Vlákno názorů k článku Čína nečekaně rychle dohnala Západ. Otestovali jsme ultrychlý SSD disk s čínskými hi-end čipy od Filip Jirsák - Jestli FF znamená Firefox, tak ten není psaný...

Jestli FF znamená Firefox, tak ten není psaný v Javě, ale v C++ a v C a Rustu, a nad tím pak je JavaScriptový kód.

Bohužel na politice je postaveno úplně všechno :(

O motivu mohu jen spekulovat, ale technicky to je možné a poměrně snadno, tím rozporuji tvrzení WIFTa, že když má "jen NVMe" rozhraní...

Bezpecnost samozrejme do IT patri. Proc si myslite ze to neni tema? A samozrejme politika v bezpecnosti hraje zasadni roli.

Otázka zní.. proč by se s něčím takovým dělali, když mají mnohem snadnější způsoby a je lepší cílit na konkrétní cíle.

nejde? Ale jdi ty ... když tě to zajímá, ukážu ti to.

NVMe sice primárně komunikuje s RC (root complex), který mu dává IO úkoly, ale prakticky ten disk sedí na PCI-e a má opravdu přístup do paměti přes DMA rozhraní a k ostatním PCI-e zařízením. Jediný, kdo mu stojí v cestě je IOMMU (v zásadě se bavíme asi jen o Intel VT-d / AMD-Vi).

No a jak to je s výchozím nastavením IOMMU napříč OS víme, nic moc. Passthrough se strká všude, protože vyšší výkon, na linuxu iommu.strict=1 jsem neviděl ani nepamatuji, spousta sousedících device v jedné iommu skupině naprosto běžné. Windows a Kernel DMA Protection, která jednou je, pak není.

Když začínalo M.2, měli jsme v práci mini fpga počítač, který simulovat M.2 a dovoloval nám debugovat komunikaci na sběrnicích, stačilo ho strčit do počítače.

Mysli na to, že nvme si klidně může protopit 5 - 10 W, to není málo, aby to neutáhlo slušný mini počítač a jediné, co tomu brání je IOMMU, které je ve výchozím nastavení převážně pololevé. Ta zákeřná komunikace probíhá mimo vědomí OS.

Vzdyt skoro 2 odstavce se dotykaji politicke situace. A ten clanek se zabyva tez politickymi duvody. Pokud tak nastavim clanek kde zminuji politiku proc neresit politicky pozadi? Ten clanek neni ryze technicky napr. ve smyslu vyrobni technologie nebo benchmarku.
Cela lupa casto zminuje politicke pozadi pripadne i dopady politickych rozhodnuti
A IT se posledni dekady dost zavisi na politice. Davno tomu jiz co jste si mohl relativne jako typicky o vnejsim svete nevzdelany inza z 80-90 let (mozna tak s cocomem jste se setkal) zit pod drnem a ignorovat politickou situaci v IT a venovat se ciste jen technice.

Ne. Politiku do toho tahal Jan Forman, když bez sebemenšího důkazu tvrdil, že "všechno co někdo vymyslel a přičetl Číně už se dávno událo na západě s mnohem větší vervou." Což je prostě nesmysl.

A i když jste byl nejspíš stejně jako já vzdělávaný v nesmyslně oddělených kategoriích českého školství, kde zeměpis nemá žádné souvislosti s dějepisem nebo občankou/spole­čenskými vědami, takže hranice zemí vznikají zcela nahodile a dějinné konflikty neutváří hranice společenství a čeština je od informatiky oddělená, takže gramatické chyby v textech ve Wordu se neopravují, stejně jako se ve slohovkách neopravují typografické chyby, je dobré pochopit, že svět je propojený a nelze chápat technologický vývoj bez pochopení sociálních, geografických a ekonomických souvislostí.

Technologický vývoj a jeho směřování v Číně je přímý důsledek geopolitických rozhodnutí, to nelze ignorovat.

Taháte do toho politiku a ano ČLR je špatná , bez ohledu jestli ten disk je ne není špatný. To je téma mimo IT a primárně sem nepatří.

Vseobecne: podepsana binarka nic neznamena. FF je v jave (treva do omni.ja sahnete jednoduse). I treba upravit chrome.dll se da pomalu v pspadu.

Co vsechno praska TPM (zejmena 2) uz tady nekdo psal. Proste dalsi zajmova skupina ve fronte na vase data, ehm "pro dobro uzivatelu"

Takže všechno co někdo vymyslel a přičetl Číně už se dávno událo na západě s mnohem větší vervou.
Na VŠ nám říkali o důkazu autoritou ("je to tak, protože to říkám"), ale o důkazu šmahem slyším teda až teď - znám jeden případ kdy to tak bylo, takže je to tak vždycky...
Je to teď v Evropě takový nový národní sport říkat, že Čína je vlastně vždycky fajn a západ vždycky fuj, že?

Ano už to tu bylo lépe řečeno v rámci akademických diskuzí co je vše možné, to jaksi vynechávalo \ zjednodušovalo co vše bylo potřeba dodržet aby se útok povedlo , jak to bylo detekovatelné a odstranitelné.. ...to mnohdy tak bombastické není.

Základ je že samotný disk prostě kanál ven nemá, ten mu musí udělat nějaký SW....

On i západ má s podobnými "vychytávkami" dlouhodobé zkušenosti v reálném provozu. Pamatuju si například na sledovací SW přímo v BIOSu, který při bootu napadl Windows a instaloval si do něj svojí binárku pro dohled.
Takže všechno co někdo vymyslel a přičetl Číně už se dávno událo na západě s mnohem větší vervou.
Nedůvěryhodné je prostě cokoliv, co nezauditujete a je jedno kdo to vyrábí.

Popusť svoji představivost - přes ten disk jdou všechny data. Co když prostě modifikuje přímo ty binárky co uživatel spouští a injektuje do nich kód co z operačního systému zavolá domů? A nebo úplně jednoduše změní soubor /etc/hosts tak, že google.com přesměruje na čínskou IP adresu?

Jo, tyhle dva případy se dají říct, že jsou teoreticky nepravděpodobné (binárky firefoxu jsou podepsané, google má platný certifikát), ale chci tím říct, že ten disk může dělat skoro cokoliv - je to vlastně takový napevno zabudovaný rootkit...

Kdysi někdo zjistil, že v harddiscích běží napadnutelný firmware, přes který jdou všechna data a zjistil, jak ten firmware exploitnout. V té době se řešilo, co se takovým útokem dá dosáhnout...

NVMe je protokol nad PCIe. Dokud mám standardní OS se standardními drivery, nečekal bych problém. Ale po zkušenostech s různými akčními kamerkami DJI, robovysavači, čínským kamerovým systémem, dokonce i bezdrátovými mikrofony, bych se vůbec nedivil, kdyby se disk musel registrovat pomocí speciální aplikace, která také "odemkne prémiové funkce". Ta by se pochopitelně tahala z čínských serverů přes HTTP z nějaké pochybné IP, tak jak je to u čínských produktů standardem, instalační balíček by měl minimálně půl giga a instaloval by se pod adminem...

Jiná cesta jsou "optimalizované drivery" (viz čip CH340, který ač standardní USB-UART převodník, vyžaduje ve Widlích vlastní čínský driver, kterým je potřeba si infikovat systém, čistě kvůli komunikaci s Arduinem).

V neposlední řadě bych se nedivil, kdyby si firmware čínské základní desky povídal s firmware čínského disku, aniž by o tom věděl OS. Koneckonců tenhle model známe i z USA (Intel AMT Vulnerability CVE-2017-5689).

Hmm, zajímalo by mě, jak by "disk" (klidně tomu tak říkejme) mohl provádět nějakou nechtěnou komunikaci, když má k dispozici jen NVMe standardizované rozhraní. Tudy jaksi nejde svévolně komunikovat, kam se mu zachce, nebo někoho napadá, jak by takový disk mohl uniknout ze spárů standardního NVMe driveru a "posílat" nějaká data jinam, než se po něm chce? To, že to má v sobě malý počítač, je sice hezké, ale pokud v OS neuvidíte jiný device než NVMe disk, tak prostě máte jen NVMe disk. Ti nejparanoidnější by se mohli domnívat, že to má ještě WiFi rozhraní nebo 5G a svévolně posílat data bokem, to ale na úrovni toho PC neodhalíte.

16. 3. 2026, 08:23 editováno autorem komentáře