News Threadripper Pro: Lenovo bindet CPUs per AMD PSB an eigene Systeme

[mifritscher]

Richtig heftig finde ich ja, dass da CPUs einfach mal heimlich gebrandet werden, sobald der drinne steckt. Auch in sog. professionellen Umfelden kommt ein Testtausch gerne mal vor. Wenn man sich dadurch die CPU unbrauchbar macht - na Klasse! Meines Erachtens sollte das UEFI zumindest beim booten nachfragen - oder das Feature gleich optional machen. Wer es will kann es im UEFI aktivieren, wer nicht dann eben nicht.
Das ganze trifft übrigens noch einen Userkreis ganz massiv: Coreboot. Und ja, das wird gerade im prof. Umfeld häufiger verwendet als man denkt - gerade auch bei Servern. Eben weil man dem üblichen UEFI nicht traut.

Wie funktioniert der "Lock" eigentlich technisch? Lädt der beim Start das komplette UEFI in den RAM und verifiziert das? Weil nachladen vom ROM ist ja nicht - das ist viel zu leicht zur Laufzeit ausgetauscht - auch während der Initialisierungsphase.

 

[AGB-Leser]

Macht ja auch Sinn, bevor alles umsonst getauscht wird... Manche Software hängt ja auch schließlich verzweifelt an der Hardware, da kann's mitm schnellen Tausch gerne ma Probleme geben.

Außerdem wollen andere schließlich an gute gebrauchte Leasingrückläufer rankommen

Ergänzung (7. April 2021)

Das ganze trifft übrigens noch einen Userkreis ganz massiv: Coreboot

Ist das nicht eigentlich ein BiOS-Ersatz? Denn dann wären die ja garnicht betroffen, oder? Ich weiß aber immer noch nicht, wer da den Abschussbefehl letztendlich gibt. Das UEFI oder der Prozessor? Wenn's der Prozessor ist, hilft Coreboot ja leider auch nicht

 

[Pitt_G.]

@NguyenV3 und wenn dann der Server nimmer startet, dann ist das u.U. schlimmer als jede Kompromitierung, da kann man dann hoffen es gibt doch noch eine Backdoor.
Bis was neues rangekarrt wird dauert auch, und dass die 20 und mehr anderen Server daneben im Zeitalter von AD GPs und Homogenität nicht auch infiziert sind? Es geht hier doch nur darummdie Hardware an den Hersteller zu binden so wiemich das sehe, eine Art OEM CPU, in DR war das zumindest bei Software mal gar nicht legal, OEM HDDs waren vor 20 Jahren das Geschäft mit denen Shops wie KM billiger anbieten konnte

Andere Hersteller sind so frech und machen Branding und Versions Checks auf SFP (+) Transceiver Modulen innerhalb des Herstellers selbst.

Da entscheidet ob ein SFP Modul in einen Switch passt oder nicht ein simpler Buchstabe trotz gleicher Spezifikation und in Server des gleichen Herstellers darf man sie aber gar nicht verbauen...

Auf dem Weg soll mMn verhindert werden dass Gebrauchtware am Markt landet und wiederverwendet wird.
Das Server SFP Modul ist wahrscheinlich noch extra teuer.

 

[NguyenV3]

@NguyenV3
Auf dem Weg soll mMn verhindert werden dass Gebrauchtware am Markt landet und wiederverwendet wird.
Das Server SFP Modul ist wahrscheinlich noch extra teuer.

Also wenn ich diesen Artikel hier lese, habe ich den Eindruck, dass es ein optionales "Feature" ist. Damals hat sich Dell wohl für einige Bereiche explizit diese Funktion gewünscht. Der OEM hat sich seine eigene OEM CPU aktiviert und damit bewusst auf den möglichen Wiederverkauf verzichtet. Als gewinnorientiertes Unternehmen wäre das ansonsten eine sehr irrationale Entscheidung, aber anscheinend galt für Dell:

Sicherheit > Wiederverkaufserlöse bzw. Wiederverwendung

AMD hat dazu ja auch ein Statement abgegeben (siehe Quelle oben). Es ist wohl einfach im Mainboard aktivierbar, ob die eingebaute CPU (einmalig und für immer) gelocked werden soll:

Spoiler

...AMD processors are shipped unlocked from the factory, and can initially be used with any OEM’s motherboard. But once they are used with a motherboard with PSB enabled, the security fuses will be set, and from that point on, that processor can only be used with motherboards that use the same code signing key."

 

[textract]

Genau das hatte der "professionelle" Dell Support innerhalb der Supportzeit mal bei einem Server für über 10k€ verlangt: Dass wir einen Kreuztausch der CPUs machen (hatten mehrere Server derselben Sorte)

Wer sich freiwillig Dell ins RZ stellt, ist auch selbst Schuld.

 

[mifritscher]

Wer sich freiwillig Dell ins RZ stellt, ist auch selbst Schuld.

Ich war damals an der Auswahl des Herstellers nicht beteiligt^^

 

[mgutt]

Was sind da eigentlich nun wirklich die Vorteile für Sicherheit? Weil so ganz schlau werde ich da aus all den Informationen nicht.

Du kennst doch India Jones wo er den Sandsack gegen die Statue tauscht. Genau das selbe machst du nun, in dem du den Threadripper gegen 5 Intel Atom ersetzt. Das Gewicht muss natürlich passen. Da hatte Indie verkackt. Wobei... Vielleicht war der Tempel auch von Lenovo erbaut worden.

 

[Pitt_G.]

@NguyenV3 es gibt Firmen die leasen Hardware aus unterschiedlichsten Gründen, wenn da nach 3 Jahren eine u.U. ganz passable CPU wieder am Markt ist macht das schon was, teils bekommt man in Bilig Geräten öfters so was wieder angeboten. Bin gespannnt wie die Leasing Firmen drauf reagieren, bzw ob Sie das überhaupt mitbekommen., Wobei man so sicherstellt dass keine Leichenfledderei begangen wird sonder gleich das Komplettsystem genommen wird. Hardware auseinandernehmen will u.U. auch manche Clientel nicht, ausser es würde sich wirklich lohnen.
Früher haben Hersteller mit Trade ihre Hardware wieder vom Markt geholt hauptsache wieder ein neues Modell verkauft und dem Grau Markt freigehalten. Wobei das das Einsteigen von zukünftigen Ökosystem Neukunden übernatürlich auch etwas schwer gemacht hat, Upgradern sowieso. Zusätzlich werden heute vermehrt plötzlich Sicherheitsprobleme oder Herstellungsfehler ab gewissen Zeitpunkten gesichtet.