Re: (deb-cat) microcode per CPU =? privatiu

To: Narcis Garcia <debianlists@actiu.net>
Cc: debian-user-catalan@lists.debian.org
Subject: Re: (deb-cat) microcode per CPU =? privatiu
From: Xavi Drudis Ferran <xdrudis@tinet.cat>
Date: Thu, 30 Nov 2017 18:44:22 +0100
Message-id: <[🔎] 20171130174422.GA1928@begut>
In-reply-to: <[🔎] d18ea202-0918-e450-78a9-0000adc00e1a@actiu.net>
References: <[🔎] CAPBO7Tbc7DQRWy5Y2WftSS1BHRjmiaCXgCaWQ6xx_G1XzAicrg@mail.gmail.com> <[🔎] d18ea202-0918-e450-78a9-0000adc00e1a@actiu.net>

El Thu, Nov 30, 2017 at 12:52:13PM +0100, Narcis Garcia deia:
> He llegit que Intel amb els fabricants de BIOS modernes ja executen un
> sistema operatiu «a l'ombra», com una mena de BIOS amb la seva
> interfície virtual de xarxa però poc detectable des de l'entorn
> d'usuari. Amb això podria ser que, amb els darrers processadors i3/i5/i7
> el sistema operatiu d'usuari s'estigui executant com una màquina virtual
> per sobre d'aquesta capa creada pel maquinari.
> 
> https://www.youtube.com/watch?v=iffTJ1vPCSo
>

Sí, ja és això. Més que "poc detectable" diria "gens detectable", però 
sí, potser es podria arribar a detectar si ho busques molt bé. 
 
> No crec que ambdues coses tinguin relació, però... Com es pot aclarir de
> forma fàcil i neta a un usuari que la distribució Debian no fa que
> l'usuari se sotmeti a les necessitats despòtiques d'Intel (o AMD) ?
> Això s'assemblaria molt a distribuïr M.Firefox amb Adobe Flash
> preinstal·lat perquè «it cannot be an extension anymore in recent
> Mozilla browsers»
> 

És que amb distribució Debian o sense un usuari d'Intel o AMD està
sotmes a que Intel, AMD, el seu govern, els seus atacants o desertors,
la clientela de qualssevol d'aquests quan es venguin les claus o atacs
al mercat negre, etc. puguin fer el que els doni la gana amb
l'ordinador de l'usuari.  Debian no ho pot arreglar, això. Si elimines
el programari maliciós de la BIOS/UEFI la CPU no arrenca (o s'apaga al
cap de mitja hora, o no accedeix a la RAM, etc.). El Minnich i
companyia han fet el que han pogut per treure el màxim possible de
porqueria privativa que hi ha a l'UEFI, i substituir-ho per codi
lliure i més lleuger (per intentar que tingui menys forats de
seguretat). Però al principi de tot hi ha codi que no poden tocar
perquè està signat. I si Google no pot arreglar els seus servidors
dubto que pugui jo. 

Per dir-ho d'alguna manera no han aconseguit executar Debian en nadiu 
per comptes de en una màquina virtual, sinó que han canviat la màquina 
virtual per una de menys cutre. 

Si volen tenir control el millor que poden fer és no fer servir ordinadors
(tot i que igualment es relacionaran amb gent o institucions que els 
facin servir, o poden no saber que fan servir ordinadors perquè avui en dia
en posen a tot arreu, al DNI, per exemple... fins i tot et poden atacar 
per la peixera...
https://theconversation.com/the-internet-of-things-is-sending-us-back-to-the-middle-ages-81435
). Si insisteixen en fer servir ordinadors i a més volen controlar-los, 
bé, les opcions serien una mica les que deien a 

https://lists.fsfe.org/pipermail/discussion/2016-April/010912.html

Teniu en compte però que RISC-V ha avançat una mica des de l'abril (encara 
verd per anar a una botiga a comprar-ne, però va prometent)

http://rise.cse.iitm.ac.in/shakti.html
https://www.wdc.com/about-wd/newsroom/press-room/2017-11-28-western-digital-to-accelerate-the-future-of-next-generation-computing-architectures-for-big-data-and-fast-data-environments.html

(o fer servir maquinari vell, per tornar a l'inici del fil tot i que
per estar tranquil probablement calgui canviar BIOS per libreboot o
coreboot o el que es pugui)

Més noticies (però una mica redundant, és més del mateix).

https://arstechnica.com/information-technology/2017/11/intel-warns-of-widespread-vulnerability-in-pc-server-device-firmware/
http://www.theregister.co.uk/2017/11/09/chipzilla_come_closer_closer_listen_dump_ime/
https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it

Amb això no vull dir que Debian no serveixi, només que no pot
transformar màgicament la CPU en una altra. És millor Debian que
moltes altres alternatives, és només que no és suficient. Conduir un
Volvo (o un tanc) no garanteix que no caiguis per un precipici si no
mires per on vas...

Tornant al microcodi. No sé. Si el paquet et diu que no funciona amb
la teva CPU, doncs desinstal·la el paquet (i regenera el initramfs si
no t'ho fes ell solet, que suposo que ho fa). No sé quina versió de
microcodi tens ni quina necessites, perquè és tot massa secret per
saber-ho, però dubto que Intel encara tregui actualitzacions per a la
CPU que tens. En aquella època diria que la majoria de la gent no
actualitzava el microcodi mai. Al menys la gent no actualitzava la
BIOS, per tant l'actualització de microcodi hauria de sortir d'alguna
altra banda.

El que no he entés és si només et treu un missatge que no t'agrada 
o el problema que tens és que no arrenca o alguna cosa així. Dius que
el intel-microcode és un paquet requerit ? No pot ser si és a non-free, no ? 
O vols dir que el nucli que porta Debian té l'actualització de microcodi
configurada ? Jo em pensava que això no era greu si no trobava el microcodi
al directori on el busca (o sia si intel-microcode no està instal·lat). 
Pot ser que t'hagi quedat el directori brut d'una instal·lació anterior 
o alguna cosa així ?

Reply to:

Follow-Ups:
- Re: (deb-cat) microcode per CPU = ? privatiu
  - From: Narcis Garcia <debianlists@actiu.net>

References:
- Re: (deb-cat) microcode per CPU =? privatiu
  - From: Josep Lladonosa <jlladono@gmail.com>
- Re: (deb-cat) microcode per CPU =? privatiu
  - From: Narcis Garcia <debianlists@actiu.net>

Prev by Date: Re: (deb-cat) microcode per CPU =? privatiu
Next by Date: Re: (deb-cat) microcode per CPU = ? privatiu
Previous by thread: Re: (deb-cat) microcode per CPU =? privatiu
Next by thread: Re: (deb-cat) microcode per CPU = ? privatiu
Index(es):
- Date
- Thread