Comments 12
Спасибо, статья — огонь! :)
На сколько я понимаю, от DMA атаки можно защититься через IOMMU (VTd или AMD-Vi). Где-нибудь такое используется?
На сколько я понимаю, от DMA атаки можно защититься через IOMMU (VTd или AMD-Vi). Где-нибудь такое используется?
Правильно понимаете, а я банально забыл про это упомянуть, каюсь. Реального использования IOMMU для защиты от DMA-атак я не видел пока, но думаю, что еще увижу, а если чипсеты AMD, которые мы сейчас используем, окажутся ей подвержены, то придется реализовавывать защиту самому.
UFO just landed and posted this here
Ну мы давно используем его для защиты от DMA атак, но, правда, не из UEFI, а из своего варианта Linux+KVM.
Тут проблема в том, что IOMMU работает далеко не на всех мамках, даже если чипсет его поддерживает. Я, если честно, пока не копал почему. А еще многие мамки имеют 1-2 IOMMU домена на все устройства, т.е. нельзя для конкретного устройства разрешить запись куда-то, а для другого запретить, что довольно уныло :(
На сколько я понял вы сами делаете мамки, так что для вас эта проблема не очень актуальна.
Тут проблема в том, что IOMMU работает далеко не на всех мамках, даже если чипсет его поддерживает. Я, если честно, пока не копал почему. А еще многие мамки имеют 1-2 IOMMU домена на все устройства, т.е. нельзя для конкретного устройства разрешить запись куда-то, а для другого запретить, что довольно уныло :(
На сколько я понял вы сами делаете мамки, так что для вас эта проблема не очень актуальна.
UFO just landed and posted this here
UFO just landed and posted this here
Кстати, насколько помню coreboot, в нём SMM обработчики отсутствуют (про куски AMDшной PI, и схожего с ним интеловского blob-а ничего не скажу, там оно вполне себе может жить). Такчто параноиками и диким любителям безопасности могу порекомендовать перелезть на coreboot с открытой agesa-ой (тоесть на 10-15 семейство амдшных процессоров). Далее залочить флешку и жить спокойно.
Sign up to leave a comment.
О безопасности UEFI, часть вторая