Google想干掉服务器上的Intel ME和私有UEFI

HardenedLinux 写道 " 近日在捷克布拉格举行的 Open Source Summit 上 的工程师 Ron Minnich 谈到面对 Intel ME 和私有 UEFI 实现时 Google 感到很害怕 目前和其他一些厂商以及自由软件社区合作开发基于自由固件 coreboot 一个叫 NERF 的项目,NERF 是一个基于 内核的变种作为 coreboot 的 payload 运行在固件启动阶段,借鉴了之前另外一个名为 HEADS 的 coreboot payload 实现,因此 NERF 在固件阶段可以非常灵活的定制各类操作。coreboot 是一个完全开放源代码的固件项目所以不存在不可审计的问题(闭源固件的二进制审计成本过高),另一方面,coreboot 相比私有 UEFI 大大降低了攻击平面。 ME 方面,虽然今天很多应用是运行于 ME 平台上,但其安全方面不仅存在漏洞的风险,更存在后门的风险,所以一般核运行核心业务的机器都会禁用,这也是为什么 NSA 在作为可信保障规划的 HAP 项目中也禁用了 ME。HardenedLinux 社区的基础平台防御方案 Hardening the COREs 在最极端的场景下不仅开启 HAP bit(学习 NSA 的做法)禁用 Intel ME,同时也删除必要代码模块以外的所有模块包括 AMT 和 SGX,云计算场景中诱人的 feature 比如基础资产管理和 remote attestation 可以通过 OS 层面的实现和 meansuredboot+TPM 来实现,虚拟化层面则配合 PaX/Grsecurity 和定制 SMI 实现联动防御对抗逃逸和测信道,内核本身的加固可以参考 PaX/Grsecurity 的特性根据业务场景和威胁建模进行适配,只有当 RING 0 到 RING -3 的基础防御问题得到有效解决时我们才有精力真正意义上去 hacking RING -4 的世界,这次是真的应该给 Google 点个赞了;-)"

魅族MX3刷固件时提示固件损坏

我的一台MX3刷固件时候提示固件损坏,当前版本是Flyme OS 3.8.5A,想刷到Flyme OS 4.5.7A,尝试版本:

  • Flyme OS 4.2.8.1A,不行
  • Flyme OS 4.2.8.2A,不行
  • Flyme OS 4.5.5A,不行

最后下载Flyme OS 4.1.3.5A,升级成功,再刷Flyme OS 4.5.7A成功。

虽然是煤油,但是这里我深深的吐槽的是Android,难倒就不能像iOS一样直接慢慢升级?还备份?还清楚数据?好嘛,这些都忍了,TMD好多时候目录构架会变,比如原来根目录photo是图片,说不定哪个版本变为camera,再说不定哪个版本又变为DCIM/camera、DCIM/photo之类的,妈蛋咋个备份,亲,咋个备份。。