amd psp device что это
AMD Secure Technology (или ранее называвшуюся Platform Security Proccessor — PSP).
AMD Secure Technology (или ранее называвшуюся Platform Security Proccessor — PSP).
К омпания AMD, также встраивает в свои процессоры ( аналогичную MЕ ) систему AMD Secure Technology (раньше называвшуюся PSP ), начиная с 2013 года.
Вскоре после исправления уязвимости SA-00086, производители материнских плат для процессоров AMD стали поставлять обновления BIOS, позволяющие отключить AMD Secure Technology, эту схожую с Intel ME подсистему.
Компания AMD постоянно старается улучшить работу своих процессоров Ryzen с помощью выпуска регулярных выпусков обновления протокола AGESA. Новая версия AGESA приносит не только поддержку материнским платам с Socket AM4 будущих процессоров AMD, но также добавляет возможность отключить встроенный Secure Processor, также известный, как «процессор для обеспечения безопасности платформы» или просто PSP.
AMD Secure Processor является аналогом Intel Management Engine. Этот встроенный процессор безопасности AMD был тоже подвергнут критике, как один из возможных векторов атаки, которые невозможно обнаружить на уровне операционной системы. Процессор PSP использует технологию ARM TrustZone для хранения конфиденциальных данных, и позволяет получить удалённый доступ к системе авторизированным администраторам.
В свете недавно выявленных уязвимостей в Intel Management Engine, компания AMD, похоже, решила добавить в новую версию AGESA возможность отключения Secure Processor пользователем через BIOS. Некоторые пользователи Reddit обнаружили, что при обновлении BIOS в нём появилась настройка, позволяющая включить или отключить PSP.
С ростом количества мобильных устройств и облачных служб компьютерная среда претерпевает постоянные изменения. Растет и число угроз конфиденциальности и безопасности — они приобретают все более разнообразный и изощренный характер. Только антивирусной программы уже недостаточно для надежной защиты. Теперь необходимо надежное аппаратное решение. Встроенная система безопасности на базе технологии AMD Secure защищает непосредственно процессор. Работая совместно с обширной сетью поставщиков платформ, AMD старается обеспечить максимальной защитой всю свою продукцию.
PSP похож на Intel Management Engine для процессоров Intel. Еще в сентябре 2017 года исследователь безопасности Google Сфир Коэн сообщил об уязвимости AMD в подсистеме PSP, которая может позволить злоумышленнику получить доступ к паролям, сертификатам и другой конфиденциальной информации.
AMD объявила об обновлениях прошивки для устранения этих недостатков, их обоснованность с технической точки зрения была подтверждена независимыми экспертами по безопасности, которые рассмотрели раскрытия.
AMD так описывает технологию защиты: «Secure Processor (ранее — процессор для обеспечения безопасности платформы, PSP) является выделенным процессором с технологией ARM TrustZone, а также программной защищённой средой Trusted Execution Environment (TEE), призванной обеспечить работу доверенных приложений сторонних разработчиков. AMD Secure Processor — технология на базе аппаратных средств, которая обеспечивает безопасную загрузку с уровня BIOS до среды TEE. Доверенные приложения сторонних разработчиков могут задействовать стандартные программные интерфейсы, чтобы воспользоваться защищённой средой TEE (функции защиты TEE работают не во всех приложениях).
Новые уязвимости можно быдо разделить на четыре основные категории. Все они по сути позволяют злоумышленникам нацелиться на самый защищённый сегмент процессора, который имеет решающее значение для хранения конфиденциальной информации на устройстве. Определить вредоносный код, хранящийся в Secure Processor, почти невозможно. Зловред может располагаться там годами и не быть обнаруженным — информировали независимые эксперты по безопасности.
Некоторые пользователи компьютеров и ноутбуков, построенных на платформе AMD, при открытии диспетчера устройств могут обнаружить там некое устройство с названием AMD PSP 3.0 Device, требующее установки драйвера. Код у него PCI\VEN_1022&DEV_1456.
Далеко не каждый знает что это за устройство и где взять для него драйвер.
Аббревиатура PSP в данном случае расшифровывается как Platform Security Processor. Это отдельный процессор для защиты программного обеспечения компании AMD. Используется в работе антивирусов, а также защищает некоторые компоненты операционной системы от вредоносного воздействия. Является аналогом Intel Management Engine и также требует установки драйвера. Он входит в состав комплекта драйверов для чипсета.
Сам драйвер нужно скачивать с официального сайта поддержки производителя материнской платы или ноутбука, определив конкретную модель. Обычно он располагается в разделе «Чипсет» (Chipset).
Что такое AMD PSP и как он работает в вашем процессоре
По мере развития технологий становится все легче находить уязвимости и, следовательно, все труднее защищаться от них, особенно когда мы говорим о процессорах, «мозге» ПК. По этой причине и в попытке минимизировать риски и избежать проблем AMD создала собственную среду безопасности под названием AMD PSP или AMD Secure Technology, которая была интегрирована во все процессоры AMD и APU с 2013 года.
Что такое AMD PSP (процессор безопасности платформы)?
Как мы уже упоминали ранее, эта технология работает аналогично Intel CSE, но имеет огромное различие, а именно в случае AMD он работает на аппаратном уровне а не уровень программного обеспечения. Согласно определению AMD, «Создается безопасная среда, которая разделяет ЦП в два «виртуальных мира», позволяющих выполнять самые деликатные задачи на этом защищенном процессоре, в то время как остальные выполняются в «мировом» стандарте. Это помогает обеспечить безопасное хранение и обработку конфиденциальных данных и надежных приложений, а также защитить целостность и конфиденциальность ключевых ресурсов. «
Этот маленький процессор внутри процессора имеет свой собственный ROM и SRAM Память изолированы от остальных системы, чтобы избежать любого типа атаки или утечки информации, содержащейся в нем. Кроме того, согласно AMD, он имеет встроенный сопроцессор для шифрования данных в соответствии с алгоритмами всех видов (они перечислены на рисунке выше).
Это предотвращает все уязвимости?
Точно нет. Фактически, в сентябре 2017 года аналитик безопасности Google сообщил об уязвимости в самой системе AMD PSP, в результате которой злоумышленник может получить доступ к паролям, сертификатам и другой конфиденциальной системной информации с помощью собственной системы безопасности AMD. Хорошая часть заключается в том, что AMD быстро исправила эту проблему простым обновлением прошивки.
В марте 2018 года израильская охранная компания допросила архитектуру AMD Zen (используемую в процессорах Ryzen, EPYC, Ryzen Pro и Ryzen Mobile), которая утверждала, что им удалось «внедрить» вредоносное ПО в саму систему AMD. PSP, это снова было исправлено AMD через обновление прошивки.
Короче говоря, это система, которая помогает повысить безопасность и избежать уязвимостей, но она не является надежной. Хорошая часть состоит в том, что, как мы видели в двух предыдущих примерах, AMD достаточно легко решает любой тип проблемы, поскольку преимуществом является то, что эта безопасная среда работает на аппаратном уровне.
Как отключить PSP у процессора на базе AMD?
Тут и раньше обсуждалась тема intel ME и AMD PSP, но мне так и не удалось найти что-то вроде «руководства по его отключению» именно у AMD. Надеюсь у кого-нибудь найдутся полезные ссылки на материалы по изучению этой темы, а то лично у меня получилось найти не слишком много информации об этом в интернете (я и не так уж давно в этой сфере, можно сказать чайник)
Вроде никак, так запихан, что любые попытки отключить приводят к остановке работы процессора
Но, вроде, частично можно удалить, или нет?
Процессоры AMD устроены таким образом, что если PSP не инициализируется, x86-ядра работать не будут. Т.е. отключить его невозможно в принципе.
Пока никто не расковырял, как оно там работает, т.к. эта штука специально сконструирована защищенной от вмешательства. Остается ждать большого слива, как было с intel me.
Но ведь он может получать доступ ко всем областям моей оперативной памяти и, в принципе, к тому, что как-либо связано с компьютером. Получается, о какой безопасности может идти речь, даже если я буду использовать Linux? Или я что-то не так понимаю?
Ты все правильно понимаешь, по-хорошему эту технику нельзя использовать там, где нужна секретность.
То есть лучше использовать intel?
Только ограниченное подмножество процессоров на определенных моделях материнских плат, где можно порезать Management Engine. Но да, в этом плане intel чуть лучше. Но в идеале брать. я даже не знаю, что сейчас без зондов. Какие-нибудь устаревшие не попсовые SoC на arm, всякие там risc-v и т.п. не широко распространенные системы.
То есть работать с какого-то относительно нового ноутбука не вариант, а намного лучше будет старый ПК?
Понятия не имею, безопаснее ли старый ноутбук. В старых ноутбуках тоже могут быть старые закладки, глючные прошивки и т.п. вещи. Все зависит от того, что и от кого ты собираешься прятать.
Хоспаде, ты там что гостайну прячешь, Неуловимый Джо?
тайные каналы говорят что опцию отключения PSP предоставляют только тем клиентам которым она действительно нужна. для розничных покупателей ничего такого нет.
Прятать в смысле формат файлов или содержание? Или что-то другое? И насколько старые устройства могут подойти? До 2013 года, или еще раньше?
У ASUS в UEFI может быть (по-моему, я видел у себя).
Ага, почти. А то по телевизору сказали, что на гугл диске уже не надо их хранить, мало ли что… А тебе-то кто рассказал, что я гостайнами владею?
воткнули no-op имитацию, а вы и поверили…
Эта настройка отключает не psp, а сервисы, которые psp предоставляет пользователю.
Но ведь он может получать доступ ко всем областям моей оперативной памяти и, в принципе, к тому, что как-либо связано с компьютером.
Если тебя мучает параноя то пропускай сетевой трафик через pppd работающий через RS232/RS485 порт(или какой там тебе под руку подвернётся на промежуточный компьютер на котором настрой белые списки, а потом с этого компьютера снова через pppd+RS порт и только уже с него в интернет.
При этом порты лучше всего использовать не с материнок, а отдельных плат расширения, чтобы вероятность того, что БИОС сможет с ними работать была бы минимальной.
То есть работать с какого-то относительно нового ноутбука не вариант, а намного лучше будет старый ПК?
Очень старый ПК в котором БИОС ещё на ROM, максимум UV EPROM который ты перпишешешь под свой БИОС.
Но тут надо учитывать, что помимо Inte ME и AMD PSP есть ещё куча всяких аппаратных уязвимостей, которые никакой правкой фирмварей и БИОС не устранить и они эти уязвимости скорее всего для всех этих архитектур хорошо известны.
В lenovo G505S удалось включить дискретную видюху + turbocore на coreboot, провели тесты, оно действительно работает. Если будет интересно, вот тема где идет обсуждение.
Еще из альтернатив например или вот но там есть свои нюансы, либо слабый CPU, либо физическое наличие зонда, пусть и с поврежденной прошивкой.
ты так говоришь, будто первый не слабый cpu
пропускай сетевой трафик через pppd работающий через
А не изобрели еще сетевух со встроенным отдельным дополнительным маленьким процом для фаервола?
А толку, на том проце будет свой зонд.
стоит ли кормить этих мошенников-проприетарщиков, когда есть тот же открытый risc-v?
в Интел засунуть АМД карту, в АМД засунуть Интел карту. Ну либо Хуавей или Эльбрус в любую из предыдущих.
А отсутствие зондов в «открытом» risc-v ты лично проконтролируешь?
серьёзные дяди, которым важна безопаснаость, должнны изготавливать проц полностью сами, не так ли?
Этот выключатель в AGESA, которое общее для всех, а вот в UEFI производитель должен озаботится о интерфейсе к нему.
Параноики, в am3+ и старей вообще ничего такого нет. Начиная с Kaveri(fm2+) и Beema/Mullins, в них совали Cortex-A5 с ARM TrustZone, а доделали его до PSP c Carrizo/Bristol, Stoney. Так что до zen было уязвимо из-за PSP только одно поколение недесктопных устройств.
Открытый risc-v точно так же может быть с аналогом PSP.
Открытый risc-v точно так же может быть с аналогом PSP.
В теории для свободных процессоров можно сделать аналог верифицированной сборки для дистрибутивов и например оценивать вид верхнего слоя в микроскопе под большм увеличением, микроизмерителями проверять соответствие электрических полей кристалла тому что следует ожидать от конкретной сборки.
Всё это не исключит, но должно несколько затруднить внедрение в процессор совсем уж откровенных зондов.
не может, ведь ты, как серьёзный дядя, его изготовишь сам
Я? Нет. Ещё я песок копать буду…
олимпиард бабла на это ты конечно же выделишь из сэкономленного с завтраков?
Ну ты же понимаешь, что в секурном проекте без этого никак.
Ну а на стороне потребителя хватит и датчика электрополя и обычного светового мироскопа с увеличением в несколько тысяч крат, что должно быть по карману тем у кого есть достойные похищения секреты.
промежуточный компьютер на котором настрой белые списки
Важно, какой компьютер? То есть это может быть как огромный старый ПК года 2006, так и какой-нибудь более современный мини ПК, работая с которым можно будет хотя бы из дома выйти, так?
Правильно ли я понимаю, что для настройки PPPD на обоих устройствах должен стоять linux?
И всё это при условии, что у меня на ноутбуке есть PSP, верно?
значит ты игро-ребёнок, и безопасность тебя не заботит. кроме того опускаться до песка не обязательно, достаточно контролировать уже сам литографический процесс
На винде есть аналог pppd, просто настраиваешь приём соединений с модема на COM порте.
И всё это при условии, что у меня на ноутбуке есть PSP, верно?
Помимо PSP есть аппаратные ошибки в самом железе ПК и нулувого дня в софте, как следствие нельзя чему либо верить вообще.
Для вдохновления скажу что Китайцы обрабатывают Rx и Tx линии последовательного порта раздельно на двух отдельных изолированных ПК.
Так как ничему верить нельзя то первостепеное значение имеет не ПК, а изоляция его и мониторящих Rx/Tx линии устройств чтобы бекдором в них нельзя было управлять и получать с него данные.
А значит обклеивай комнату(камеру) несколькими слоями тонкой фольги и диэлектрика(бумага) и смотри упомянутый выше опыт Китайцев.
И ещё, всякая уважающая себя спецслужба для предотвращения утечки информации через электросеть гальванически отвязывает свою внутренею электросеть с помощью мотора-генератора.
А это значит то, что ты должен питать свой ПК как минимум через ИБП двойного преобразования.
Через электросеть? Серьёзно? Как это вообще возможно?
подмешиваешь частоту к фазе снаружи. где-то внутри снимаешь с фазы. или на «землю», если нужно наружу что-то передать. возможно ошибаюсь в деталях, но общий принцип прмерно такой.
как уже выше сказали, двойное преобразование питания (из переменного в постоянное и обратно) подавляет такие примеси в фазе.
Параноики, в am3+ и старей вообще ничего такого нет. Начиная с Kaveri(fm2+) и Beema/Mullins, в них совали Cortex-A5 с ARM TrustZone, а доделали его до PSP c Carrizo/Bristol, Stoney. Так что до zen было уязвимо из-за PSP только одно поколение недесктопных устройств.
А можно пожалуйста какие-нибудь ссылки или более «официальные» названия по этой теме? А то я почти ничего из написанного не понимаю
в реальной жизни это работает примерно так… есть закрытое производство. нужно оттуда снимать внутренний трафик. находится поставщик оборудования на это производство. идешь к вендору, договариваешься с ним за денежку немного апгрейднуть их сетевое оборудование (на питании добавляется фильтр подмешанной частоты). потом идешь к местному энергоузлу откуда запитано это производство. подмешиваешь по всем фазам свой управляющий сигнал и ждешь, когда апгрейднутая железка воткнется в сеть. а дальше уже дело техники сливать все что проходит через эту сетевую железяку.
На счет «одно время предоставляли» не сильно уверен, PLC никогда не была популярной.
Перегенерация электричества появилась ещё до распространения компьютеров как таковых:
Например телефонные разговоры в электросети я наблюдал лично подключив компьютерные колонки через развязку и делитель напряжения к розетке своей квартиры.
Понятно что советское КГБ не могло допустить подобных утечек и просто отделилось от электросети перегенерацией электричества.
Ну а сейчас помимо всяких технологий типа PLC(Power line communication) специалистам удавалось восстанавливать картинки с экранов и часть циркулирующих по ПК данных.
Но я знаю тут только про сам факт, так что подробности ищи в дуксе.
Amd psp device что это
Многие наши читатели уверены, что процессоры AMD гораздо более надёжны, чем их конкуренты из синего лагеря. В пример приводятся уязвимости типа Spectre и Meltdown, а также другие дыры, позволяющие взять компьютер пользователя под контроль удалённо. Мало того, многие уверены, что в ходе многочисленных заплаток старые процессоры Intel стали работать медленнее. Несмотря на всё это есть мнение, что красные не так безопасны, как кажется. Всё дело в пристальном внимании экспертного сообщества, ведь рыночная доля процессоров Ryzen гораздо меньше по сравнению с последними четырьмя поколениями Core. Стоит понимать, что со стороны известных экспертов находятся как сторонники, так и критики обеих позиций, поэтому дать ответ на столь сложную дилемму может только время.
реклама
Ну а пока AMD официально подтвердила наличие большой дыры в процессорах Ryzen начиная с первого по последнее поколение. Что любопытно, первоначально звучали заявления, что уязвимость найдена только в Ryzen 1000, но после запроса исследовательской группы, официальная позиция была изменена, а производитель отметил, что уязвимость присутствует на всем материнских платах, начиная с серии A320 и заканчивая Х570. Это значит, что в группе риска все популярные чипсеты, включая В450 и В550. Сама уязвимость позволяет злоумышленникам проникать в компьютер и получать доступ к паролям пользователя, используя механизмы, аналогичные Spectre и Meltdown.
Поскольку о наличии уязвимости было известно заранее, AMD уже подготовила заплатку, полностью устраняющую проблему. К сожалению, мы не знаем, будут ли работать ваши процессоры медленнее, ведь ни эксперты, ни сама AMD на этот счёт не даёт никаких комментариев. Одновременно с этим сообщается, что затронуты также все процессоры серии Threadrippers, которые ранее считались максимально безопасными. Важно учитывать, что данные камни гораздо чаще устанавливаются в корпоративные системы, где хранятся пароли более высокого порядка и ценности.
В ходе выпуска заплатки AMD рекомендует всем пользователям обновить драйверы. Сделать это можно на официальном сайте. Перейдите на страницу поддержки продуктов и отыщите установленный у вас чипсет материнской платы. Скачайте файлы и продолжайте установку. Важно: поставьте флажок напротив AMD PSP Driver, как на изображении выше. В зависимости от производительности вашего компьютера и ряда других факторов процесс может продлиться от нескольких минут до пяти и более. После перезагрузки системы ваш компьютер будет защищён. Любите эксперименты? Вот вам тема для статьи: протестируйте ваш процессор Ryzen до установки заплатки и после. Наши читатели скажут вам за это спасибо, а работа заслужено оплачена. Изучить список все подверженных уязвимости процессоров можно ниже.
O que é o AMD PSP e como ele funciona no seu processador
O que é AMD PSP (Platform Security Processor)?
Como mencionamos antes, essa tecnologia atua de forma semelhante ao Intel CSE, mas tem uma grande diferença, que é no caso da AMD ele roda no nível do hardware e não o nível do software. De acordo com a definição da AMD, “É criado um ambiente seguro que divide o CPU em dois «mundos virtuais», permitindo que as tarefas mais delicadas sejam executadas neste processador seguro, enquanto o resto é executado no «mundo» Standard. Isso ajuda a garantir o armazenamento seguro e o processamento de dados confidenciais e aplicativos confiáveis, bem como a proteção da integridade e confidencialidade dos principais recursos. “
Essencialmente, o AMD PSP é um subsistema de ambiente de tempo de execução seguro integrado por processador. Ele é responsável por criar, monitorar e manter o ambiente de segurança e suas funções incluem gerenciar a sequência de inicialização do PC, iniciar mecanismos relacionados à segurança e monitorar o sistema em busca de qualquer atividade ou evento suspeito, implementando uma resposta apropriada aos mesmos.
Este pequeno processador dentro do processador tem seu próprio ROM e SRAM memória isolado do resto do sistema para evitar qualquer tipo de ataque ou vazamento às informações nele contidas. Além disso, de acordo com a AMD, ele possui um coprocessador integrado para criptografar os dados em algoritmos de todos os tipos (você os tem listados na imagem acima).
Isso evita todas as vulnerabilidades?
Definitivamente não. De fato, em setembro de 2017, um analista de segurança do Google relatou uma vulnerabilidade no próprio sistema AMD PSP, pelo qual um invasor poderia obter acesso a senhas, certificados e outras informações confidenciais do sistema usando o próprio sistema de segurança da AMD. A parte boa é que a AMD resolveu rapidamente esse problema com uma mera atualização de firmware.
Em março de 2018, a arquitetura Zen da AMD (usada nos processadores Ryzen, EPYC, Ryzen Pro e Ryzen Mobile) foi questionada por uma empresa de segurança israelense, que alegou ter conseguido «furtar» malware no próprio sistema AMD. PSP, algo que foi corrigido novamente pela AMD por meio de uma atualização de firmware.
Resumindo, este é um sistema que ajuda a melhorar a segurança e evitar vulnerabilidades, mas não é à prova de falhas. A parte boa é que, como vimos nos dois exemplos anteriores, a AMD tem facilidade para resolver qualquer tipo de problema, pois é uma vantagem que este ambiente seguro rode no nível do hardware.