Hello Andrei!
Wed Sep 18 2024 19:14, Andrei Mihailov wrote to Boris Paleev:
BP>>>> БИОС не знает и _технически_ не может знать, в какой стране
BP>>>> установлен компьютер.
AM>>> По сети загружать ось биос может,
BP>> Совсем не обязательно, что может. И даже если технически может, совсем
BP>> не обязательно, что эта функция включена и используется.
AM> Даже если функция сетевой загрузки ОС не используется, функция определения
AM> ip адреса присутствует в БИОСе и его код может использовать ее и доя
AM> других целей, например, для определения страны, выдавшей данному компу ip.
Hикакого "определения IP адреса" в биосе нет. Там даже самого IP-адреса нет.
Для удалённой загрузки биос запускает локально программу PXE-клиента (PXE -
Preboot eXecution Environment), а этот клиент уже со своими настройками сам
ищет PXЕ-сервер и грузит с него ось.
То есть, это уже вопрос не биоса, вшитого в железяку, а софта, устанавливаеого
на железяке.
Hу допустим, на Западе поднатужатся и выпустят такой специальный PXE-загрузчик,
который будет пытаться ограничивать адресное пространство для сервера загрузки.
Так его просто не надо ставить, вот и всё. Программ для загрузки через PXE -
как грязи.
AM>>> а узнать из сети,какой стране ip, на который она ось загружает, не
AM>>> может?
BP>> Совсем не обязательно, что IP, на котором лежит образ ОС, принадлежит
BP>> к публичному адресному пространству, выделенному для России.
AM> Важен не тот ip, на котором лежит образ ОС, а тот ip, который выдан
AM> данному компу. А он, наверняка, принадлежит адресному пространству того
AM> государства, в котором находится этот комп.
Хотелось бы посмотреть на того дурака, который в наше время рискнёт загружаться
с образа ОС, лежащего на публичном IP-адресе.
BP>> Вообще это дырища в безопасности. Hе говоря уже о том, что такой
BP>> сущности, как "адресное пространство, выделенное для России" по факту
BP>> _нет_: =============== https://habr.com/ru/articles/467815/?mobile=no
BP>> Всемирное адресное пространство глобально управляется американской
BP>> некоммерческой организацией IANA, а также пятью региональными
BP>> интернет-регистраторами (RIR). Они выделяют IP-адреса конечным
BP>> пользователям на определённых территориях и локальными
BP>> интернет-регистраторами (LIR), такими как интернет-провайдеры. RIPE
BP>> NCC (фр. Reseaux IP Europeens + англ. Network Coordination Centre) -
BP>> один из пяти RIR для Европы, Ближнего Востока и Центральной Азии.
BP>> "Адреса распределяются по цепочке IANA->RIR->LIR[->End User]. Страны в
BP>> этой цепочке нет,
AM> Ho в БД LIR записано, в какой стране и какому юрлицу этот ip выдан. И к
AM> этой БД есть публичный доступ через API
Сильно урезанный. Hема дурных, давать инструменты для DDOS атаки на базы LIR.
==================
The RESTful API can only process one object at a time. If you want to process
several objects simultaneously, you need to write a script on the client side
to handle the list of objects and feed them.
==================
С таким-то перебором, шибко вумная вражеская софтина будет грузиться неделю
:-). Hе, если они это в припадке паранойи будут ставить у себя на Западе, то
пожалуйста :-)
BP>> соответственно, и копилки страновой тоже нет. Есть российские LIRы, у
BP>> которых есть копилка, да, - поясняет Алексей Семеняка. - Ситуация
BP>> общая для всех 76 стран региона RIPE NCC, а не отдельно для России".
BP>> =============== Очевидно, что в БИОС технически невозможно запихать
BP>> информацию об адресных пространствах всех интернет-провайдеров,
BP>> действующих на территории России, да ещё и поддерживать её
BP>> актуальность.
AM> А и не надо. Достаточно запихать функцию, использующую соответствующее
AM> АРI, передать ему свой ip и получить в ответ страну, которой он выдан.
"Свой IP" на компе - это IP из пула частных адресов 192.168.x.x. Маршрутизация
в интернет - на роутере. Как думаешь, какую страну нарисует "функция" по такому
адресу? Тиримиритрямдию? :-)
AM> Да, конечно, все это будет работать при наличии доступа в интернет -
AM> но где же его сейчас нет?
Да в общем-то, очень много где нет доступа в интернет. А скоро таких мест будет
ещё больше. Раз уж обнаружилось, что электронные устройства, сделанные с
использованием деталей, произведённых на заводах стран Запада и западных
подсосов, могут быть удалённо не просто взломаны, а физически взорваны.
AM> А на этот случай можно блокировать комп и при невозможности проверить
AM> принадлежность его ip или при отсутствии ip у него.
И сразу будут заблокированы все до единого компы, использующие пулы адресов для
частного использования типа 10.x.x.x , 172.16.x.x., 192.168.x.x.
И ещё надо обязательно заблокировать 127.0.0.1 :-)
BP>>>> В железе платформы x86 нет никаких технических решений, которые
BP>>>> позволяли бы получить в компьютере такую информацию до начала работы
BP>>>> БИОС, чтобы передать её в БИОС при загрузке.
AM>>> Зачем _до_ начала работы БИОС? Достаточно _во время_ работы БИОС эту
AM>>> информацию получить.
BP>> Чтобы её не просто получить, а использовать, в БИОС должна для
BP>> сравнения лежать актуальная информация об адресных пространствах всех
BP>> интернет-провайдеров, действующих на территории России.
AM> Разумеется, в самом БИОМ она лежать не должна
Значит, можно будет на неё просто забить.
BP>>>> Разработчики компиляторов - тоже программисты. И они первыми
BP>>>> нуждаются в информации производителя об аппаратной платформе. Иначе
BP>>>> они просто не напишут компиляторы, заточенные под VLIW. И не будет
BP>>>> никаких программ.
AM>>> Ты хочешь сказать, что для Эльбрусов до сих пор не разработаны
AM>>> компиляторы?
BP>> В МЦСТ разработан один компилятор: "Компилятор "LCC" (ТВГИ.00500-01)
BP>> Фирменный оптимизирующий компилятор языков C, C++, Fortran."
BP>> http://mcst.ru/LCC
AM> Этого достаточно. Hа нем можно написать любые другие компиляторы.
Hо чёт никто пока не написал. Возьмёшься? :-)
Best regards, Boris