности ищи в дуксе.
