2024/01/29

Análisis de entrega de material ciberciruja

Un poco como actualización de wipe, donde explico cómo disponer de modo seguro y eficiente de medios magnéticos y señalo lo ineficiente que me resultó donar material de computación, cosa sobre la cual reflexiono y vuelvo a recalcar en cyberciruja 2023, a raiz de la experiencia del domingo 2024-01-28, reviso un poco esas ideas.


Por motivos personales tuve que hacer una purga y disponer de bastante material, calculo que un tercio de metro cúbico, detallado en material cyberciruja (Listado de la purga 2024/01/28)

 

Parte del lote
Parte del lote

 


El método consiste en preparar el lote (algún detalle extra más abajo en "Actividad común a cualquier metodología de donación"), coordinar con el grupo cyberciruja ubicación y fecha/hora, conseguir transporte, solicitar la ayuda de una o dos personas, llevar todo, explicar a quien manifieste interés por cada pieza qué es, para qué sirve y su estado y listo.


En comparación a experiencias anteriores, resultó muy eficiente. Para cada pieza  de wipe calculo que le habré dedicado dos horas promedio pese a que cada una podía ser más interesante que cualquiera del lote actual y llevó meses en tiempo bruto. En este caso mi esfuerzo invertido fué más o menos este:

 

Tiempo bruto

 

Desde que me decidí hasta que ocurrió dos semanas, pero pudo haber sido una.

 

Tiempos netos

 

Menos de 10 horas, incluyendo la disposición segura

 

Conseguir cajas

 

20 minutos repartido en varios días

 

Elegir que purgar

 

2 horas, la clave es elegir poco, si hay algo que es muy interesante, como por ejemplo una dataset de commodore o unas netbooks del gobierno de las primeras y hace falta hacer el borrado seguro, descartar y dejar para otra oportunidad.

 

Coordinar en el grupo

 

menos de 2 horas, es avisar "tengo todo esto, ayúdenme, cuándo podemos?"

 

Llevar todo al parque

 

1 hora, depende de la distancia y el volumen de cosas....

 

Explicar y repartir

 

2 horas, compartido por las personas presentes. Primero hay que atender al cyberciruja. Segundo hay que avisarle a quien pasa que el material está disponible y sus condiciones de gratuitidad. En ambos casos, explicar lo que sepas de la pieza en cuestión, si funciona, si es a probar o reparar.

 

Actividad común a cualquier metodología de donación


Y ahí es dónde entra al seguridad, es el tema de que los medios magnéticos no deben contener información. Esto implica borrado "seguro" o destrucción.

En este caso hubo un solo borrado de un ide de 80GB.

Tenía unos diez discos rígidos que no funcionaban asi que no se podían borrar, pero al ignorar que información tenían, no podía tampoco entregarlos. Puede parecer medio estúpido pero así funciona mi mente.

Lo que hice fué desarmarlos (de ahí salió "montón boards de discos rígidos") para quedarme con los platos, los motores y los imanes. Esto me llevó unas dos horas.

Los imanes suelen estar pegados a una chapita, basta con retorcer la chapita con dos pinzas para que el adhesivo falle y quedarse con el imán. Estas chapas junto a las carcazas se las entregué en mano a un cartonero con carrito en cualquier otro momento.

Respecto a cd/dvd, entregué todos los que tenían drivers o programas, un poco confiando en que los grabados por mí no tuvieran información. De todos modos los únicos que suscitaron interés fueron los "impresos", tipo encarta 2000.

De souvenir exclusivo para cybercirujas, repartí unos discos ópticos locos, confiando en que no tenían nada y que nadie tiene el lector.

Los diskettes elegí que no tuvieran etiquetas o estuvieran en blanco, confiando....


Anécdotas


Una persona estaba muy interesada en recuperación de componentes electrónicos, en particular motores, se llevó entre otras cosas:

  • componente lectora triple de cd
  • componente dual deck

 

Gran interés tuvieron:

  • trafo original atari 110v
  • gabinete de la alarma casera
  • tablet coby
  • dock thinkpad con fuente y llave
  • tv philips 40 tocado por un rayo

 

Este tipo de evento, aunque en esta ocasión tuvo un fuerte protagonismo de una persona, puede ser más "cada uno lleva un poco". De hecho algunas personas trajeron alguna cosita y el encuentro también sirvió para intercambiar cosas que estaban esperado a cambiar de manos.

 

Conclusión

 

Aunque quizás no séa óptima la reutilización por componente, capaz que alguien se llevó un componente útil para sacarle el cobre, el método presentado, entre los extremos posibles, es más eficiente para quien se está deshaciendo de material que la donación pieza por pieza con seguimiento por un lado y por el otro, probablemente genere menos residuos tirados en la calle que tirar todo en la basura.


El equipo desde un árbol
El equipo desde un árbol




2023/12/03

Para leer Emerging Topics in Hardware Security - General

Esta nota es el resultado de la lectura atenta del libro Emerging Topics in Hardware Security, registro mis opiniones, inquietudes y hallazgos, apuntando a que sea útil para mí como memoria y para tí como disparador.

Desde hace meses sino años, tengo una pila de libros para leer, pero todos tienen alguna parte que es mejor practicar, incompatible con vacaciones, transporte público. Al ser este libro muy teórico, me basta con la lectura atenta y tomar notas... estas son las notas.

 

Empecemos con que no es un libro, es un compendio de papers.

En general, los artículos son, tal como insinúa el título, temas en la cresta de la ola y además de un nivel técnico muy alto y de temas muy específicos. Eso hace que el lector, Charly, por momentos quede un poco afuera. No es que no haya ocurrido con otros libros, pero en los otros no tuve la siguiente sensación:

Parecen escritos por personas que no dominan el idioma inglés, no lo digo porque los nombres de todos los autores parezcan ser de la India, sino porque efectivamente hay expresiones, formas de armar la frase y algunas cosas que me parecen que son errores gramaticales. También hay errores de sintaxis.

No señalaría esta superficialidad, pero como no conozco algunos de los temas, me produce una cierta desconfianza. No mucha, conozco gente del grupo de embebidos que me consta que saben un montón pero no escribir.

No sé cual es la tasa de entradas bibliográficas normal para un paper, pero con respecto a algunos libros conocidos, es mayor y en algunos capítulos muy mayor:




páginasnotasn / p
1Blockchain-Enabled Electronics Supply Chain Assurance25481.9
2Digital Twin with a Perspective from Manufacturing Industry351454.1
3Trillion Sensors Security341514.4
4Security of AI Hardware Systems16372.3
5Machine Learning in Hardware Security36852.4
6Security Assessment of High-Level Synthesis24401.7
7CAD for Side-Channel Leakage Assessment28451.6
8Post-Quantum Hardware Security301013.4
9Post-Quantum Cryptographic Hardware and Embedded Systems28531.9
10Neuromorphic Security24612.5
11Homomorphic Encryption28642.3
12Software Security with Hardware in Mind26612.3
13Firmware Protection22211.0
14Security of Emerging Memory Chips34762.2
15Security of Analog, Mixed-Signal, and RF Devices28632.3
16Analog IP Protection and Evaluation52671.3
17Application of Optical Techniques to Hardware Assurance22602.7
18Computer Vision for Hardware Security34752.2
19Asynchronous Circuits and Their Applications in Hardware Security28682.4
20Microfluidic Device Security24682.8

Total57813892.4

 


páginasnotasn / p
Artificial Intelligence - Russel/Norvig10009000.9
Object Oriented Software Construction - Meyer12003600.3
Security Engineering - Anderson89013801.6
Computer Architecture - Hennessy/Patterson6306401.0
Hardware Security - Tehranipoor/Bhunia4507481.7

 

El último es especialmente interesante pues Tehranipoor es el editor del libro en cuestión.

Las cuentas no están del todo bien hechas pues no estoy considerando al cantidad de palabras por página, OOSC en particular tiene la letra grande. No estoy seguro que estos números sean indicadores de calidad o de su falta.

¿Por qué me molesta esto de la bibliografía? Se debe a que estoy más acostumbrado a leer textos donde la mayor parte es explicación, no "tal xxx hizo tal prueba" sin dar ningún otro detalle.

Dejando de lado este aspecto superficial, pasemos a lo importante.


El contexto general de la seguridad de hardware, que es el hilo conductor de algunos artículos de modo explícito y afecta de modo implícto a todos es la protección durante la cadena de suministro del hardware (esto sale del capítulo 1):

  • IP Owner y la fábrica
  • Ensamblado del PCB
  • Integración del sistema
  • Usuario final
  • Disposición final o reciclado

Existiendo estos ataques más comunes:

  • Sobreproducción, para venta no declarada
  • Ingeniería reversa, para falsificación, copia o ahorrarse parte del diseño
  • Reutilización en lugar de disposición final
  • Falsificación, es hacer algo copiado y ponerle una marca ajena
  • Reclasificación, tipo remarcar un componente común como industrial


Mi opinión


Dejando de lado lo superficial y la calidad despareja, es un libro muy rellenador de detalles de los temas que ya conocía de antes y más aún disparador de los que ni estaba al tanto de la existencia, como:


  • Neuromorphic y sus memristores
  • Microfluidic devices
  • El nicho de los circuitos asincrónicos.


Si prestaste atención al título, "General", da a entender que puede haber otra nota. No te prometo, me llevó cuatro meses leerlo, como estoy un poco traumatizado y con más ganas de pasar al siguiente libro que de revisar este para dejar registradas mis notas.