Vlákno názorů k článku USBGate: Češi vyvinuli zařízení na zabezpečení počítačů. Zákazníkem je i stát od Petr M - Chápu dobře, že je to normální blokovaný USB...

Chápu dobře, že je to normální blokovaný USB hub? Takže když si někdo píchne dongle od bezdrátové klávsnice/myši do USB vzadu za komplem a vidí na monitor (nebo si odvede druhý video výstup), tak může cokoliv? Hodně slabý.

A stavět na tom kšefty? Zdá se, že je tam normální USB hub, jednočip a RFID čtečka. Tipnul bych to na TUSB4041 + nějaký AVR/PIC/Cortex + TWN4 core modul. A jednočip prostě vypne napájení USB portům. Primitivní, easy pro obejítí, ale asi jim zdání zabezpečení stačí...

Že to zní jednoduše, ještě neznamená, že by to nefungovalo. Nevzpomínáte si, jak nějaká firma s velkou slávou uvedla systém na ochranu proti kopírování DVD, na jehož vývoj dala několik set miliónů dolarů, a už při slavnostní převaděčce jim bylo předvedeno, že na obejítí stačí zakázat autorun?

K čemu potom takové zařízení je? Když už je tam SW závislý na typu/verzi OS, tak to už potom jde tohle řešit komplet SW s běžně dostupnou RFID čtečkou... Podobné HW může být oproti SW zásadně výhodné tehdy, kdy nevyžaduje SW instalaci, ale pak je nutné fyzicky zamezit přísupu k portům, což zde zjevně neplatí - upstream kabel je přes konektor. Tudíž nějak nechápu smysl tohoto zařízení - kromě toho, že se tím dá podojit státní rozpočet.

Nezní takový způsob obcházení moc jednoduše? Z těchto důvodu se instaluje do OS driver, který zakazuje USB zařízení, zapojena mimo tento HUB :D

https://www.usbgate.cz/
5. KROK
IT administrátor klienta nastaví na všech počítačích v rámci bezpečnostní politiky jediné povolené USB zařízení USBGate

To pak ale můžete vyřešit rovnou softwareově a nepotřebujete na to nějakou krabku s neznámou spolehlivostí a bezpečností.

Z pohledu technologie:
- Na fyzické úrovni tahle možnost není -> zablokuje zařízení na úrovni SW.
- Blokace na úrovni SW znamená, že se zařízení musí identifikovat -> proběhne jeho init (adresace, čtení EP0, dohodnutí rychlosti,..), nelze blokovat low level.
- Další možnost blokace je nenačtení ovladače, ale to by pak nefungovalo ani za tímhle bazmekem, který je z pohledu USB normální hub.
- Alernativou je spustit ovladače v tom bazmeku a předávat data tunelem. Ovladač je dílo, má licenční podmínky užití a přehození na jinou platformu (pokud v krabičce není x86 se stejným OS) může být právní problém.
- Další alternativou je vlastní ovladač a tunelování dat, v bulk módu problém s časováním ACK.

Z pohledu jejich návodu k užití (bod o instalaci bez technika):
- U Linuxu jsou ovladače v jádře -> vyžaduje instalaci patchovanýho jádra -> vlastní distro.
- Alternativní zavedení ovladačů na Linuxu přes MODPROBE vyžaduje, aby byl ten, kdo to dělá SUDOER nebo měl heslo k rootu. Není potřeba technik -> bude to dělat z konzoly znalý uživatel s právy roota (= může v systému dělat absolutně cokoliv).
- Na Windows by nastalo hledání ovladače -> pokud to není standardní hub, tak nutnost znát URL + práva, nebo použití CD/DVD/USB na stroji, kde je asi CD/DVD zakázáno kvůli bezpečnosti -> technik
- Nutnost zakázat ostatní porty -> zásah technika.
- Mám zkušenost z dřívějška (už naštěstí Widle neřeším), že přehození klávesnice do switche při zamčeným stroji se ovladač klávesnice instaloval až po odemčení stroje. A nepomohlo ani přepíchnutí zpět, ani restart. Až strá PS/2 klávesnice a povolení PS/2 v BIOSu. Pokud to soudruzi z Redmondu nefixli, tak to BFU bez technika nedá...

A takhle by se dalo pokračovat. Prostě je to hub, co se dokáže odpojit. A jakákoliv bezpečnost nenní o téhle krabičce, ale o tom, jak si IT nakonfiguruje PC (přístup k HW). Takže to, že produkt zajistí bezpečnost, je hodně odvážný tvrzení.

Poslední svou větou jste přesně poznal, jaký je skutečný účel uvedeného projektu.

Mimochodem co to bude dělat se zařízeními, které se s huby nekamarádí?

Usb hub to neni, pro system se to chova jako HID zarizeni.
Usb hub ja az za CPU

Podpora Win + snadná instalace do několika minut: nesahá se do systému -> porty fungují -> stačí přepíchnout kabel jinam a jede se bez karty.
Podpora Linuxu + snadná instalace do několika minut: není v repozitářích -> přijde o auto upgrade nebo nesahá do systému

Btw, USB2.0 huby jsou s 2, 4 nebo 7 porty. Počítej se mnou:
4 porty jdou ven.
V případě ovladače je potřeba další USB downlink pro interní procesor.
Takže - buďto nekomunikuje, ale to znamená že jede bez ovladače, nebo je tam 7p hub a dva porty zazdili, nebo je tam prasárna 4p+2p...

Ne nechápete, chce to lépe číst než něco napíšete.