Нету. ARM TrustedZone появились в APU около второго поколения. Еще через пару поколений уже сформировался AMD PSP - ещё не полный аналог Intel ME, но уже можно бояться.
For generation 2 (Nehalem-Broadwell, ME version between 6 and 10) this tool removes almost everything, leaving only the two fundamental modules needed for the correct boot, ROMP and BUP. The firmware size is reduced from 1.5 MB (non-AMT firmware) or 5 MB (AMT firmware) to ~90 kB.
Установка Coreboot обязательна для защиты от известных троянов?
А неизвестные трояны все равно поставят? Раз инфа о IntelME просочилась, значит это было сделанно специально?
Значит у них есть другие способы именно в компе?
However, obtaining the original firmware and flashing back the modified one is usually not trivial, as the Intel ME firmware region is often non-writable from the OS (and it's not a safe option anyways), requiring the use of an external SPI programmer.
Хотелось бы нечто такое:
1) Купить матплату такой-то модели такой-то ревизии
2) Выгрузить firmware следующим тулзом (программатором или как)?
Модифицировать ее:
python me_cleaner.py -S -O modified_image.bin original_dump.bin
Прошить модифицированную прошивку обратно. Чем как?
3) Прошить TianoCore как чем?
4) Прошить Coreboot как обычно софтово наверно?
Понятно, что все это можно нагуглить, но, может быть, есть готовые инструкции?
Мне кажется, раз в паблик утекло отключение IntelME, то значит там еще несколько таких же троянов предусмотрено. Будут сливать по одному раз в 5 лет, оставляя запасные в секрете.
да, в процессоре. AMD начали пихать себе зонд PSP начиная с позднего семейства 16h Puma (late 16h), то есть ранний Jaguar 16h и тем более Richland 15h в себе его не содержат
далеко не все прибегают к программатору, некоторые пишут мол только если апгрейд потом нужен, то только программатором.
Т.е. просто берем образ фирменной бивисной прошивки, обрабатываем ее me_tool и пропатченный результат прошиваем как будто он фирменный?
Многие упоминяют coreboot. Что это значит?
Они обработали образ coreboot с помощью me_clean и его прошили в девайс? Т.е. фирменную прошивку даже не патчили?
я не смогу научить тебя работать с Intel ME, потому что сам сижу на AMD-шном ноуте Lenovo G505S с прошитым coreboot/SeaBIOS. coreboot - это опенсорсный БИОС, открытость исходного кода даёт уверенности в отсутствии закладок и то что он будет поддерживаться очень и очень долго. Поддерживает следующий набор материнок - https://coreboot.org/status/board-status.html
Если нужен свежий ноут без зондов, бери Lenovo G505S с A10-5750M: это самый свежий ноутбук в котором нет аппаратных зондов - ни Intel ME ни AMD PSP - и он поддерживается опенсорсным биосом coreboot
Четырёхъядерный процессор, возможность установки 16GB DDR3... Новее ты ничего не найдёшь; будет максимум «нейтрализованный» ME с «урезанной прошивкой», но без гарантий что зонд и впрямь устранён - т.к. аппаратно он сохраняется, а программно ничто не мешает ему восстановиться в один прекрасный день
G505S - 15 тысяч в хорошем состоянии стоит на авито
А есть субноутбуки без закладок, чтобы только как хранитель паролей и ключей, ну и как смотрелка в удаленные терминальные и изредка графические сессии.
Таким может стать ноут на базе EOMA68 когда его доделают - https://www.crowdsupply.com/eoma68/micro-desktop - но он стоит около 30 тысяч, в два раза дороже чем б/ушный G505S в хорошем состоянии за пятнашку.
Нужно иметь ввиду что G505S выпускалось несколько версий:
1) с разными процессорами - возможен апгрейд т.к. даже процессор не запаян (в сокете), но лучше сразу взять с A10-5750M чтобы не искать потом. Это самый мощный процессор который бывает под этот сокет
2) с разными дискретными видеокартами: бывает или без дискретки, или с HD 8570M, или с R5 M230 . Главный бонус от наличия дискретки: то что в ноуте есть второй радиатор под неё, и если ты не используешь дискретку то она не греется и процессор будет лучше охлаждаться чем если бы радиатор был один
3) с разным количеством оперативки - если только не найдёшь с 8ГБ по цене 4ГБ, лучше брать с минимальным количеством оперативки - все равно её потом продать кому и поставить 16ГБ комплект, причём не абы какой а с хорошими частотами/таймингами: 1600MHz CL9, в идеале 9-9-9-24 но можно и 9-9-9-27
встроенная HD 8650G - https://www.techpowerup.com/gpu-specs/radeon-hd-8650g-igp.c2185 - arch+features : TeraScale 3 (VLIW4) 32nm, DX 11.2, OpenGL 4.4, OpenCL 1.2, Vulkan - ?, Shader 5.0. Производительность: реально зависит от твоей оперативки! Если у тебя 1600MHz с таймингами CL11 или 1333MHz CL9 то будет почти такая же как у HD 8570M или R5 M230, но с 1600MHz CL9 твоя встройка может оказаться на 20% быстрее чем дискретка, просто благодаря более быстрой оперативе
дискретка R5 M230 - https://www.techpowerup.com/gpu-specs/radeon-r5-m230.c2571 - arch+features: seems to be the same as HD 8570M. Производительность: примерно на 3.6% выше чем у HD 8570M . R5 M230 более новая чем HD 8570M, встречается реже, но неплохо было бы с ней отхватить
Если будут ещё вопросы, с радостью на них отвечу! А пока можешь заранее купить прищепку с программатором (см. сообщение выше, расходы 500р-1000р) чтобы смог прошить опенсорсный БИОС без выпаивания чипа, и ещё WiFi модуль семейства ath9k - потому что в большинстве G505S изначально стоит дурацкий броадком который плохо работает с опенсорсом и требует несвободных драйверов/прошивок. а вот ath9k беспроблемно работает в любом линуксовом дистрибутиве, включая FSF-шные без несвободных фирмварей. модуль AR5B22 на чипе AR9462 - лучший из семейства ath9k: 300MBit/s, есть и 2.4GHz и 5GHz , можно приобрести за ~500 рублей у китайцев
Многие упоминяют coreboot. Что это значит? Они обработали образ coreboot с помощью me_clean и его прошили в девайс? Т.е. фирменную прошивку даже не патчили?
Coreboot, в отличии от Libreboot, включает в себя Intel ME. Но вроде как есть возможность собрать его с урезанным при помощи me_cleaner вариантом.
На форуме кто-то рекомендовал для устранения закладок именно Coreboot и не в коем случае не Libreboot.
Это был тролинг, чтобы установить Coreboot с неотключенным IntelME или Coreboot действительно более секурный и менее подвержен атакам аппаратными жучками?
Главное отличие coreboot от libreboot - это наличие блобов, а какие это блобы - зависит от конкретной платы. Если собрать coreboot под G505S, в его составе будет лишь несколько небольших закрытых бинарников (не защищённых никакими подписями, т.е. могут быть заменены), все их разобрали, никаких бэкдоров не нашли, и сейчас мы создаём опенсорсные замены для них; подробности тут - поиск свободного ноутбука (комментарий) . После того, как будут созданы опенсорсные замены этих оставшихся бинарников, ноутбук Lenovo G505S будет сертифицирован как FSF RYF («Respects Your Freedom») и добавлен в Libreboot, а как скоро всё произойдёт - это вопрос лишь времени и денег
эта рекомендация «libreboot, но только не coreboot» более справедлива для общего случая, когда человек выбирает между коребутовским и либребутовским интелом, а AMD он наверняка не учитывал. В-общем, если какая-то интересная плата поддерживается coreboot но не libreboot, нужно разобраться почему она не в libreboot: что за блобы остались, залочены они или можно выпилить/заменить, и исследовал ли их кто-нибудь?
Насколько мне известно, ты должен будешь извлечь Intel ME, почистить его при помощи me_cleaner, и постоянно тащить оставшийся после чистки бинарник за собой - всегда добавляя его к coreboot. Причём, если рассматриваются варианты позднее Core 2 Duo (x220 например) то полностью от этого бинарника избавиться не возможно - то есть такой компьютер даже в теории никогда не сможет перетечь из коребута в либребут; к тому же никто не даст гарантии что у того Intel ME нет скрытого механизма восстановления функциональности, который может быть активируется лишь для 1% пользователей coreboot - те кто представляют какой-то интерес для всяких трёхбуквенных агенств