Ahojte,
od zacatku roku bojujeme spolu se vsemi ostatnimi, co chteji sdilet vykonne masiny, se zranitelnostmi procesoru.
Blizici se GDPR (na ktere uz konecne pripravujeme smernici, btw) a celkove stav kyberprostoru myslim pro ty z nas, co si ceni soukromi vic, znamena neklidny spanek.
Spectre a Meltdown mame softwarove workaroundnute, po par mesicich boje, uff.
Branchscope? Zatim ani naznak reseni, to zas pristane do upstreamu jeden fajny patch a pak budeme vymyslet backporty na vsechno mozne, ze...
No. Jake to ma reseni?
Pokud nemuzu pro citliva data v RAM v kazdy moment 100.0% verit, ze se na ne nemuze divat nekdo jiny, nepomuze ani sifrovani, protoze staci najit v dumpu sifrovaci klice a je to.
Resenim je tedy mit svoji RAM pod kontrolou.
Jak na to?
Virtualizace? Kde ze, napr. Spectrem prolezete i pres ni.
Jediny, co mne napadlo, je dat clenum moznost mit ciste svoji RAM pro sebe, pro citliva data.
Tedy, kdo mate potrebu realne chranit nejake zaznamy, dostanete moznost mit tu ci onu databazi na samostatnem pocitaci, na ktery nema primy pristup nikdo jiny.
Jak?
Zaciname varit hardware, ktery bude fungovat jako podpurny management pro jednodeskove pocitace, ktere si:
- donesete sami a my je umistime do datacentra - nakoupime spolecne hromadne
Ja mam vysoke standardy a tak muzu rict, ze mi Rasberry Pi stacit nebude, ani trojka (za mne moc pomale, no).
Cortex-A53 s 1 GB LPDDR2 RAM mi prijde OK tak pro testovani a hrani si s takovou "secure enklavou", nebo pro uplne nekriticke pouziti; ja bych osobne uvital vykonnejsi desky s vice RAM.
Moje uvaha je, ze kdyz budu mit kombo CPU a RAM pro sebe, mam vcelku pod kontrolou, jestli se mi z te moji enklavy da vyladovat data nejakou zranitelnosti v CPU.
Ale nechtel bych behat do datacentra menit SD karty - bohuzel, vetsina desek bootovat ze site naprimo neumi; u nekterych se PXE-bootovat da pomoci chainloadu z u-bootu z SD karty, ale taky ne u vsech.
Ja bych chtel mit storage zalohovany a na nejakem solidnejsim ulozisti, nez je SD karta. Proto v Base48 startujeme projekt HW emulatoru SD karty & managementu SBCs (napisu mail behem par dni, o co jde). S tim se taky sveze podpora power on/off, resetu a serioveho portu pro remote consoli.
Zaroven s tim jeste resime sifrovani remote konzole, protoze pokud mam mit data na cizim ulozisti, budu je sifrovat - a nejak musim v pripade rebootu/vypadku napajeni dodat klic k tomu pocitaci tak, abych te ceste mohl verit. Pravdepodobne to bude obnaset fyzickou navstevu v nekterem z hackerspaces po republice, abyste zanesli nejaky svuj klic/heslo na hardwarovy token, ktery bude pouzivan k sifrovane komunikaci s management deskou - aby nebylo mozne precist klic k sifrovanym diskum po ceste, kdyz ho do toho pocitace budete zadavat.
Chteli bychom management "secure enklav" zaintegrovat do vpsAdminu, aby se dalo: - tomu systemu pristoupit na konzoli pri odrezani se - zapnout/vypnout "natvrdo" - ale taky vymenit "virtualni SD kartu" - udelat snapshot, obnovit ze zalohy - pripadne SD kartu zpristupnit do nektereho z kontejneru na x86 infrastrukture a oddebugovat si to pod QEMU
Co se tyce "BYOD", tedy "dones si svoje zarizeni", pozadavky budou:
- rozumna spotreba a rozmery (5V napajeni, rozmery max okolo rozmeru 3.5" pevneho disku) - microSD/SD slot z ktereho se bootuje (pripadne boot ze site bez potreby SD karty je taky v poho) - 1/2 ethernety (1000/100/10M)
No a co se tyce hromadnejsiho sehnani HW:
- chtel bych, abychom meli aspon par desek RISC-V a mohli to zpristupnit tem, kteri na tom potrebuji odladit open-source balicek a podobne -> kdo budete chtit RISC-V pro sebe, muzete se pridat
- potom bych chtel rozumne ARMv8 (64bit) desky s aspon 4 GB RAM (zatim je muj favorit SoC RK3399)
- nejaky pool Raspberrycek asi taky neuskodi
A co mne laka uplne nejvic, cela open-source komunita by tak mela moznost si umistit nekam HW, ktery muze delat dokola automatizovane testovani software na tech deskach, protoze:
1. reset 2. remote storage 3. remote console 4. remote GPIO 5. to cele vzdalene pres API/CLI
Predstavy o clenskych prispevcich jeste uplne nemam, ale cilim to tak, ze jedna deska by znamenala maximalne cca standardni clensky prispevek (tj. 300/mes) a budto v tom bude nejakej defaultni Rasp Pi a XYZ GB storage, nebo si prinesete svoji desku a budete k tomu pak mit storage o ABC GB navic oproti prvni variante.
Kdo jste docetl az sem a koho to zaujalo, prosim?
Ozvete se s feedbackem. Hodil by se lepsi nazev, nez "secure enclave", protoze to uz ma hodne dlouho moc jablecny zavan :)
Diky za reakce,
/snajpa
Hoj, napad je to hezky. Pro me sice ne az tak zajimave (nepracuju na VPSFree s datama, ktery by musely mit takovejhle stupen ochrany), nicmene dovedu si predstavit usecase, kdy se to vyuzije.
OF
---------- Původní e-mail ---------- Od: Pavel Snajdr snajpa@snajpa.net Komu: community-list@lists.vpsfree.cz Datum: 26. 4. 2018 14:18:39 Předmět: [vpsFree.cz: community-list] Bez Hostovani ARM & RISC-V & dalsich desek "Ahojte,
od zacatku roku bojujeme spolu se vsemi ostatnimi, co chteji sdilet vykonne masiny, se zranitelnostmi procesoru.
Blizici se GDPR (na ktere uz konecne pripravujeme smernici, btw) a celkove stav kyberprostoru myslim pro ty z nas, co si ceni soukromi vic, znamena neklidny spanek.
Spectre a Meltdown mame softwarove workaroundnute, po par mesicich boje, uff.
Branchscope? Zatim ani naznak reseni, to zas pristane do upstreamu jeden fajny patch a pak budeme vymyslet backporty na vsechno mozne, ze...
No. Jake to ma reseni?
Pokud nemuzu pro citliva data v RAM v kazdy moment 100.0% verit, ze se na ne nemuze divat nekdo jiny, nepomuze ani sifrovani, protoze staci najit v dumpu sifrovaci klice a je to.
Resenim je tedy mit svoji RAM pod kontrolou.
Jak na to?
Virtualizace? Kde ze, napr. Spectrem prolezete i pres ni.
Jediny, co mne napadlo, je dat clenum moznost mit ciste svoji RAM pro sebe, pro citliva data.
Tedy, kdo mate potrebu realne chranit nejake zaznamy, dostanete moznost mit tu ci onu databazi na samostatnem pocitaci, na ktery nema primy pristup nikdo jiny.
Jak?
Zaciname varit hardware, ktery bude fungovat jako podpurny management pro jednodeskove pocitace, ktere si:
- donesete sami a my je umistime do datacentra - nakoupime spolecne hromadne
Ja mam vysoke standardy a tak muzu rict, ze mi Rasberry Pi stacit nebude, ani trojka (za mne moc pomale, no).
Cortex-A53 s 1 GB LPDDR2 RAM mi prijde OK tak pro testovani a hrani si s takovou "secure enklavou", nebo pro uplne nekriticke pouziti; ja bych osobne uvital vykonnejsi desky s vice RAM.
Moje uvaha je, ze kdyz budu mit kombo CPU a RAM pro sebe, mam vcelku pod kontrolou, jestli se mi z te moji enklavy da vyladovat data nejakou zranitelnosti v CPU.
Ale nechtel bych behat do datacentra menit SD karty - bohuzel, vetsina desek bootovat ze site naprimo neumi; u nekterych se PXE-bootovat da pomoci chainloadu z u-bootu z SD karty, ale taky ne u vsech.
Ja bych chtel mit storage zalohovany a na nejakem solidnejsim ulozisti, nez je SD karta. Proto v Base48 startujeme projekt HW emulatoru SD karty & managementu SBCs (napisu mail behem par dni, o co jde). S tim se taky sveze podpora power on/off, resetu a serioveho portu pro remote consoli.
Zaroven s tim jeste resime sifrovani remote konzole, protoze pokud mam mit data na cizim ulozisti, budu je sifrovat - a nejak musim v pripade rebootu/vypadku napajeni dodat klic k tomu pocitaci tak, abych te ceste mohl verit. Pravdepodobne to bude obnaset fyzickou navstevu v nekterem z hackerspaces po republice, abyste zanesli nejaky svuj klic/heslo na hardwarovy token, ktery bude pouzivan k sifrovane komunikaci s management deskou - aby nebylo mozne precist klic k sifrovanym diskum po ceste, kdyz ho do toho pocitace budete zadavat.
Chteli bychom management "secure enklav" zaintegrovat do vpsAdminu, aby se dalo: - tomu systemu pristoupit na konzoli pri odrezani se - zapnout/vypnout "natvrdo" - ale taky vymenit "virtualni SD kartu" - udelat snapshot, obnovit ze zalohy - pripadne SD kartu zpristupnit do nektereho z kontejneru na x86 infrastrukture a oddebugovat si to pod QEMU
Co se tyce "BYOD", tedy "dones si svoje zarizeni", pozadavky budou:
- rozumna spotreba a rozmery (5V napajeni, rozmery max okolo rozmeru 3.5" pevneho disku) - microSD/SD slot z ktereho se bootuje (pripadne boot ze site bez potreby SD karty je taky v poho) - 1/2 ethernety (1000/100/10M)
No a co se tyce hromadnejsiho sehnani HW:
- chtel bych, abychom meli aspon par desek RISC-V a mohli to zpristupnit tem, kteri na tom potrebuji odladit open-source balicek a podobne -> kdo budete chtit RISC-V pro sebe, muzete se pridat
- potom bych chtel rozumne ARMv8 (64bit) desky s aspon 4 GB RAM (zatim je muj favorit SoC RK3399)
- nejaky pool Raspberrycek asi taky neuskodi
A co mne laka uplne nejvic, cela open-source komunita by tak mela moznost si umistit nekam HW, ktery muze delat dokola automatizovane testovani software na tech deskach, protoze:
1. reset 2. remote storage 3. remote console 4. remote GPIO 5. to cele vzdalene pres API/CLI
Predstavy o clenskych prispevcich jeste uplne nemam, ale cilim to tak, ze jedna deska by znamenala maximalne cca standardni clensky prispevek (tj. 300/mes) a budto v tom bude nejakej defaultni Rasp Pi a XYZ GB storage, nebo si prinesete svoji desku a budete k tomu pak mit storage o ABC GB navic oproti prvni variante.
Kdo jste docetl az sem a koho to zaujalo, prosim?
Ozvete se s feedbackem. Hodil by se lepsi nazev, nez "secure enclave", protoze to uz ma hodne dlouho moc jablecny zavan :)
Diky za reakce,
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list "
Ahoj, mě to celkem zaujalo :-) Akorát to podle mě ze strany tvojí a několika dalších co k tomu HW mají fyzický přístup zvedne vytíženost, protože pokud jsem dobře pochopil, v případě že to spadne, mám smůlu, že? Jinak prostorem si myslel donesení si vlastního disku (v rámci toho plusového členství), nebo prostor na NASu? Díky,
S pozdravem,
*Martin Myška*
Email: martin@martinmyska.cz Tel.: +420 777 885 138 <777885138> Web: www.martinmyska.cz http://martinmyska.cz/
Specialista na redakční systémy. Programátor na volné noze.
Dne 26. dubna 2018 14:41 Ondrej.Flidr Ondrej.Flidr@seznam.cz napsal(a):
Hoj, napad je to hezky. Pro me sice ne az tak zajimave (nepracuju na VPSFree s datama, ktery by musely mit takovejhle stupen ochrany), nicmene dovedu si predstavit usecase, kdy se to vyuzije.
OF
---------- Původní e-mail ---------- Od: Pavel Snajdr snajpa@snajpa.net Komu: community-list@lists.vpsfree.cz Datum: 26. 4. 2018 14:18:39 Předmět: [vpsFree.cz: community-list] Bez Hostovani ARM & RISC-V & dalsich desek
Ahojte,
od zacatku roku bojujeme spolu se vsemi ostatnimi, co chteji sdilet vykonne masiny, se zranitelnostmi procesoru.
Blizici se GDPR (na ktere uz konecne pripravujeme smernici, btw) a celkove stav kyberprostoru myslim pro ty z nas, co si ceni soukromi vic, znamena neklidny spanek.
Spectre a Meltdown mame softwarove workaroundnute, po par mesicich boje, uff.
Branchscope? Zatim ani naznak reseni, to zas pristane do upstreamu jeden fajny patch a pak budeme vymyslet backporty na vsechno mozne, ze...
No. Jake to ma reseni?
Pokud nemuzu pro citliva data v RAM v kazdy moment 100.0% verit, ze se na ne nemuze divat nekdo jiny, nepomuze ani sifrovani, protoze staci najit v dumpu sifrovaci klice a je to.
Resenim je tedy mit svoji RAM pod kontrolou.
Jak na to?
Virtualizace? Kde ze, napr. Spectrem prolezete i pres ni.
Jediny, co mne napadlo, je dat clenum moznost mit ciste svoji RAM pro sebe, pro citliva data.
Tedy, kdo mate potrebu realne chranit nejake zaznamy, dostanete moznost mit tu ci onu databazi na samostatnem pocitaci, na ktery nema primy pristup nikdo jiny.
Jak?
Zaciname varit hardware, ktery bude fungovat jako podpurny management pro jednodeskove pocitace, ktere si:
- donesete sami a my je umistime do datacentra
- nakoupime spolecne hromadne
Ja mam vysoke standardy a tak muzu rict, ze mi Rasberry Pi stacit nebude, ani trojka (za mne moc pomale, no).
Cortex-A53 s 1 GB LPDDR2 RAM mi prijde OK tak pro testovani a hrani si s takovou "secure enklavou", nebo pro uplne nekriticke pouziti; ja bych osobne uvital vykonnejsi desky s vice RAM.
Moje uvaha je, ze kdyz budu mit kombo CPU a RAM pro sebe, mam vcelku pod kontrolou, jestli se mi z te moji enklavy da vyladovat data nejakou zranitelnosti v CPU.
Ale nechtel bych behat do datacentra menit SD karty - bohuzel, vetsina desek bootovat ze site naprimo neumi; u nekterych se PXE-bootovat da pomoci chainloadu z u-bootu z SD karty, ale taky ne u vsech.
Ja bych chtel mit storage zalohovany a na nejakem solidnejsim ulozisti, nez je SD karta. Proto v Base48 startujeme projekt HW emulatoru SD karty & managementu SBCs (napisu mail behem par dni, o co jde). S tim se taky sveze podpora power on/off, resetu a serioveho portu pro remote consoli.
Zaroven s tim jeste resime sifrovani remote konzole, protoze pokud mam mit data na cizim ulozisti, budu je sifrovat - a nejak musim v pripade rebootu/vypadku napajeni dodat klic k tomu pocitaci tak, abych te ceste mohl verit. Pravdepodobne to bude obnaset fyzickou navstevu v nekterem z hackerspaces po republice, abyste zanesli nejaky svuj klic/heslo na hardwarovy token, ktery bude pouzivan k sifrovane komunikaci s management deskou - aby nebylo mozne precist klic k sifrovanym diskum po ceste, kdyz ho do toho pocitace budete zadavat.
Chteli bychom management "secure enklav" zaintegrovat do vpsAdminu, aby se dalo:
- tomu systemu pristoupit na konzoli pri odrezani se
- zapnout/vypnout "natvrdo"
- ale taky vymenit "virtualni SD kartu"
- udelat snapshot, obnovit ze zalohy
- pripadne SD kartu zpristupnit do nektereho z kontejneru na x86
infrastrukture a oddebugovat si to pod QEMU
Co se tyce "BYOD", tedy "dones si svoje zarizeni", pozadavky budou:
- rozumna spotreba a rozmery (5V napajeni, rozmery max okolo rozmeru
3.5" pevneho disku)
- microSD/SD slot z ktereho se bootuje (pripadne boot ze site bez
potreby SD karty je taky v poho)
- 1/2 ethernety (1000/100/10M)
No a co se tyce hromadnejsiho sehnani HW:
- chtel bych, abychom meli aspon par desek RISC-V a mohli to zpristupnit
tem, kteri na tom potrebuji odladit open-source balicek a podobne -> kdo budete chtit RISC-V pro sebe, muzete se pridat
- potom bych chtel rozumne ARMv8 (64bit) desky s aspon 4 GB RAM (zatim
je muj favorit SoC RK3399)
- nejaky pool Raspberrycek asi taky neuskodi
A co mne laka uplne nejvic, cela open-source komunita by tak mela moznost si umistit nekam HW, ktery muze delat dokola automatizovane testovani software na tech deskach, protoze:
- reset
- remote storage
- remote console
- remote GPIO
- to cele vzdalene pres API/CLI
Predstavy o clenskych prispevcich jeste uplne nemam, ale cilim to tak, ze jedna deska by znamenala maximalne cca standardni clensky prispevek (tj. 300/mes) a budto v tom bude nejakej defaultni Rasp Pi a XYZ GB storage, nebo si prinesete svoji desku a budete k tomu pak mit storage o ABC GB navic oproti prvni variante.
Kdo jste docetl az sem a koho to zaujalo, prosim?
Ozvete se s feedbackem. Hodil by se lepsi nazev, nez "secure enclave", protoze to uz ma hodne dlouho moc jablecny zavan :)
Diky za reakce,
/snajpa _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 2018-04-26 14:56, Martin Myška wrote:
Ahoj, mě to celkem zaujalo :-) Akorát to podle mě ze strany tvojí a několika dalších co k tomu HW mají fyzický přístup zvedne vytíženost, protože pokud jsem dobře pochopil, v případě že to spadne, mám smůlu, že? Jinak prostorem si myslel donesení si vlastního disku (v rámci toho plusového členství), nebo prostor na NASu?
Aby se ten board vesel rozmerama do 3.5" pozice, protoze pak by se dalo premyslet o nejakem zneuziti storage chassi, aby ten chaos v deskach a kabelech byl kousek organizovanovanejsi.
/snajpa
community-list@lists.vpsfree.cz
-
Martin Myška -
Ondrej.Flidr -
Pavel Snajdr