Можно ли выключить IntelME на современной материнке?

Интересно есть где-нибудь список решений с минимизаций закладок типа:

Libreboot Ungoogled etc.. на разные темы

Спасибо

Тут - поиск свободного ноутбука (комментарий) - есть про «степени свободы» ноутбуков с моей точки зрения. В пункте

3) более новый коребутовский Thinkpad с нейтрализованным почищенным ME, может быть до ~2 раз мощнее чем «2)» в зависимости от установленного процессора Intel

я сравнивал с максимально проапгрейженным T430/T530 . в x220 самый крутой, который возможно поставить, это Core i7-2640M, его производительность 3936 попугаев - https://www.cpubenchmark.net/cpu.php?cpu=Intel+Core+i7-2640M+%40+2.80GHz&id=876 - всего лишь на 18% больше чем 3343 у A10-5750M - https://www.cpubenchmark.net/cpu.php?cpu=AMD+A10-5750M+APU&id=1920, и эта разница нивелируется интелоспецифичными уязвимостями типа Meltdown, патчи для которых понижают производительность, а AMD не подвержена. При этом б/ушный G505S стоит значительно дешевле б/ушного x220

То есть, если у тебя уже есть x220, можно продолжать пользоваться им и установить туда coreboot... Но если идёт речь о покупке нового, Lenovo G505S - оптимальный вариант с точки зрения производительности/свободы/стоимости. Главное не перепутать с G505 ;)

те «последние-AMD-без-PSP» значительно мощнее «последних-Intel-без-ME», у Lenovo G505S на A10-5750M - 3343 на Passmark, и можно 16ГБ DDR3 поставить, не такое уж и старьё ;)

OK, благодарю за совет, щас фсе полки авито вычистят от этих ноутов.

А что в плане троянов на материнках с чипсетами AMD 970/990 с UEFI BIOS ?

с моей точки зрения есть три нормальных варианта: или libreboot на core 2 duo - но там и процессоры медленнее и максимум 8 гигов (и то не любые модули поддерживаются), или coreboot на AMD-без-PSP но при условии рассмотрения оставшихся блобов, или libreboot на AMD-без-PSP но там нет ноутов и вариантов немного, хотя есть сервак на двух AMD оптеронах например

libreboot на core 2 duo

Не пойму, как организован доступ к intel_me (паблик версия).

Некий софт -> BIOS ME BLOB -> ось ME?

Ну и то, что в оси крутится ессно тоже активность какую-то проявляет как минимум внутри.

Libreboot шьют без применения me_clean? Т.е. внутренняя ось ME остается активной, но без известных интерфейсов? Или me_clean тоже применяется в случае с Libreboot?

В одном месте вряд ли есть, это нужно самому копаться :) Можешь ещё посмотреть насчёт WiFi роутеров: многие поддерживаются OpenWRT, но без закрытых бинарных блобов могут работать лишь около 10, и их выделили в отдельный проект LibreCMC - https://librecmc.org/ К счастью среди тех 10 есть «народные» роутеры вроде TP-Link TL-WR841N(D) например который новым стоил ~1500 рублей, https://gogs.librecmc.org/libreCMC/libreCMC/src/v1.4/docs/Supported_Hardware.md , главное чтобы аппаратная ревизия роутера была правильная, например v9 (гарантированно работает без блобов) а не v13 к примеру, потому что в v13 совершенно другой проц (дурацкий mediatek) и не работает без блобов

Чтобы узнать аппаратную версию роутера, достаточно посмотреть возле штрихкода на коробке или днище роутера, там должно быть что-то наподобие «V9.2», где V9 - аппаратная версия, а ".2" скорее всего просто указывает какая версия проприетарной прошивки предустановлена. Во второй части этого поста - поиск свободного ноутбука (комментарий) - есть более подробно про этот роутер, и что нужно проверять блоки питания чтобы не пищали и что неплохо бы поставить доп. защиту от перепадов напряжения на Ethernet порты

Жаль только Ленова такой мусор с низким качеством сборки, уровня Хп. И апушки тоже такое себе. Но есть шанс что не отваливаются как Нвидия, там же прямо в процессоре? Есть какой-нибудь Делл из приличных в том списке?

Наличие видимого тебе интерфейса между твоей ОС и зондом в процессоре (ME/PSP) - необязательно. Этот зонд - маленький сопроцессор со своей собственной мини-ОС (в случае Intel ME - ОС Minix 3), работает на уровень ниже твоей ОС и может незаметно от неё считывать данные с твоей оперативки и отправлять их через сетевой интерфейс, при этом всякими сетевыми мониторами твоей ОС ты такой активности не увидишь - только внешним устройством, например на роутере, и то если там нету скрытой договорённости «не показывать пакеты от Intel ME», которая может быть если прошивка у роутера проприетарная

С 2016 года говорят BIOS жучки уже радиочастно управляются, так что и на роутере может не быть активности.

Все такие не пойму, используется ли me_clean с libreboot?

Если честно, Lenovo G505S по прочности корпуса действительно уступает Thinkpad'ам, например у одного б/ушного который я приобрёл за смешные деньги был треснут корпус с левой стороны возле вентилятора, из-за чего открывать/закрывать экран стало немного неудобно и пришлось мастерить-укреплять... Но если бережно обращаться - то прослужит долго, мой изначальный G505S до сих пор как новенький! Более достойного ноута на AMD-без-PSP - с процом FX каким-нибудь, или хотя бы с противоударным корпусом - в коребуте к сожалению нету, иначе давно бы взял себе и не один. Встроенная в APU графика разумеется не отваливается, а дискретки HD 8570M и R5 M230 встречающиеся в G505S - из нормальных серий

важен не чипсет а процессор. с чипсетами 970/990 какой сокет на материнках, для какого поколения процессоров? если сокет AM3+, то процессоры архитектуры Piledriver 15h, у них нет аппаратных зондов в процессоре, но может быть программный в UEFI - какой-нибудь Computrace

с libreboot me_cleaner не используется - потому что компьютеры на Intel то есть core 2 duo, поддерживаемые libreboot, могут работать вообще без бинарника Intel ME и комп не отключается каждые 30 минут как у немного более новых версий процессоров/ME

Привет SakuraKun. Вижу продолжаешь помогать людям в нелегком деле обретения свободы)

Как там дела с дискреткой? Hans Jurgen не закоммитил еще свой костыль в coreboot? В рассылке, новостей по этому поводу не вижу.

alupoj я осилил стори по прошивке Lenovo g505s благодаря SakuraKun, всё работает как нужно, на авито нашел в хорошем состоянии за 12к(в лучшей конфигурации с процом А10 и 2 видюхами + бонусом в нем был вместо медленного HDD SSD на 256 гиг), благо хомяки не понимают ценности данного девайса.

Докупаешь 16 гиг оперативки и ближайшие лет 5 фаломорфируешь от лэптопа без зондов.

Вполне годится для веб-серфинга/разработки/не самых топовых игр в дуалбуте с виндой например

Из минусов, как уже сказали хлипкий корпус, лупить по нему кулаком или допускать сильного перегрева крайне не рекомендуется, не работала дискретная видюха, но вот буквально около месяца назад некто Hans Jurgen нашел способ её активировать и вроде бы всё норм работает, он написал что нужно дополнительно потестить/привести код в порядок и потом можно коммитить.

USB порты будут работать как USB 2.0. Я пробовал собирать coreboot с блобом USB 3.0 но USB отказался работать совсем, так что собираем без него. С coreboot не работает встроенная вебка, возможно есть какой то несложный способ её включить, но мне лень, так что даже заклеивать не нужно хотя на всякий случай можно

В этом столлманбуке похоже действительно нет аппаратных зондов, т.к. это нищебродский сегмент, а неуловимые джо на AMD были не нужны аж до 2013, потом Эдичка Сноуден знатно потролил рептилоидов и теперь зонды будут вообще везде, включая «умные» часы и кофеварки.

Я планирую написать гайд, по примеру гайдов для ThinkPad, с описанием всех необходимых шагов по прошивке/настройке, когда разберемся с дискретной видюхой.

P.S. по этим ссылкам можно кое что почитать про Intel ME если еще не видел

• https://habr.com/company/pt/blog/430132/
• https://habr.com/company/pt/blog/423065/
• https://habr.com/company/pt/blog/336242/
• https://habr.com/company/pt/blog/425105/ - вот тут мужики нашли способ даже ШтеудBootGuard обойти так что есть шанс что однажды новой версией me_cleaner удастся и новые ноуты шить

  Особенно упорным никто не мешает попробовать повторить их подвиг.

будем тут всем красные таблетки раздавать ;) Благодарю за отзыв!

Если честно: начал разбираться с некоторыми дискетными операционками (помимо Kolibri) тоже пригодными для встраивания в coreboot/SeaBIOS, баг репорты писать да на форумах зависать, и в результате пока не успел улучшить патчи для фикса дискретки но уже начал смотреть, в-общем работаю...

в патчах от HJK есть изменение для USB 3.0:

./coreboot/src/mainboard/lenovo/g505s/Kconfig

--- Kconfig.orig 2018-09-20 10:01:14.529142500 +0200
+++ Kconfig 2018-11-11 21:17:08.568029569 +0100
@@ -20,7 +20,7 @@
select SYSTEM_TYPE_LAPTOP
select CPU_AMD_AGESA_FAMILY15_TN
select NORTHBRIDGE_AMD_AGESA_FAMILY15_TN
- select SOUTHBRIDGE_AMD_AGESA_HUDSON
+ select SOUTHBRIDGE_AMD_AGESA_BOLTON #mod_by_hjk from HUDSON
select EC_COMPAL_ENE932
select HAVE_OPTION_TABLE
select HAVE_MP_TABLE

я не помню, ты пробовал так делать? ведь действительно у Lenovo G505S южный мост AMD A76M Fusion, Bolton-M3 (номер на чипе 218-0844012) а не какой не Hudson. Его коребутный конфиг - https://pastebin.com/jPYwgShX . можно изменить ./coreboot/src/mainboard/lenovo/g505s/Kconfig , затем скопировать этот конфиг в ./coreboot/.config с заменой, войти в make menuconfig, указать правильный путь к VGABIOS, выйти с сохранением настроек, собрать coreboot и посмотреть что получилось

Кстати, на авито Lenovo G505S с A10-5750M стало меньше, по России всего 33 совпадения - https://www.avito.ru/rossiya?s_trg=3&q=g505s a10-5750m - хотя некоторые просто выкладывают скрин с характеристиками ноута и по запросу с указанием процессора их не находит

me_clenear и максимум Штеуд Скулак.

Боюсь, что вскоре G505S постигнет та же участь, что и девайсы, поддерживаемые Replicant. Даже если на него либребут портируют, полагаю, что древние синкпады все равно будет проще достать на ближайшей помойке, чем его, т.к. устройство не культовое, скажем так.

Бери OpenPOWER тогда, https://raptorcs.com/content/base/products.html

действительно, G505S не такой крепкий как синкпады и более уязвим к небрежному отношению людей, со временем их рабочих будет оставаться всё меньше... поэтому нужно поскорее взять в хорошие руки, пока есть возможность ;) а из замены оставшихся блобов, самое главное для KB9012 доделать опенсорсную прошивку ( http://git.code.paulk.fr/gitweb/?p=origami-ec.git;a=summary )

Самый дешёвый вариант: материнка Blackbird Mainboard вместе с четырёхъядерным POWER9 = $1175 https://raptorcs.com/content/BK1B01/intro.html + радиатор $110 https://raptorcs.com/content/TL2HS3/intro.html + отвёртка за $12.5 https://raptorcs.com/content/TL2HD1/intro.html (хотя у китайцев дешевле купить) = $1297.5 , + пересылка, + таможня, + могут ли возникнуть проблемы при импорте (ФСТЭК) ? (ещё нужно будет подумать о корпусе и т.д.) Разве что ноутов у Raptor нету, может alupoj именно ноут нужен. Есть другой проект https://www.powerpc-notebook.org/en/ , но там пока не доделали, да и не смотрел насколько свободным у них может получиться

У меня на старом синкпаде материнка сдохла, к примеру, т.е. тут не только в отношении дело, кмк.

Зачем же? Достаточно отрезать его от интернета и пофигу сколько там дыр.

Чтобы продлить срок службы, можно уменьшить количество значительных перепадов температур (например не выключать на ночь) и температуру вообще (хорошую термопасту, чистить иногда) - и запастись запасными чипами, чтобы в случае чего материнку можно было отремонтировать. Например: при перепаде напряжения в электросети у G505S может сгореть мультиконтроллер KB9012. Стоит он 50 рублей за штуку из Китая и сейчас его можно купить 10 штук спокойно, а потом их в продаже может и не быть. + Даже если и будут, если не самому чинить а прийти в нормальный сервис со своими чипам - то возьмут меньше, просто потому что в России все эти чипы стоят намного дороже; например KB9012 - 300 рублей, в 6 раз разница. А в случае с G505S можно обзавестись и запасными материнками:

1) только встроенная видеокарта («HD 8650G» внутри процессора A10-5750M) - материнка LA-A092P
2) встроенная + дискретка «HD 8570M» - материнка LA-A091P (обычно rev 1.0)
3) встроенная + дискретка «R5 M230» - материнка LA-A091P (обычно rev 1A)
Распознать чип дискретки можно по напечатанному на нём номеру: HD 8570M это 216-0841000 , а R5-M230 это 216-0856010 . 4-цифровый номер под логотипом AMD это YYMM, год и месяц производства чипа, хотя не знаю насколько они важны

Так как на эти материнки не запаян ни процессор ни оперативка, то стоят они достаточно дёшево, около 5 тысяч рублей

Самый дешёвый вариант: материнка Blackbird Mainboard

micro ATX с двумя слотами RAM :/

вместе с четырёхъядерным POWER9

лучше восемь брать, а то тредриппероводы засмеют

С 2016 года говорят BIOS жучки уже радиочастно управляются, так что и на роутере может не быть активности.

Это не я пишу, это пишет ТС. Для него компьютер без интернета не вариант. :)

А что можешь сказать про ноуты: https://komp.1k.by/mobile-notebooks/s.php?alias=mobile&alias2=notebooks&a...

Чем они хуже G505S? У них хуже с поддержкой Coreboot?

Какие уязвимости предположительно могут содержать ноутбуки на базе AMD, выпущенные до 2013 года без замены BIOS на Coreboot/Libreboot?

Как вам нетбуки типа EEE? Например: https://www.asus.com/ru/Laptops/Eee_PC_1015B/specifications/

Миниатюрная хранилка паролей и ключей, не?

Еще поисковик архивных ноутов, выборка AMD

https://www.nix.ru/price/price_list.html?section=notebooks_all#c_id=256&e...

Может быть, здесь есть хорошие модели для Core/Libre boot?

Интересно, спс. Выходит, что частое включение/выключение тоже вредно?

А что можешь сказать про ноуты https://komp.1k.by/mobile-notebooks/s.php?alias=mobile&alias2=notebooks&a...

Зачем ты ограничил год выхода ноута на рынок «до 2012»? а если вышел позже, но с беззондовым процессором? у G505S материнку спроектировали в 2013 году, и вышел наверное в начале 2014... В-общем, беззондовость нужно определять по конкретному поколению процессора. Введём в той же строке поиска только модельный номер процессора A10-5750M - https://1k.by/products/search?searchFor=products&s_keywords=a10-5750m&s_categoryid=0 (с похожими но более слабыми искать не имеет смысла), увидел несколько MSI GX60 / GX70 в разных 3СС-???*** конфигурациях и один HP ProBook 645 G1 (F1N84EA)

Чем они хуже G505S? У них хуже с поддержкой Coreboot?

Прямо сейчас coreboot их вообще не поддерживает. Может на них и можно спортировать coreboot, сложность зависит от того насколько они похожи на G505S, нужно смотреть более детально чтобы понять сколько это может занять времени

Какие уязвимости предположительно могут содержать ноутбуки на базе AMD, выпущенные до 2013 года без замены BIOS на Coreboot/Libreboot?

В закрытом проприетарном UEFI может сидеть шпионский программный модуль Computrace или что-то вроде этого

AMD C-50 это поколение 14h - https://en.wikipedia.org/wiki/List_of_AMD_accelerated_processing_unit_micropr... - https://en.wikipedia.org/wiki/List_of_AMD_accelerated_processing_unit_micropr... , аппаратного зонда там в процессоре нету, но программный может сидеть в закрытом UEFI. coreboot поддерживает некоторое количество плат на AMD 14h - https://coreboot.org/status/board-status.html - но опять же нужно смотреть более детально (южный мост какой, например?) чтобы понять возможен ли порт coreboot на этот EEE PC и сложен ли

Новых ноутов с теми процами в продаже все равно нету - давно уже раскупили, а по б/у-шным «с-беззондовым-AMD-но-не-G505S» нужно более детально смотреть. Можешь поискать «HP Pavilion m6 1035dx», он похож на G505S и тоже коребутом поддерживаться, но последний отчёт для него 2014 года и с тех пор могли что-то сломать (нужно быть готовым к тому что может придётся выискивать «плохие коммиты» в коребуте)

Смотря на какую продолжительность времени, если простой ребут то ничего страшного - ведь температура особо измениться не успеет. Просто шарики припоя (особенно безсвинцового, с которым уже давно кстати делают) не любят расширяться/сжиматься, и если их много/часто расширять/сжимать то и чипы быстрее отвалятся - а запасных в продаже может и не быть чтобы заменить для починки материнки. Поэтому если есть возможность запастись чипами по разумной цене (то есть значительно дешевле чем просто купить запасную материнку) и особенно ценишь именно твою модель ноута (будешь видеть смысл чинить его даже когда устареет, например «потому что coreboot!» ) то нужно подумать над этим. Саму материнку убить сложнее - имею ввиду саму плату с дорожками, даже если там где-то микротрещина от удара пошла и нарушила внутреннюю дорожку или она сожглась от чего-то, наверняка можно будет проводком наружнюю прокинуть

Ну тогда только в клетку фарадея.

Если честно: начал разбираться с некоторыми дискетными операционками (помимо Kolibri) тоже пригодными для встраивания в coreboot/SeaBIOS, баг репорты писать да на форумах зависать, и в результате пока не успел улучшить патчи для фикса дискретки но уже начал смотреть, в-общем работаю...

хорошо, а хоть какой то код есть?

ведь действительно у Lenovo G505S южный мост AMD A76M Fusion, Bolton-M3 (номер на чипе 218-0844012) а не какой не Hudson.

скорее всего здесь накосячили, можно попробовать как с дискреткой патч придет, хотя я уже и так привык, оказывается этот блоб работает параллельно с ОС, что довольно стремно.

Его кто нибудь анализировал на бекдоры, в отличие от остальных прошивок?

Кстати, на авито Lenovo G505S с A10-5750M стало меньше, по России всего 33 совпадения

я не считал сколько их летом было, возможно после той темы их еще полтора анона купили :)

хорошо, а хоть какой то код есть?

Да, разумеется, тот который Hans прислал. Но в том виде, в котором он сейчас, в коребут не примут даже если он работает, поэтому пока рано выкладывать, нужно поработать над ним...

[блоб xHCI для Bolton] кто нибудь анализировал на бекдоры, в отличие от остальных прошивок?

К сожалению не могу найти никакой инфы по этому поводу. Если очень нужен USB 3.0, можно довериться в надежде что амуде была хорошая :D даже если и есть бекдор в этом блобе то этот блоб слишком мал (26KB) чтобы получать зловредные инструкции извне / действовать самостоятельно без указаний проприетарного UEFI (внутри которого есть сетевые драйвера например) который мы заменили коребутом... Можно пролистать документы про Bolton, например https://www.amd.com/system/files/TechDocs/51205_Bolton_FCH_BIOS_Dev_Guide.pdf - ту часть которая про USB - и попытаться найти интересное; на страницах 34/35 есть инфа как узнать версию блоба

Кстати, неплохо было бы не пользоваться тем непонятным блобом который в коребуте, а добыть свой - https://mail.coreboot.org/pipermail/coreboot/2015-November/080658.html - https://github.com/felixheld/fch_xhci_rom_dumper - на G505S с прошитым «чистым» UEFI (без серийников) попытаться извлечь его

я не считал сколько их летом было

Какое-то время назад, кажется в начале этого года, я проверял и было точно больше ста. Не знаю куда все ноуты подевались, но старый coreboot.zip на Kolibri уже 200 раз скачали, правда некоторые могли по нескольку раз ;)

А клещи какие брать?

Такие: https://ru.aliexpress.com/w/wholesale-SOIC%2d8-clip.html?spm=a2g0v.search01...

пойдут?

https://ru.aliexpress.com/item/2018-SOIC8-SOP8-EEPROM-93CXX-25CXX-24CXX/32922...

Желательно, чтобы не перепаивать.

Небольшое сравнение «клещей» SOIC8 - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate#SOIC8_test_clip - если сомневаешься сразу бери Advanced type тем более что она подешевела; там удобные 1.27мм штырьки и ничего перепаивать не надо! Просто соедини с программатором проводками 1P хорошего качества, желательно медными вроде таких (female-to-female нужны) . На самом деле и более дешёвая прищепка с уже припаянными длинными алюминиевыми проводками как ни странно работает для 90% случаев, но лучше сразу «универсальную» взять где провода легко меняются

P.S. а программатор можно CH341A с зелёной платой взять, ведь с синей вроде этого штырьков пожалели для подключения той прищепки (хотя если есть провода male-to-female то можно male конца в кроватку вставить и зажать, но это менее удобно) а с чёрной была небольшая партия бракованных где 5V вместо 3.3V. Ну и на всякий случай и у «зелёного» перед подключением проверить мультиметром на всякий случай, как придёт, что 3.3V это реально 3.3V - ведь 5V к таким чипам подключать нельзя

А чем плох Thinkpad T60, если производительность неважна на нем вырубить IntelME и прошить Libreboot

Я так понимаю, надо брать:

CPU: Core2 Duo Screen: 14.1" LCD Video: Intel Желательно титановый IBM

Ничем не плох, просто производительность не так уж и «неважна» ;) в T60 можно поставить максимум Core 2 Duo T7600, а он в 2.4 раза медленнее по сравнению с A10-5750M из G505S. Лучше T400 или T500 с C2D T9600 или T9900 - тоже поддерживаются Libreboot'ом - но и они проигрывают в 1.6-1.7 раза и это без учёта недавно вскрывшихся интелоспецифичных уязвимостей вроде Meltdown; и оперативки туда 16 гигов не поставить, максимум 8, то есть например Qubes OS («повёрнутую на безопасности» ОС с кучей изолированных виртуалок) не особо погоняешь

У меня есть Thinkpad X230, его можно прошить в Coreboot

Сначала хочу поиграться на чем-нибудь дешевом типа T60

А настоящий IBM чем то отличается от Lenovo?

https://www.ebay.com/sch/i.html?_from=R40&_nkw=thinkpad t60&_sacat=0&...

Эээ, я там свой хромобук брал за 15к, новый с доставкой. На нем тоже coreboot. На «поиграться» можно и дешевле найти.

А старый хлам, скорее всего, дешевле брать на авито и т.п.

Просто T400/T500 по цене даже дешевле (?) чем T60, и более мощный процессор можно поставить

А настоящий IBM чем то отличается от Lenovo?

В данном случае нет, Lenovo купила перед выпуском T400/T500 но изменить точно ничего не успела (если вас беспокоит прочность корпуса)

Хромбук разумеется помощнее будет, но либребут интересующий alupoj туда не поставишь: к сожалению Intel ME можно только подрезать при помощи me_cleaner а не полностью выпилить, + в зависимости от новизны хромбука может быть закрытый Intel FSP и прочие бинари... Кстати, в этой теме мы coreboot под хромбук пересобирали, может у тебя такой же? ;) HP Chromebook 14-q002er [Quanta YO1] восстановление Chrome OS