Názory k článku Čína nečekaně rychle dohnala Západ. Otestovali jsme ultrychlý SSD disk s čínskými hi-end čipy

Hmm, zajímalo by mě, jak by "disk" (klidně tomu tak říkejme) mohl provádět nějakou nechtěnou komunikaci, když má k dispozici jen NVMe standardizované rozhraní. Tudy jaksi nejde svévolně komunikovat, kam se mu zachce, nebo někoho napadá, jak by takový disk mohl uniknout ze spárů standardního NVMe driveru a "posílat" nějaká data jinam, než se po něm chce? To, že to má v sobě malý počítač, je sice hezké, ale pokud v OS neuvidíte jiný device než NVMe disk, tak prostě máte jen NVMe disk. Ti nejparanoidnější by se mohli domnívat, že to má ještě WiFi rozhraní nebo 5G a svévolně posílat data bokem, to ale na úrovni toho PC neodhalíte.

16. 3. 2026, 08:23 editováno autorem komentáře

NVMe je protokol nad PCIe. Dokud mám standardní OS se standardními drivery, nečekal bych problém. Ale po zkušenostech s různými akčními kamerkami DJI, robovysavači, čínským kamerovým systémem, dokonce i bezdrátovými mikrofony, bych se vůbec nedivil, kdyby se disk musel registrovat pomocí speciální aplikace, která také "odemkne prémiové funkce". Ta by se pochopitelně tahala z čínských serverů přes HTTP z nějaké pochybné IP, tak jak je to u čínských produktů standardem, instalační balíček by měl minimálně půl giga a instaloval by se pod adminem...

Jiná cesta jsou "optimalizované drivery" (viz čip CH340, který ač standardní USB-UART převodník, vyžaduje ve Widlích vlastní čínský driver, kterým je potřeba si infikovat systém, čistě kvůli komunikaci s Arduinem).

V neposlední řadě bych se nedivil, kdyby si firmware čínské základní desky povídal s firmware čínského disku, aniž by o tom věděl OS. Koneckonců tenhle model známe i z USA (Intel AMT Vulnerability CVE-2017-5689).

Popusť svoji představivost - přes ten disk jdou všechny data. Co když prostě modifikuje přímo ty binárky co uživatel spouští a injektuje do nich kód co z operačního systému zavolá domů? A nebo úplně jednoduše změní soubor /etc/hosts tak, že google.com přesměruje na čínskou IP adresu?

Jo, tyhle dva případy se dají říct, že jsou teoreticky nepravděpodobné (binárky firefoxu jsou podepsané, google má platný certifikát), ale chci tím říct, že ten disk může dělat skoro cokoliv - je to vlastně takový napevno zabudovaný rootkit...

Kdysi někdo zjistil, že v harddiscích běží napadnutelný firmware, přes který jdou všechna data a zjistil, jak ten firmware exploitnout. V té době se řešilo, co se takovým útokem dá dosáhnout...

On i západ má s podobnými "vychytávkami" dlouhodobé zkušenosti v reálném provozu. Pamatuju si například na sledovací SW přímo v BIOSu, který při bootu napadl Windows a instaloval si do něj svojí binárku pro dohled.
Takže všechno co někdo vymyslel a přičetl Číně už se dávno událo na západě s mnohem větší vervou.
Nedůvěryhodné je prostě cokoliv, co nezauditujete a je jedno kdo to vyrábí.

Ano už to tu bylo lépe řečeno v rámci akademických diskuzí co je vše možné, to jaksi vynechávalo \ zjednodušovalo co vše bylo potřeba dodržet aby se útok povedlo , jak to bylo detekovatelné a odstranitelné.. ...to mnohdy tak bombastické není.

Základ je že samotný disk prostě kanál ven nemá, ten mu musí udělat nějaký SW....

Takže všechno co někdo vymyslel a přičetl Číně už se dávno událo na západě s mnohem větší vervou.
Na VŠ nám říkali o důkazu autoritou ("je to tak, protože to říkám"), ale o důkazu šmahem slyším teda až teď - znám jeden případ kdy to tak bylo, takže je to tak vždycky...
Je to teď v Evropě takový nový národní sport říkat, že Čína je vlastně vždycky fajn a západ vždycky fuj, že?

Taháte do toho politiku a ano ČLR je špatná , bez ohledu jestli ten disk je ne není špatný. To je téma mimo IT a primárně sem nepatří.

Vseobecne: podepsana binarka nic neznamena. FF je v jave (treva do omni.ja sahnete jednoduse). I treba upravit chrome.dll se da pomalu v pspadu.

Co vsechno praska TPM (zejmena 2) uz tady nekdo psal. Proste dalsi zajmova skupina ve fronte na vase data, ehm "pro dobro uzivatelu"

nejde? Ale jdi ty ... když tě to zajímá, ukážu ti to.

NVMe sice primárně komunikuje s RC (root complex), který mu dává IO úkoly, ale prakticky ten disk sedí na PCI-e a má opravdu přístup do paměti přes DMA rozhraní a k ostatním PCI-e zařízením. Jediný, kdo mu stojí v cestě je IOMMU (v zásadě se bavíme asi jen o Intel VT-d / AMD-Vi).

No a jak to je s výchozím nastavením IOMMU napříč OS víme, nic moc. Passthrough se strká všude, protože vyšší výkon, na linuxu iommu.strict=1 jsem neviděl ani nepamatuji, spousta sousedících device v jedné iommu skupině naprosto běžné. Windows a Kernel DMA Protection, která jednou je, pak není.

Když začínalo M.2, měli jsme v práci mini fpga počítač, který simulovat M.2 a dovoloval nám debugovat komunikaci na sběrnicích, stačilo ho strčit do počítače.

Mysli na to, že nvme si klidně může protopit 5 - 10 W, to není málo, aby to neutáhlo slušný mini počítač a jediné, co tomu brání je IOMMU, které je ve výchozím nastavení převážně pololevé. Ta zákeřná komunikace probíhá mimo vědomí OS.

Otázka zní.. proč by se s něčím takovým dělali, když mají mnohem snadnější způsoby a je lepší cílit na konkrétní cíle.

O motivu mohu jen spekulovat, ale technicky to je možné a poměrně snadno, tím rozporuji tvrzení WIFTa, že když má "jen NVMe" rozhraní...

Informace o tom že RAMagedon tedy i problém SSD by mohla brzy vyřešit Čína se mnoha "západním" prodejcům a výrobcům moc nelíbí. Protože to muže home, game a soho segment už úplně z jejich pohledu zastavit.

V home, game a soho segmentu je prostě hardware moc starý , ani snaha to nakopnout HW požadavky na Win11, nebo tanečky okolo lokální Ai ekonomický zázrak nepřináší. HW tedy stárne a stačí i ten průměrně 5-7 let starý.

Tedy výhledy že místo 4TB disku člověku prodají jen 512GB s výhledem že ti lidé si začnou platit cloud se prodejcům a poskytovatelům služeb vlastně hodí. To že

Spokojený zákazník který kupuje HW jednou za 5-10 let a mezitím o něj ani nezavadí je nezajímavý zákazník.

Výrobci , poskytovatelé a prodejci chtějí pravidelné měsíční platby.

Do postaršího HP EliteDesk 800 G4 jsem před 2 roky koupil čínský SSD SATAIII KingSpec 512GB na domácí užití (dožití kompu s dual Win11/Ubuntu). Zatím bez problémů. Jaké jsou "vnitřnosti" nevím. Cena o 1/3 nižší, než co bylo na českém trhu.
https://www.kingspec.com/product/25-inch-sata-ssd-p3-series.html
A kupování mozků je taktika nevýjimečná, provádí ji všichni, kdo má kapitál. Například Tesla USA u autobaterií.

16. 3. 2026, 16:03 editováno autorem komentáře

Napřed z Wu-chanu vypustili do světa Covid-19, teď zase rychlé paměťové čipy. S čím přijdou příště?

Mě minulé pondělí přišlo z Číny miniPC GMKTec EVO-T1 a je v něm osazen SSD této značky, byť ne tak vrcholový model - YMTC PC411-2TB-B. Chodí to takto

------------------------------------------------------------------------------
CrystalDiskMark 9.0.2 x64 (C) 2007-2026 hiyohiyo
                                  Crystal Dew World: https://crystalmark.info/
------------------------------------------------------------------------------
* MB/s = 1,000,000 bytes/s [SATA/600 = 600,000,000 bytes/s]
* KB = 1000 bytes, KiB = 1024 bytes

[Read]
  SEQ    1MiB (Q=  8, T= 1):  6964.361 MB/s [   6641.7 IOPS] <  1202.66 us>
  SEQ    1MiB (Q=  1, T= 1):  4460.911 MB/s [   4254.3 IOPS] <   234.91 us>
  RND    4KiB (Q= 32, T= 1):  1144.023 MB/s [ 279302.5 IOPS] <    64.62 us>
  RND    4KiB (Q=  1, T= 1):    81.545 MB/s [  19908.4 IOPS] <    50.15 us>

[Write]
  SEQ    1MiB (Q=  8, T= 1):  6411.520 MB/s [   6114.5 IOPS] <  1306.12 us>
  SEQ    1MiB (Q=  1, T= 1):  5590.537 MB/s [   5331.6 IOPS] <   187.42 us>
  RND    4KiB (Q= 32, T= 1):   985.081 MB/s [ 240498.3 IOPS] <    30.55 us>
  RND    4KiB (Q=  1, T= 1):   296.968 MB/s [  72502.0 IOPS] <    13.71 us>

Profile: Default
   Test: 1 GiB (x3) [C: 23% (434/1907GiB)]
   Mode: [Admin]
   Time: Measure 5 sec / Interval 5 sec
   Date: 2026/03/13 1:21:04
     OS: Windows 11 Pro 25H2 [10.0 Build 26200] (x64)