Исходное сообщение
"Редакция смартфона PinePhone с postmarketOS доступна для зак..." Отправлено Аноним, 17-Июл-20 08:10
>У этих чипов из вендорского кода только небольшой бутром, достаточно скромного размера чтобы его проанализировать. Даже в очень популярном СПО, где "тысячи глаз", уязвимости висят годами и всем, кроме специализированных фирм, продающих свою продукцию "эксклюзивно для law enforcement", на них пофиг. Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - не будешь. Также нет никакой гарантии, что это настоящий загрузчик, а не подделка для наивных. Также нет никакой гарантии, что бэкдор именно в загрузчике, а не в микроархитектуре. Напр. нежелательный переход в конечном автомате. >Кроме того, есть еще следствия из halting problem, суть которых можно описать так: бэкдор не может предусмотреть все действия с чипом. Поэтому всегда возможны сценарии когда бэкдор не сможет нанести никакого урона, при всем на то обратном желании у атакующей стороны. Просто потому что обладатель чипа поюзал его как-то иначе чем предусмотрено. Если бэкдор предоставляет удаленный доступ, то к атаке можно подключить естественный интеллект общего назначения. >рациональный подход к безопасности систем включает в себя подбор поставщиков в соответствии с их кармой. У этой компании плохая карма. >настолько крут чтобы там что-то патчить. Мы ведь про allwinner говорим? Компания, сделанная на гос. деньги на базе гос. исследовательского института, стартапом не является. Более того, вы совершенное не понимаете, что такое КНР. Там нет независимых компаний. Все компании имеют одну задачу - работать на благо КНР. И для выполнения этой задачи государство может как приказывать компаниям изменить свою деятельность определённым образом, так и помогать им, напр. предоставлением разработок, не обязательно полученных законным путём, других компаний, не обязательно китайских и не обязательно сотрудничающих с КНР. Если ты работаешь в организации, в которой несколько совершенно разных команд, к тебя может вызвать начальник и сказать "У команды такой-то возникла нужда в интеграции нашей разработки такой-то, поручаю тебе пойти, разобраться и сделать то что они скажут". Организация не потеряет оттого, что один отдел другому бесплатно окажет услугу - даже если были бы замешаны деньги, то это просто перекладывание из одного кармана в другой. Рассматривайте КНР как одну большую централизованную органзацию, а компании - как отделы в ней, и всё встанет на свои места.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>У этих чипов из вендорского кода только небольшой бутром, достаточно скромного размера чтобы его проанализировать. > Даже в очень популярном СПО, где "тысячи глаз", уязвимости висят годами и > всем, кроме специализированных фирм, продающих свою продукцию "эксклюзивно для law enforcement", > на них пофиг. > Загрузчик, ты можешь проанализировать. Но если ты не из вышеобозначенных фирм - > не будешь. > Также нет никакой гарантии, что это настоящий загрузчик, а не подделка для > наивных. > Также нет никакой гарантии, что бэкдор именно в загрузчике, а не в > микроархитектуре. Напр. нежелательный переход в конечном автомате. >>Кроме того, есть еще следствия из halting problem, суть которых можно описать так: бэкдор не может предусмотреть все действия с чипом. Поэтому всегда возможны сценарии когда бэкдор не сможет нанести никакого урона, при всем на то обратном желании у атакующей стороны. Просто потому что обладатель чипа поюзал его как-то иначе чем предусмотрено. > Если бэкдор предоставляет удаленный доступ, то к атаке можно подключить естественный интеллект > общего назначения. >>рациональный подход к безопасности систем > включает в себя подбор поставщиков в соответствии с их кармой. У этой > компании плохая карма. >>настолько крут чтобы там что-то патчить. > Мы ведь про allwinner говорим? Компания, сделанная на гос. деньги на базе > гос. исследовательского института, стартапом не является. Более того, вы совершенное не > понимаете, что такое КНР. Там нет независимых компаний. Все компании имеют > одну задачу - работать на благо КНР. И для выполнения этой > задачи государство может как приказывать компаниям изменить свою деятельность определённым > образом, так и помогать им, напр. предоставлением разработок, не обязательно полученных > законным путём, других компаний, не обязательно китайских и не обязательно сотрудничающих > с КНР. Если ты работаешь в организации, в которой несколько совершенно > разных команд, к тебя может вызвать начальник и сказать "У команды > такой-то возникла нужда в интеграции нашей разработки такой-то, поручаю тебе пойти, > разобраться и сделать то что они скажут". Организация не потеряет оттого, > что один отдел другому бесплатно окажет услугу - даже если были > бы замешаны деньги, то это просто перекладывание из одного кармана в > другой. Рассматривайте КНР как одну большую централизованную органзацию, а компании - > как отделы в ней, и всё встанет на свои места.
	Введите код, изображенный на картинке: