Intel ME Blob теперь можно попробовать удалить

1

5

http://www.phoronix.com/scan.php?page=news_item&px=Intel-ME-Cleaning

Via an open-source, third-party tool called me_cleaner it's possible to partially deblob Intel's ME firmware images by removing any unnecessary partitions from the firmware, reducing its ability to interface with the system. The me_cleaner works not only with free software firmware images like Coreboot/Libreboot but can also work with factory-blobbed images. I was able to confirm with a Coreboot developer that this program can disable the ME on older boards or devices with BootGuard and disable Secure Boot. This is all done with a Python script.

Ссылка

←	пляшем, бабы, пляшем - openbsd 6.0, песня 7 из 6: Wish you were secure

ubuntu уже не торт

→

На самом деле, гораздо интереснее было бы узнать, что полезного для юзера/админа он вообще может делать (в предположении, что мы не страдаем паранойей).

intelfx ★★★★★
(13.01.17 10:30:39 MSK)

Ответ на: комментарий от intelfx 13.01.17 10:30:39 MSK

Вроде как, админ по сети может снести уютный Линукс и накатить десяточку.

DarkAmateur ★★★★
(13.01.17 10:37:46 MSK)

Intel ME Blob теперь можно попробовать удалить

После этого чипсет попробует работать.

utf8nowhere ★★★
(13.01.17 12:04:41 MSK)

Ответ на: комментарий от DarkAmateur 13.01.17 10:37:46 MSK

Клуб петросянов за соседней дверью. Если это и вправду возможно — было бы очень полезно. Ссылку на ман/доку, пожалуйста.

intelfx ★★★★★
(13.01.17 13:22:42 MSK)

Ссылка

Ответ на: комментарий от intelfx 13.01.17 10:30:39 MSK

IP kvm да еще и с remote HDD/fdd/ISO/CD

~~zgen~~ ★★★★★
(13.01.17 17:14:48 MSK)

Ссылка

С разморозкой.

~~Payload~~
(13.01.17 17:34:35 MSK)

Ссылка

Ответ на: комментарий от utf8nowhere 13.01.17 12:04:41 MSK

Системы поддерживающие coreboot работают.
Некоторые проприетарные прошивки используют функции ME, они могут не работать
https://github.com/corna/me_cleaner/issues/3

~~Payload~~
(13.01.17 17:40:01 MSK)

Ссылка

Ответ на: комментарий от intelfx 13.01.17 10:30:39 MSK

На потребительском чипсете — вроде ничего, кроме управления питанием и вентиляторами, DRM, анклава для Java-апллетов, Wake-on-LAN и прочих задач, для которых требуется питание только по дежурному питанию.
От ME также на кошерных ноутбуках зависит Computrace.
На серверах и кошерных чипсетах есть Intel Active Management, что тебе будет интересно.
ME находится в образе BIOS в виде отдельного раздела, защищён дескриптором от чтения и записи из основной системы, подписан закрытым ключом Intel.
Имеет полный DMA-доступ, сетевой стек, главнее ring 0 и SMM, абсолютно прозрачен для основной системы, сопротивляется удалению (система выключится ровно через 30 минут), проприетарен и огорожен.
Паранойя как мне кажется более чем оправдана.

~~Payload~~
(13.01.17 17:53:34 MSK)

Ссылка

решето

As you can see the partition is not signed directly, instead all the modules are hashed and the modules manifests (that contain the hashes) are signed. This means that modify a module doesn't invalidate the signature, but only its hash.

Luckily for us, Intel ME doesn't check all the hashes at once, but only when it needs to execute them. Moreover the system is allowed to boot after the execution of the first module (BUP).

Therefore Intel ME:

- checks the partition signature: valid
- finds the BUP module and checks its hash: valid
- executes BUP
- - at this point the system can boot correctly, without the 30-min window
- finds the following module (probably KERNEL) and checks its hash: INVALID
- stops the execution

TheAnonymous ★★★★★
(13.01.17 23:06:35 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	пляшем, бабы, пляшем - openbsd 6.0, песня 7 из 6: Wish you were secure

Talks

ubuntu уже не торт

→

решето

Похожие темы