Что: 2eea4211990ec8f6e8f24dba4c4a29513fc696f8 Когда: 2020-12-04 14:31:38+03:00 ------------------------------------------------------------------------ Темы: apple hard ------------------------------------------------------------------------ О доверии к Apple железу https://sneak.berlin/20201204/on-trusting-macintosh-hardware/ Оказывается у всего последнего Apple железа нельзя очистить диск/ОС и установить всё с нуля, пока по Интернету не получить одобрение от Apple, в виде подписанного сообщения. То есть, без их разрешения, каждый раз одобряемого, не дозволено на их компьютерах ставить что захочешь. То есть, для безопасных компьютеров с воздушным зазором (air-gapped), для тех кто блюдёт криптографическую целостность (полностью очищаемые и переустанавливаемые системы с доверенного носителя), те кто находятся вне зоне доступа к Интернету (корабли, как минимум) -- Apple компьютеры не могут использоваться по определению. Я вот не сильно против чего имел того, что в ФСБ бумажки делают в Word, на Windows, но эти компьютеры хотя бы изолированы и не подключены к Интернету. А с Apple не перестаёшь удивляться их безумным задумкам. И ещё больше удивляться что пипл это всё равно продолжает хавать. ------------------------------------------------------------------------ оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20%D0%9E%20%D0%B4%D0%BE%D0%B2%D0%B5%D1%80%D0%B8%D0%B8%20%D0%BA%20Apple%20%D0%B6%D0%B5%D0%BB%D0%B5%D0%B7%D1%83%20%282eea4211990ec8f6e8f24dba4c4a29513fc696f8%29 ------------------------------------------------------------------------ комментарий 0: From: kmeaw Date: 2020-12-05 01:03:04Z > нельзя очистить диск/ОС и установить всё с нуля > Buy a new mac, Intel (with T2 chip; all recent Intel machines) or M1, > and it comes “activated” from the factory, with the OS installed and > ready to use. Это значит, что чип (или его часть, как в случае с M1), отвечающий за безопасность платформы, уже позволяет грузить ОС. Если я захочу сделать air-gapped компьютер, то мне будет достаточно отключить его от всех сетей, достать доверенный сервисный компьютер, подключить storage (вероятно NVMe) от мака к нему и сохранить резервную копию. Если мне потребуется сделать полный сброс системы, то я снова вытаскиваю storage и накатываю на него бекап. Да, безусловно это не позволяет мне запускать что угодно, например тот же Linux или BSD, но перевести машины в некое начальное состояние можно и без одобрения Apple через интернет, лишь бы контрольные суммы критических компонентов ОС не менялись. ------------------------------------------------------------------------ комментарий 1: From: Sergey Matveev Date: 2020-12-05 04:26:06Z *** kmeaw [2020-12-05 03:57]: >Если мне потребуется сделать полный сброс системы, то я снова вытаскиваю >storage и накатываю на него бекап. Учитывая что это Apple, я бы ожидал 100%-го наличия подвоха и палок в колёсах. Ведь state это же не только содержимое NVMe, но и то что внутри чёрного ящика security chip. Он же, чисто технически, без проблем может каждый раз при запуске монтировать ФС, запоминать atime какие-нибудь. Если они изменяются не в "нужную" сторону (становятся не старше, допустим), то это уже будет восприниматься как недоверенное состояние. Просто зная Apple, *нужно* ожидать обязательное наличие вражеского к человек поведения. Поэтому нужно точно проверять на практике гипотезу о возможности такого восстановления из резервной копии. ------------------------------------------------------------------------ Сгенерирован: SGBlog 0.34.0