Intel ME отключение.

каковы критерии успешности

Наличие программатора для оживления окирпиченой платы.

Полностью отключить невозможно. Кирпич точно получишь.

Вот честно, не понимаю я параноиков. IntelME - технология, лежащая в основе таких удобных средств как IPMI. Только, к сожалению, частично заблокированная производителем на десктопных платах. Вместо того, чтобы искать способы снять блокировку и получить полную функциональность IPMI, народ каким-то разрушением занимается...

Две или три критических уязвимости за год, позволяющих Васяну поиметь твой ПК.

Две или три критических уязвимости за год, позволяющих Васяну поиметь твой ПК.

Можно ссылки на эксплойты?

Ну и чем этот IPMI улучшит мою кухонную ютубосмотрелку?
А вот что чаще случается, портить реалтайм что делает неудобным использование плат ПК в чувствительных к нему приложениях.
Ну и просто, зачем оставлять то что позволяет рыться в моих карманах?

Две или три критических уязвимости за год, позволяющих Васяну поиметь твой ПК.

А ты голую жопу в окно не выставляй ходи в интернет через NAT/firewall и Васян тебя не поимеет.

А может лучше компьютер без этого Ме купить?

Современный комп ты без этого говна не купишь. Последние материнки без МЕ были для Core 2 емнип.

лежащая в основе таких удобных средств как IPMI

И зачем мне это в моём десктопе?

А ты голую жопу в окно не выставляй ходи в интернет через NAT/firewal

Где гарантия того что то что до nat окажется безопасным?

Где гарантия того что то что до nat окажется безопасным?

Это как презерватив — на 100% не защитит, но от большинства угроз вполне. Даже машина не подключенная к внешней сети, как показывает практика Иранских АЭС, уязвима.

Это как презерватив — на 100% не защитит

Если избавиться полностью, то и это не нужно

Даже машина не подключенная к внешней сети, как показывает практика Иранских АЭС, уязвима.

не по сети, так каким-то другим образом

Ну и чем этот IPMI улучшит мою кухонную ютубосмотрелку?

Тем, что сможете поднять ее/исправить какой-нибудь сбой удаленно ;). И Вашим родственникам не придется дожидаться Вашего возвращения, они смогут продолжить смотреть youtube ;).

портить реалтайм что делает неудобным использование плат ПК в чувствительных к нему приложениях.

Можно подробнее? А то мне непонятно, как IPMI может что-то портить.

Ну и просто, зачем оставлять то что позволяет рыться в моих карманах?

Публичные эксплойты есть? Если нет, то малолетние соседи-«хакеры» Вам не угрожают. И вряд ли Ваши карманы нужны кому-то помимо них...

И зачем мне это в моём десктопе?

Возможность удаленно исправить любую проблему? Лично для меня это важная функциональность. Я стараюсь и под рабочие станции платы с IPMI брать. А здесь, насколько я понимаю, есть потенциальная возможность получить аналог IPMI на халяву...

Таки не бось благодаря этому Щтеуд МЕ они и взломаны.

Даже машина не подключенная к внешней сети, как показывает практика Иранских АЭС, уязвима

по астральному выделенному каналу?

А точно не для AMD FX?

Один завербованный с дискетой/флешкой.

Правильная постановка вопроса о защите данных начинается с вопроса, какую ценность эти данные представляют и для кого. И исходя из ответов, выбирается оптимальная стратегия.

IMHO, 99% личных данных не представляют никакой ценности для посторонних людей, максимум, для ближайшего круга знакомых.

В самом деле, у меня дома, например, около 4 TB (~90% от всего объема данных) домашних фоток и видео (дети, природа, кошки, родственники и т. п.).

Как думаете, многим потенциальным «хакерам» это может быть интересно?

Так что можно было бы говорить о потенциальных угрозах при наличии публичных эксплойтов. А пока их нет, моим и Вашим данным ничего, на мой взгляд, не угрожает ;).

Возможность удаленно исправить любую проблему?

У меня один десктоп. Как я могу удалённо на нём что-то исправить?

Как думаете, многим потенциальным «хакерам» это может быть интересно?

Их интересует не столько сама информация, сколько выкуп за неё. Вопрос в том не просочится ли случайно шифровальщик к тебе

У меня один десктоп. Как я могу удалённо на нём что-то исправить?

Зайти с рабочей машины/интернет-терминала в кафе/аэропорте/etc.

Зайти с телефона/планшета (нет своего, попросить у знакомых/коллег.

Вариантов куча, все они позволяют быстро решить проблему.

Их интересует не столько сама информация, сколько выкуп за неё. Вопрос в том не просочится ли случайно шифровальщик к тебе

Эти вопросы решаются продуманной стратегией бэкапа.

Ну и возвращаясь к IntelME, пока что все разговоры о «хакерах»/шифровальщиках абстрактны. Реальной угрозы нет. Вот когда она появится, можно будет подумать о методах защиты.

Вы ведь не считаете всерьез, что именно на Вас будут обкатаны новые технологии взлома?

Как думаете, многим потенциальным «хакерам» это может быть интересно?

Закинуть шифровальщик и попросить 500 долларов за ключ?

Ехал да кому вы нужны через пока гром не грянет...

Зайти с рабочей машины/интернет-терминала в кафе/аэропорте/etc.

Зайти с телефона/планшета (нет своего, попросить у знакомых/коллег.

Во-первых я не контролирую чужие машины, нет ли там к примеру кейлогера, во-вторых ноутбук проще взять с собой, в-третьих если его не взял, то на то есть причины

Эти вопросы решаются продуманной стратегией бэкапа.

Это становится слишком сложно. Я уже не могу делать бекап на той же машине(нужна вторая, желательно не интел), в случа если прошивка будет повреждена, я ничего не смогу сделать с своим железом

Реальной угрозы нет

Откуда знаешь?

Вы ведь не считаете всерьез, что именно на Вас будут обкатаны новые технологии взлома?

Людям нужны ботнеты для майнинга, ддоса, возможно ещё для каких-то целей. me подходит для подобного идеально

че-то Васян не имеет мой ПК три раза в год, несмотря на уязвимости.
а еще бажный линакс, который тоже дыры имеет. выходит, Васян как-то не очень хакер.

Теперь возможно, в этом-то и суть

В самом деле, у меня дома, например, около 4 TB (~90% от всего объема данных) домашних фоток и видео (дети, природа, кошки, родственники и т. п.).
Как думаете, многим потенциальным «хакерам» это может быть интересно?

У меня помимо фоток, сканы налоговой отчетности, документов, паспортов, фотки реквизитов моих счетов в разных банках, поступления на счета, договоры и мед справки полученные в разных клиниках, мне бы было неприятно если бы эту информацию получил бы кто-то со стороны. Как эту информацию можно монетизировать я не знаю, но я ведь не злоумышленник, чтоб знать такие вещи. Потому предпочитаю «не держать дверь открытой».

Многие уязвимости локальны или работают только в особую фазу луны. К счастью сейчас проще тупо стучаться по дефолтным паролям

Закинуть шифровальщик и попросить 500 долларов за ключ?

См. выше ;).

Ехал да кому вы нужны через пока гром не грянет...

Простите, это Ваше сообщение не понял.

Если Вы единственный пользователь десктопа, то да. А вот если есть родственники (жена/дети), которым срочно понадобился компьютер, а Вы далеко... IPMI позволяет многие проблемы решить удаленно.

А вот если есть родственники (жена/дети), которым срочно понадобился компьютер

Таких родственников лучше всё же обучить хоть минимальным но навыкам. Всё равно сомневаюсь что им потребуется к примеру генту собрать.

Последние материнки без МЕ были для Core 2 емнип.

а для амд это был бульдозер, что уже сильно вкуснее.

Это становится слишком сложно.

Сложность защиты пропорциональна ценности данных ;). Это нормально.

Я уже не могу делать бекап на той же машине(нужна вторая, желательно не интел)

Во-первых, бекап на ту же машину сложно назвать полноценным. Достаточно сбоя в блоке питания, чтобы все Ваши данные накрылись бы вместе с дисками :(. Так что вторая машина (как вариант, NAS) нужна безотносительно наличия/отсутствия IntelME.

Во-вторых, никто не мешает делать бекапы на внешние носители.

Откуда знаешь?

Очень просто - в Сети отсутствуют внятные описания атак через IntelME. Значит, единственный способ нарваться - попасть на испытания новых эксплойтов. Можете сами посчитать, какова вероятность такого события.

me подходит для подобного идеально

Это неверная формулировка. Правильно было бы сказать так - ряд специалистов по компьютерной безопасности подозревают, что IntelME может быть использована для...

Просто потому, что, насколько я понимаю, начинка IntelME полностью известна только инженерам Intel. И никто кроме них не знает истинных возможностей данной технологии.

Соответственно, все, про что Вы написали (ботнеты для майнинга/ddos) будет возможно только в том случае, если эти подозрения подтвердятся (информация утечет в Сеть).

В любом случае, у Вас будет время, чтобы принять меры (дельта между утечкой информации и созданием/распространением реальных ботнетов).

Во-первых, бекап на ту же машину сложно назвать полноценным. Достаточно сбоя в блоке питания, чтобы все Ваши данные накрылись бы вместе с дисками :(. Так что вторая машина (как вариант, NAS) нужна безотносительно наличия/отсутствия IntelME.

Без me достаточно внешнего жесткого. С ним этого уже будет мало. Почему? Нет никакой гарантии того что эскплоит не решит стереть все данные в тот момент когда я буду подключать внешний носитель.

Очень просто - в Сети отсутствуют внятные описания атак через IntelME

Пожалуй это даже хорошо. Не очень хочется пострадать от рук школьника.

Можете сами посчитать, какова вероятность такого события.

me это прекрасная основа для drm. и это пугает тоже. и вероятность этого гораздо выше. основная проблема в том что я уже не смогу проконтролировать тот код что выполняется, как следствие не смогу к примеру вырезать к примеру рекламу.

Соответственно, все, про что Вы написали (ботнеты для майнинга/ddos) будет возможно только в том случае, если эти подозрения подтвердятся (информация утечет в Сеть).

me может исполнять java аплеты. Не знаю насколько эти аплеты урезаны, но достаточно только эксплоита(нечто подобное уже есть) + самого аплета.

Про CVE-2017-5689 ви таки не слышали?

мне бы было неприятно если бы эту информацию получил бы кто-то со стороны.

Безусловно, мне бы тоже этого не хотелось. Но посмотрите на это с обратной точки зрения - ведь для получения этой информации нужно затратить очень много усилий - полностью разобраться с IntelME (насколько я понимаю, пока это никому до конца не удалось, исключая, конечно, разработчиков), разработать на основе выявленных уязвимостей эксплойт и применить его именно к Вашей машине. Как Вы сами оцените вероятность такого события?

К чему я это говорю - угроза информации действительно появляется, когда становятся доступными публичные эксплойты, и любой подросток, ощутивший себя настоящим взломщиком, может попробовать атаковать в том числе и Ваш компьютер. Пока же информация об уязвимостях имеется только у разработчиков IntelME, Ваши данные в безопасности.

и применить его именно к Вашей машине

Скорее всегдо для адаптации для чужой машины потребуется минимум изменений, а то и вообще без них

Нет никакой гарантии того что эскплоит не решит стереть все данные в тот момент когда я буду подключать внешний носитель.

Поэтому во всех практиках рекомендуют делать бекап на два внешних носителя ;).

Пожалуй это даже хорошо. Не очень хочется пострадать от рук школьника.

Именно эту мысль я и пытаюсь до Вас донести. Потому что именно атака со стороны школьника и является реальной угрозой. Предположить же, что Ваш компьютер будет атакован кем-то из группы разработчиков InelME, отдает настоящей паранойей, не находите? Так что пока информация об устройстве IntelME и ее уязвимостях не находится в свободном доступе, можно спать спокойно, IMHO.

me это прекрасная основа для drm.

Можно раскрыть эту мысль подробнее?

me может исполнять java аплеты.

По чьей команде?

но достаточно только эксплоита(нечто подобное уже есть) + самого аплета.

Да, наверное, достаточно. Только вот откуда информация, что эксплойт уже есть?

Про CVE-2017-5689 ви таки не слышали?

Честно говоря, не слышал. Спасибо, сейчас почитаю и отвечу.

Еще раз спасибо, почитал. Согласен, вещь неприятная, но бороться с ней можно, не прибегая к искоренению IntelME. Фактически, мало чем отличается от уязвимостей в софте. Кстати, полностью блокируется внешним firewall.

В общем, не вижу повода для паники...

Поэтому во всех практиках рекомендуют делать бекап на два внешних носителя ;).

Только теперь носитель должен переходить в ro. А это может быть не очень удобно, плюс дорого

Потому что именно атака со стороны школьника и является реальной угрозой

Кроме школьника ещё есть люди

Можно раскрыть эту мысль подробнее?

Читал про внутреннее устройство me? Возможно создание области памяти, куда даже ядро писать не сможет. Не говоря уже про ublock

По чьей команде?

Да хоть по команде ботнета

Только вот откуда информация, что эксплойт уже есть?

процессор покупается не на пару месяцев. Покупать новую материнку + процессор после выхода эксплоита слишком накладно

Ну так пользуйся этим IPMI, о других то откуда такая сердечная забота, что ещё и против воли помргаешь?

Скорее всего, для адаптации для чужой машины потребуется минимум изменений, а то и вообще без них

Я про другое - вряд ли создатели этой технологии будут атаковать Вашу (именно Вашу) машину. А у тех, кто мог бы этим заняться, нет информации об устройстве IntelME.

когда становятся доступными публичные эксплойты

Большую опасность представляют преступные группировки. У них «бизнес плат», который в себя включает затраты на покупку 0 day уязвимостей для проведения массовых атак, так что если хакеры сломают IntelME то это штука вначале громко выстрелит в виде атаки, а потом уже появится в открытом доступе, к тому времени уже вендор заплатки сделает.

Возможно создание области памяти, куда даже ядро писать не сможет. Не говоря уже про ublock

Хорошо, допустим. Но это ведь законное право владельцев контента - ограничивать к нему доступ, разве не так? Просто не пользуйтесь контентом с DRM, вот и все.

Да хоть по команде ботнета

Только при условии, что ботнет уже создан. А это, как Вы понимаете, не может пройти незамеченным - обязательно куча предупреждений в Сети появятся.

процессор покупается не на пару месяцев. Покупать новую материнку + процессор после выхода эксплоита слишком накладно

Внешний firewall (копеечный роутер) решит эту проблему ;).