LINUX.ORG.RU

Intel ME Blob теперь можно попробовать удалить

 ,


1

5

http://www.phoronix.com/scan.php?page=news_item&px=Intel-ME-Cleaning

Via an open-source, third-party tool called me_cleaner it's possible to partially deblob Intel's ME firmware images by removing any unnecessary partitions from the firmware, reducing its ability to interface with the system. The me_cleaner works not only with free software firmware images like Coreboot/Libreboot but can also work with factory-blobbed images. I was able to confirm with a Coreboot developer that this program can disable the ME on older boards or devices with BootGuard and disable Secure Boot. This is all done with a Python script.

★★★★★

На самом деле, гораздо интереснее было бы узнать, что полезного для юзера/админа он вообще может делать (в предположении, что мы не страдаем паранойей).

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

Вроде как, админ по сети может снести уютный Линукс и накатить десяточку.

DarkAmateur ★★ ()

Intel ME Blob теперь можно попробовать удалить

После этого чипсет попробует работать.

utf8nowhere ★★ ()
Ответ на: комментарий от DarkAmateur

Клуб петросянов за соседней дверью. Если это и вправду возможно — было бы очень полезно. Ссылку на ман/доку, пожалуйста.

intelfx ★★★★★ ()
Ответ на: комментарий от intelfx

На потребительском чипсете — вроде ничего, кроме управления питанием и вентиляторами, DRM, анклава для Java-апллетов, Wake-on-LAN и прочих задач, для которых требуется питание только по дежурному питанию.
От ME также на кошерных ноутбуках зависит Computrace.
На серверах и кошерных чипсетах есть Intel Active Management, что тебе будет интересно.
ME находится в образе BIOS в виде отдельного раздела, защищён дескриптором от чтения и записи из основной системы, подписан закрытым ключом Intel.
Имеет полный DMA-доступ, сетевой стек, главнее ring 0 и SMM, абсолютно прозрачен для основной системы, сопротивляется удалению (система выключится ровно через 30 минут), проприетарен и огорожен.
Паранойя как мне кажется более чем оправдана.

Payload ()

решето

As you can see the partition is not signed directly, instead all the modules are hashed and the modules manifests (that contain the hashes) are signed. This means that modify a module doesn't invalidate the signature, but only its hash.

Luckily for us, Intel ME doesn't check all the hashes at once, but only when it needs to execute them. Moreover the system is allowed to boot after the execution of the first module (BUP).

Therefore Intel ME:

- checks the partition signature: valid
- finds the BUP module and checks its hash: valid
- executes BUP
- - at this point the system can boot correctly, without the 30-min window
- finds the following module (probably KERNEL) and checks its hash: INVALID
- stops the execution

TheAnonymous ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)