Можно ли выключить IntelME на современной материнке?

Хотел предложить AMD, но у них есть AMD Secure Technology, начиная с 2013 года.

me_cleaner, работает вплоть до Kabylake.

https://www.asus.com/ru/Motherboards/M5A97_R20/specifications/

Здесь тоже есть AMD Secure Technology? AMD 970/SB950 Phenom2

Вторые феномы делали с 2008 по 2012. А AMD Secure Technology появился в 2013.

Нету. ARM TrustedZone появились в APU около второго поколения. Еще через пару поколений уже сформировался AMD PSP - ещё не полный аналог Intel ME, но уже можно бояться.

Нет. Даже обрезка через me_cleaner не работает полноценно уже.

/thread

Начиная со skylake, me_cleaner уже мизерную часть ME вырезает. Так что бесполезно.

Intel B85 (Haswell)

For generation 2 (Nehalem-Broadwell, ME version between 6 and 10) this tool removes almost everything, leaving only the two fundamental modules needed for the correct boot, ROMP and BUP. The firmware size is reduced from 1.5 MB (non-AMT firmware) or 5 MB (AMT firmware) to ~90 kB.

Стоит попробовать?

«AMD Secure Technology» в проце, а не в чипсете?

Чипсеты AMD 970 и 990* без бэкдора?

Вырезает код инициализации, этого достаточно.

Вообще, в BIOS есть настройка выключения AMD PSP. Доверять ли этой настройке или нет — дело каждого. Как и современным материнкам и CPU в принципе.

Но ведь еще остается UEFI и т.п. BIOS штуковины?

Установка Coreboot обязательна для защиты от известных троянов?

А неизвестные трояны все равно поставят? Раз инфа о IntelME просочилась, значит это было сделанно специально? Значит у них есть другие способы именно в компе?

Если у тебя паранойя в терминальной стадии, то можешь и coreboot накатить. Если при этом хочешь EFI, то можешь ещё payload'ом TianoCore накатить.

На современной материнке, ага.

При таком уровне паранойи предлагаю вообще не пользоваться компьютерами.

Присоединяюсь к вопросу, таки не у всех Skylake и выше.

А есть где-нибудь подробная инструкция по конкретной выгодной цена/качество/производительность железке?

Вроде бы пишут, что софтово IntelME не выключить: https://github.com/corna/me_cleaner

However, obtaining the original firmware and flashing back the modified one is usually not trivial, as the Intel ME firmware region is often non-writable from the OS (and it's not a safe option anyways), requiring the use of an external SPI programmer.

Хотелось бы нечто такое: 1) Купить матплату такой-то модели такой-то ревизии 2) Выгрузить firmware следующим тулзом (программатором или как)? Модифицировать ее: python me_cleaner.py -S -O modified_image.bin original_dump.bin Прошить модифицированную прошивку обратно. Чем как? 3) Прошить TianoCore как чем? 4) Прошить Coreboot как обычно софтово наверно?

Понятно, что все это можно нагуглить, но, может быть, есть готовые инструкции?

Мне кажется, раз в паблик утекло отключение IntelME, то значит там еще несколько таких же троянов предусмотрено. Будут сливать по одному раз в 5 лет, оставляя запасные в секрете.

Все верно. Всегда есть сюрпризы.
И помни - за тобой всегда смотрит боженька.

Из космоса, а нет пониже.

боженька

RMS?

А за ними смотрит? https://oldfisher-mk.livejournal.com/

или они сами Боженька?

У них вроде нет ноутбуков?

Какой из этих лучше выбрать онтопик:

ASUS 	S96F/Z96F 	Intel Core™2 Duo T7400 	Intel i945 	Intel ICH7 	ITE IT8510E 	in Super I/O 	 ? 	 ? 	 ? 	 ? 	macavity
Dell 	XPS M1530 	Intel Core™2 Duo T7700 	Intel PM965 	Intel ICH8 	none 	Winbond WPC8763L 	Winbond 25X16VSIG 	16Mb 	 ?? 	SPI 	Corey Osgood
Fujitsu-S. 	Lifebook S7110 	Intel Core™2 Duo T7200 	Intel i945 	Intel ICH7 	SMSC LPC47N217 	Fujitsu MB90378 	Spansion S25FL008A2 	1024 kB 	no 	SO8 / SPI 	twice11
Getac 	P470 	Intel® Core 2 Duo Mobile 	Intel 945 	Intel ICH7 	 ? 	 ? 	 ? 	8Mb 	no 	SPI / SOIC8 	Stefan Reinauer
IBM 	Thinkpad X60s 	Intel Core Duo CPU L2300 	Intel i945GM 	Intel ICH7-M 	NSC PC87392 (in Ultrabase) 	Renesas H8S2161B 	MX25L1605D 	2048 kB 	no 	SOIC-8 	Sven Schnelle
Roda 	Rocky III+ RK886EX 	Intel® Core 2 Duo Mobile T5500 	Intel 945 	Intel ICH7 	SMSC® LPC47N227 	Renesas M38859 	SST SST49LF080 	8Mb 	yes 	PLCC 	Stefan Reinauer

да, в процессоре. AMD начали пихать себе зонд PSP начиная с позднего семейства 16h Puma (late 16h), то есть ранний Jaguar 16h и тем более Richland 15h в себе его не содержат

Таки научите, пожалуйста, как шить intel_me.

Судя по: https://github.com/corna/me_cleaner/issues/3

далеко не все прибегают к программатору, некоторые пишут мол только если апгрейд потом нужен, то только программатором.

Т.е. просто берем образ фирменной бивисной прошивки, обрабатываем ее me_tool и пропатченный результат прошиваем как будто он фирменный?

Многие упоминяют coreboot. Что это значит? Они обработали образ coreboot с помощью me_clean и его прошили в девайс? Т.е. фирменную прошивку даже не патчили?

Списочек успешных буков:

https://www.reddit.com/r/thinkpad/comments/9fay17/whats_a_good_durable_thinkp...

X230 кто-нибудь из форумчан пробовал омиклинить и окорбутить?

Какой-то скриптец даже для программатора: https://github.com/merge/skulls/blob/master/x230/external_install_bottom.sh

я не смогу научить тебя работать с Intel ME, потому что сам сижу на AMD-шном ноуте Lenovo G505S с прошитым coreboot/SeaBIOS. coreboot - это опенсорсный БИОС, открытость исходного кода даёт уверенности в отсутствии закладок и то что он будет поддерживаться очень и очень долго. Поддерживает следующий набор материнок - https://coreboot.org/status/board-status.html

Если нужен свежий ноут без зондов, бери Lenovo G505S с A10-5750M: это самый свежий ноутбук в котором нет аппаратных зондов - ни Intel ME ни AMD PSP - и он поддерживается опенсорсным биосом coreboot

Четырёхъядерный процессор, возможность установки 16GB DDR3... Новее ты ничего не найдёшь; будет максимум «нейтрализованный» ME с «урезанной прошивкой», но без гарантий что зонд и впрямь устранён - т.к. аппаратно он сохраняется, а программно ничто не мешает ему восстановиться в один прекрасный день

G505S - 15 тысяч в хорошем состоянии стоит на авито

Рецепт для X230:

http://www.freezepage.com/1544608801HWMBQWMMQQ

Возможно этот рецепт и рабочий, но как видишь он сложноватый. а на G505S ничего заморачиваться чистить не надо, просто собираешь coreboot с дополнением SeaBIOS и шьёшь его. Обычный CH341A с алишки прекрасно подойдёт - https://www.aliexpress.com/item/Free-shipping-Bios-Board-MX25L6405-W25Q64-USB-Programmer-LCD-Burner-CH341A-Progammer-For-24-25-Series/32283031779.html , он и дешёвый и прекрасно поддерживается опенсорсной утилитой flashrom для прошивки. Главное, лучше покупать CH341A с зелёной платой: про синюю не знаю, но была небольшая бракованная партия CH341A с чёрной платой которые вместо 3.3V выдают 5V и могут повредить биос чип. + если собираешься прошивать без выпаивания, пригодится прищепка SOIC8 (для биос-чипов формата SOIC8, разумеется) Вот тут есть небольшой обзор прищепок - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate#SOIC8_test_clip - и полная инструкция по прошивке (написана для Bus Pirate, но для CH341A схема подключения прищепки намного проще и команды для flashrom чуть-чуть другие - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate#Flashing - вместо

-p buspirate_spi:dev=/dev/ttyACM0,spispeed=1M

-p ch341a_spi

Интересный вариант, спасибо.

А есть субноутбуки без закладок, чтобы только как хранитель паролей и ключей, ну и как смотрелка в удаленные терминальные и изредка графические сессии.

Таким может стать ноут на базе EOMA68 когда его доделают - https://www.crowdsupply.com/eoma68/micro-desktop - но он стоит около 30 тысяч, в два раза дороже чем б/ушный G505S в хорошем состоянии за пятнашку.

Нужно иметь ввиду что G505S выпускалось несколько версий:

1) с разными процессорами - возможен апгрейд т.к. даже процессор не запаян (в сокете), но лучше сразу взять с A10-5750M чтобы не искать потом. Это самый мощный процессор который бывает под этот сокет

2) с разными дискретными видеокартами: бывает или без дискретки, или с HD 8570M, или с R5 M230 . Главный бонус от наличия дискретки: то что в ноуте есть второй радиатор под неё, и если ты не используешь дискретку то она не греется и процессор будет лучше охлаждаться чем если бы радиатор был один

3) с разным количеством оперативки - если только не найдёшь с 8ГБ по цене 4ГБ, лучше брать с минимальным количеством оперативки - все равно её потом продать кому и поставить 16ГБ комплект, причём не абы какой а с хорошими частотами/таймингами: 1600MHz CL9, в идеале 9-9-9-24 но можно и 9-9-9-27

Сравнение видеокарт из G505S, если тебе важно:

встроенная HD 8650G - https://www.techpowerup.com/gpu-specs/radeon-hd-8650g-igp.c2185 - arch+features : TeraScale 3 (VLIW4) 32nm, DX 11.2, OpenGL 4.4, OpenCL 1.2, Vulkan - ?, Shader 5.0. Производительность: реально зависит от твоей оперативки! Если у тебя 1600MHz с таймингами CL11 или 1333MHz CL9 то будет почти такая же как у HD 8570M или R5 M230, но с 1600MHz CL9 твоя встройка может оказаться на 20% быстрее чем дискретка, просто благодаря более быстрой оперативе

дискретка HD 8570M - https://www.techpowerup.com/gpu-specs/radeon-hd-8570m.c1948 - arch+features : GCN 1.0 Southern Islands 28nm, DX 12, OpenGL 4.5, OpenCL 1.2, Vulkan 1.1.82, Shader 5.1

дискретка R5 M230 - https://www.techpowerup.com/gpu-specs/radeon-r5-m230.c2571 - arch+features: seems to be the same as HD 8570M. Производительность: примерно на 3.6% выше чем у HD 8570M . R5 M230 более новая чем HD 8570M, встречается реже, но неплохо было бы с ней отхватить

Если будут ещё вопросы, с радостью на них отвечу! А пока можешь заранее купить прищепку с программатором (см. сообщение выше, расходы 500р-1000р) чтобы смог прошить опенсорсный БИОС без выпаивания чипа, и ещё WiFi модуль семейства ath9k - потому что в большинстве G505S изначально стоит дурацкий броадком который плохо работает с опенсорсом и требует несвободных драйверов/прошивок. а вот ath9k беспроблемно работает в любом линуксовом дистрибутиве, включая FSF-шные без несвободных фирмварей. модуль AR5B22 на чипе AR9462 - лучший из семейства ath9k: 300MBit/s, есть и 2.4GHz и 5GHz , можно приобрести за ~500 рублей у китайцев

При таком уровне паранойи предлагаю вообще не пользоваться компьютерами.

Можно кластер из малинок собрать.

Огромное спасибо за советы, возможно куплю со временем, просто уже есть Thinkpad, сначала с ним поэкспериментирую наверно.

А что в современных платах типа RapberryPI в плане аппаратных троянов? Там тоже встроен Arduino?

RapberryPI

Там тоже встроен Arduino?

Ты ничего не путаешь?

Ну я образно.

Внутри малинки есть подмалинки?

к сожалению согласно классификации FSF - https://www.fsf.org/resources/hw/single-board-computers - малинка относится к Single-board computers with fatal flaws, один из худших вариантов в плане свободы

Что тогда из свободного есть? Системы на ARM вообще можно рассматривать?

Многие упоминяют coreboot. Что это значит? Они обработали образ coreboot с помощью me_clean и его прошили в девайс? Т.е. фирменную прошивку даже не патчили?

Coreboot, в отличии от Libreboot, включает в себя Intel ME. Но вроде как есть возможность собрать его с урезанным при помощи me_cleaner вариантом.

А вот тут отключение IntelME занимает всего один шаг N13:

https://karlcordes.com/coreboot-x220/

И он чисто софтовый, насколько я понимаю. Запустил одну дополнительную команду и готово.

Получается прошивка CoreBoot+me_clean в Thinkpad не особо отличается от прошивки Coreboot в AMD?

единственный известный мне одноплатник, который может оказаться полностью свободным в софтовом плане (после того как выйдет, он не вышел ещё) - это EOMA68 https://www.crowdsupply.com/eoma68/micro-desktop . он на ARM и не очень производительный, но более мощного варианта который мог бы стать свободным авторы не нашли, а следующие свои платы будут делать на RISC-V. Подробнее тут - https://www.crowdsupply.com/libre-risc-v/m-class/updates/why-make-a-quad-core-64-bit-soc-surely-there-are-enough-already

На форуме кто-то рекомендовал для устранения закладок именно Coreboot и не в коем случае не Libreboot.

Это был тролинг, чтобы установить Coreboot с неотключенным IntelME или Coreboot действительно более секурный и менее подвержен атакам аппаратными жучками?

Главное отличие coreboot от libreboot - это наличие блобов, а какие это блобы - зависит от конкретной платы. Если собрать coreboot под G505S, в его составе будет лишь несколько небольших закрытых бинарников (не защищённых никакими подписями, т.е. могут быть заменены), все их разобрали, никаких бэкдоров не нашли, и сейчас мы создаём опенсорсные замены для них; подробности тут - поиск свободного ноутбука (комментарий) . После того, как будут созданы опенсорсные замены этих оставшихся бинарников, ноутбук Lenovo G505S будет сертифицирован как FSF RYF («Respects Your Freedom») и добавлен в Libreboot, а как скоро всё произойдёт - это вопрос лишь времени и денег

поиск свободного ноутбука

Ух! серьезный подход к безопасности.

эта рекомендация «libreboot, но только не coreboot» более справедлива для общего случая, когда человек выбирает между коребутовским и либребутовским интелом, а AMD он наверняка не учитывал. В-общем, если какая-то интересная плата поддерживается coreboot но не libreboot, нужно разобраться почему она не в libreboot: что за блобы остались, залочены они или можно выпилить/заменить, и исследовал ли их кто-нибудь?

Насколько мне известно, ты должен будешь извлечь Intel ME, почистить его при помощи me_cleaner, и постоянно тащить оставшийся после чистки бинарник за собой - всегда добавляя его к coreboot. Причём, если рассматриваются варианты позднее Core 2 Duo (x220 например) то полностью от этого бинарника избавиться не возможно - то есть такой компьютер даже в теории никогда не сможет перетечь из коребута в либребут; к тому же никто не даст гарантии что у того Intel ME нет скрытого механизма восстановления функциональности, который может быть активируется лишь для 1% пользователей coreboot - те кто представляют какой-то интерес для всяких трёхбуквенных агенств

Что там разбирать, если это не старье какое-нибудь, то Intel ME там по-любому присутствует и его не вычистить полностью. Ну, ты это и сам знаешь. :-)

Но, к сожалению, ситуация с современными AMD ничем не лучше, ЕМНИП.

Скорее всего так и есть, уверен, что агенства не допустили бы утечку не будь у них возможности продолжать ей пользоваться.

Может быть там их еще несколько intel_me1, intel_me2, ...

Получается Libreboot безопаснее Coreboot, но Libreboot не работает с IntelME, т.е. для хорошей безопасности имеет смысл только для AMD без PSP?