Vlákno názorů k článku USBGate: Češi vyvinuli zařízení na zabezpečení počítačů. Zákazníkem je i stát od gs - Usb hub to neni, pro system se to...

Usb hub to neni, pro system se to chova jako HID zarizeni.
Usb hub ja az za CPU

Z pohledu technologie:
- Na fyzické úrovni tahle možnost není -> zablokuje zařízení na úrovni SW.
- Blokace na úrovni SW znamená, že se zařízení musí identifikovat -> proběhne jeho init (adresace, čtení EP0, dohodnutí rychlosti,..), nelze blokovat low level.
- Další možnost blokace je nenačtení ovladače, ale to by pak nefungovalo ani za tímhle bazmekem, který je z pohledu USB normální hub.
- Alernativou je spustit ovladače v tom bazmeku a předávat data tunelem. Ovladač je dílo, má licenční podmínky užití a přehození na jinou platformu (pokud v krabičce není x86 se stejným OS) může být právní problém.
- Další alternativou je vlastní ovladač a tunelování dat, v bulk módu problém s časováním ACK.

Z pohledu jejich návodu k užití (bod o instalaci bez technika):
- U Linuxu jsou ovladače v jádře -> vyžaduje instalaci patchovanýho jádra -> vlastní distro.
- Alternativní zavedení ovladačů na Linuxu přes MODPROBE vyžaduje, aby byl ten, kdo to dělá SUDOER nebo měl heslo k rootu. Není potřeba technik -> bude to dělat z konzoly znalý uživatel s právy roota (= může v systému dělat absolutně cokoliv).
- Na Windows by nastalo hledání ovladače -> pokud to není standardní hub, tak nutnost znát URL + práva, nebo použití CD/DVD/USB na stroji, kde je asi CD/DVD zakázáno kvůli bezpečnosti -> technik
- Nutnost zakázat ostatní porty -> zásah technika.
- Mám zkušenost z dřívějška (už naštěstí Widle neřeším), že přehození klávesnice do switche při zamčeným stroji se ovladač klávesnice instaloval až po odemčení stroje. A nepomohlo ani přepíchnutí zpět, ani restart. Až strá PS/2 klávesnice a povolení PS/2 v BIOSu. Pokud to soudruzi z Redmondu nefixli, tak to BFU bez technika nedá...

A takhle by se dalo pokračovat. Prostě je to hub, co se dokáže odpojit. A jakákoliv bezpečnost nenní o téhle krabičce, ale o tom, jak si IT nakonfiguruje PC (přístup k HW). Takže to, že produkt zajistí bezpečnost, je hodně odvážný tvrzení.

https://www.usbgate.cz/
5. KROK
IT administrátor klienta nastaví na všech počítačích v rámci bezpečnostní politiky jediné povolené USB zařízení USBGate

Ne nechápete, chce to lépe číst než něco napíšete.

Mimochodem co to bude dělat se zařízeními, které se s huby nekamarádí?

To pak ale můžete vyřešit rovnou softwareově a nepotřebujete na to nějakou krabku s neznámou spolehlivostí a bezpečností.

Poslední svou větou jste přesně poznal, jaký je skutečný účel uvedeného projektu.

K čemu potom takové zařízení je? Když už je tam SW závislý na typu/verzi OS, tak to už potom jde tohle řešit komplet SW s běžně dostupnou RFID čtečkou... Podobné HW může být oproti SW zásadně výhodné tehdy, kdy nevyžaduje SW instalaci, ale pak je nutné fyzicky zamezit přísupu k portům, což zde zjevně neplatí - upstream kabel je přes konektor. Tudíž nějak nechápu smysl tohoto zařízení - kromě toho, že se tím dá podojit státní rozpočet.

Že to zní jednoduše, ještě neznamená, že by to nefungovalo. Nevzpomínáte si, jak nějaká firma s velkou slávou uvedla systém na ochranu proti kopírování DVD, na jehož vývoj dala několik set miliónů dolarů, a už při slavnostní převaděčce jim bylo předvedeno, že na obejítí stačí zakázat autorun?

Podpora Win + snadná instalace do několika minut: nesahá se do systému -> porty fungují -> stačí přepíchnout kabel jinam a jede se bez karty.
Podpora Linuxu + snadná instalace do několika minut: není v repozitářích -> přijde o auto upgrade nebo nesahá do systému

Btw, USB2.0 huby jsou s 2, 4 nebo 7 porty. Počítej se mnou:
4 porty jdou ven.
V případě ovladače je potřeba další USB downlink pro interní procesor.
Takže - buďto nekomunikuje, ale to znamená že jede bez ovladače, nebo je tam 7p hub a dva porty zazdili, nebo je tam prasárna 4p+2p...

Nezní takový způsob obcházení moc jednoduše? Z těchto důvodu se instaluje do OS driver, který zakazuje USB zařízení, zapojena mimo tento HUB :D

Chápu dobře, že je to normální blokovaný USB hub? Takže když si někdo píchne dongle od bezdrátové klávsnice/myši do USB vzadu za komplem a vidí na monitor (nebo si odvede druhý video výstup), tak může cokoliv? Hodně slabý.

A stavět na tom kšefty? Zdá se, že je tam normální USB hub, jednočip a RFID čtečka. Tipnul bych to na TUSB4041 + nějaký AVR/PIC/Cortex + TWN4 core modul. A jednočip prostě vypne napájení USB portům. Primitivní, easy pro obejítí, ale asi jim zdání zabezpečení stačí...