Vinnie Sanders

Не "Панорама", нет?
Ну как так-то, SecurityLab? Я думал, у вас таки знаний больше, чтобы чепуху не тиражировать.

То, о чём тут речь, не "защищённый от хакеров" компьютер. Речь о другом. Да и, честно говоря, назвать это вот "уникальным", "предназначенным для защиты" и т.п. - у меня язык не поворачивается. Т.к. речь идёт, вообще-то о давно известной и даже используемой (хоть и в узких применениях) штуке.

Что в ОКБ САПР сделали? Купили у китайцев одноплатный компик на процессоре RockChip RK3399 с 4ГБ ОЗУ и 16ГБ флеша. Причём в варианте с выносом разъёмов на отдельную плату.
Главное отличие его от других одноплатников на Рокчипе, каковых китайцы клепают и продают великое множество - наличие переключателя защиты флеша от записи. Пожалуй, наиболее известный из подобных одноплатников - Orange Pi.
И сконфигурировали к нему линух в варианте работы с RamFS (файловая система для работы в ОЗУ динамически расширяемая - ну, если кто помнит что такое были RamDrive RamDisk - создание виртуального диска в ОЗУ, так это примерно то же, только само динамически отгрызает от ОЗУ, сколько надо по потребностям).
ВСЁ!!!
Нет, серьёзно, это всё. То, что они пиарят как защищённую "Новую Гарвардскую архитектуру" (wtf тут Гарвард вообще?) - это просто загрузка initrd c заблокированного на запись флеша, что обеспечивает после перезагрузки или сброса питания загрузки "эталонной", неизменной, конфигурации ОС, к которую невозможно внедрить вирус для долговременной работы. Правда, получить доступ используя известные для линуха эксплойты и внедрить что-нибудь НА ПЕРИОД РАБОТЫ - вполне возможно, и в этом плане их "m-TrusT" ничуть не более защищён, чем любой другой линух-пк.

Каким образом штатная функция линуха плюс выключатель на плате превращаются в уникальную разработку - мне неведомо.

Про "посредника в работе с сетью" в статье на секьрити лаб да и в "Известиях" и других ресурсах - тоже лукавят. Просто вам предлагают широкий выбор конфигураций ОС - ведь на линухе можно построить как обычное рабочее место (браузер, редакторы документов) так и терминал удалённого доступа к рабочему ПК где-то в офисе. Или брандмауэр (программный, конечно), или криптошлюз, или... Да в общем, всё, для чего есть софт под линух и хватит мощности рокчипа. Ну да, сохранять данные вам придётся на отдельный носитель или через инет - в облако, на удалённое рабочее место и т.п.
Можно сделать банковский терминал. Или домашний ПК, на котором ребёнок не сможет убить ОС.
Можно разместить криптографические ключи тут же, и устройство превратится в электронный ключ доступа.

Я аналогом такого "защищённого" ПК пользовался регулярно и давным давно. Ведь LiveCD с виндой - это оно и есть, как и LiveCD с линухом. Понятно, что вирус не может заразить CDR -диск. :)

Или возьмите флешку с переключателем защиты на запись, залейте туда Live образ Убунты - вуаля! Из любого ПК, способного загрузиться с этой флешки. Доступно любому, кто способен прочитать инструкцию "как записать убунту на флешку" в интернете. Это примитивный вариант, без специализированных конфигураций - но вы принцип поняли.

Недостатки очевидны: ограничение по вычислительной мощности рокчипа ( и они ведь предлагают сервер на нём, одноюнитовый корпус у них есть, который дороже самого одноплатника!), образы ОС только "от производителя". Сколько они хотят за это чудо, аналоги которого в розницу стоят порядка $10 или меньше - даже не хочу интересоваться.
Плюсы -- ну, вроде, оно сертифицировано.

Но вообще, если сертификация не нужна, такое "защищённое" собирается на коленке любым линух-админом практически из любого железа.

www.okbsapr.ru

Новая гарвардская архитектура — ОКБ САПР

Продукция - Новая гарвардская архитектура

17 viewsedited 12:54