Исследователи из компании Positive Technologies выявили (http://blog.ptsecurity.com/2017/08/disabling-intel-me.html) недокументированную опцию для отключения механизма Intel ME 11 (Management Engine), реализованного с использованием отдельного микропроцессора, работающего независимо от CPU и выполняющий задачи, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием.
Intel ME является объектом критики из-за возможности организации скрытого доступа к потокам информации пользователя в обход CPU, поэтому возможность отключение Intel ME воспринимается некоторыми пользователями как желанная опция, позволяющая избавиться от неподконтрольного "черного ящика" в системе и возможных уязвимостей в компонентах на его основе. Например, в мае была выявлена уязвимость (https://www.opennet.dev/opennews/art.shtml?num=46482) в компоненте AMT (Active Management Technology), позволяющая непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием, в том числе к функциям управления питанием, мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д.Выявленная в результате исследования настройка позволяет полностью деактивировать основной контроллер Intel ME в чипах Intel через установку недокументированного бита в одном из файлов прошивки. Указанный бит управляет включением режима HAP (High Assurance Platform), который связывается с одноимённой платформой АНБ, применяемой для обеспечения защиты компьютерных систем в госучреждениях США. Настройка является одной из опций для отключения подсистем, которые потенциально могут создавать дополнительные угрозы безопасности.
Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей оборудования, которые выполняют поставки по контракту с правительством США. Недокуменрированный характер опции объясняется тем, что данный режим пока не прошёл полный цикл проверки и пока не является официально поддерживаемой возможностью.
Примечательно, что ранее многие исследователи безопасности пытались найди способ отключения Intel ME, но сделать это удавалось лишь частично, так как некоторые процессы инициализациии и управления оборудованием завязаны на обработчики в Intel ME. Как правило осуществлялось (https://hardenedlinux.github.io/firmware/2016/11/17/neutrali...) удаление части прошивки Intel ME с оставлением минимального необходимого для загрузки набора. Подобный подход приводил к различным пробелам со стабильностью и не нашёл широкого распространения.
Что касается недокументированного режима HAP, то при его активации Intel ME выполняет все начальные стадии, необходимые для инициализации и запуска CPU, после чего переводится в неактивное состояние. Для включения режиме нет необходимости проводить какие-то особые манипуляции с прошивкой или накладывать патчи - связанную с битом HAP опцию можно поменять в интерфейсе прошивки Intel ME, где она представлена под именем "Reserved" в секции "Networking&Connectivity".
После включения режима HAP в качестве дополнительной меры предосторожности из состава прошивки можно удалить все модули, кроме RBE, KERNEL, SYSLIB, ROM и BUP, после чего откорректировать (https://www.troopers.de/downloads/troopers17/TR17_ME11_Stati...) контрольную сумму в заголовке CPD.
Исследователи из Positive Technologies провели анализ возможности выхода из режима HAP, но не нашли какого-либо кода, который позволял бы активировать Intel ME, переведённый в отключенное состояние. Полнота отключения также подтверждена экспериментальным путём - исследователи повредили части прошивки, выполняемые посоле начальной стадии инициализации, и система продолжила свою корректную работу (без отключения Intel ME возникал сбой). В итоге сделан вывод, что режим HAP может защитить от уязвимостей во всех модулях Intel ME, за исключением модулей RBE, KERNEL, SYSLIB, ROM и BUP, применяемых на стадии ранней инициализации.URL: http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=47091
> Кстати с Ryzen тоже есть проблемки:
>заключалась в том, что при продолжительных многопоточных тяжёлых нагрузках, например,Совсем не похоже.
> Сейчас уже исправили.
аналогичной проблемой райзена можно считать наличие аналогичного intelME чипа PSP(Platform Security Processor) который тоже требует сомнительный бинарный блоб в системе.. но никак не сложная ошибка в аппаратных инструкциях..
>> Это все отлично, конечно, только вот Ryzen — первый CPU от AMD, в который добавили PSP, прошивка которого (основанная на Trustonic TEE) подписана и зашифрована, а сам он занимается на платформе тренировкой памяти, возвратом системы из S3, реализует fTPM 2.0 и криптоускорение. У AMD был шанс выпустить нормальный производительный процессор, которому можно доверять, но вместо этого они догнали и перегнали Intel с их Management Engine, да еще и AGESA стали поставлять в виде BLOB'а, а ведь еще относительно недавно (в 2011) эти же люди обещали всегда поставлять ее в исходниках и поддерживать проект coreboot. В итоге, на рынке ни осталось ни одного процессора от Intel и AMD без «ядра обеспечения безопасности», и это печально.
Ну я бы ещё в историю углубился и вспомнил, что АМД в свои бульдозерные АПУ давно ставит ARM TrustZone. Так что они ещё с 2012-ого этим занимаются.
А Intel тогда с какого года этим занимается?
> А Intel тогда с какого года этим занимается?Начиная с 2010 не осталось ни одного чипсета Intel без этого "счастья". Но началось еще раньше.
увы.. рынок пока не позволяет амд не играть по условиям рынка.. с агесой грустно вышло, но там был вопрос либо блоб от подрядчика либо некому этот код написать в срок.. может потом откроют, но сейчас это слишком дорого..
> увы.. рынок пока не позволяет амд не играть по условиям рынка..что, не покупают процессоры без анального зонда?
> с агесой грустно вышло, но там был вопрос либо блоб от подрядчика либо некому этот код
> написать в срокто есть вторая после интела не может нанять пяток грамотных индусов - зато у волшебного подрядчика это почему-то получается легко и непринужденно?
честно говоря, в заговор рептилоидных тварей верится гораздо больше.
... не продают. Вы же слышали о требованиях регуляторов для мобилок. Почему же для компьютеров не было? Потому что компьютеры более централизованных и принудить 2 фирмы встроить бекдоры ничего не стоит.
требования регуляторов для мобилок вполне обоснованы (не важно что обоснование корявое - оно хотя бы существует и не скрывается) - дай тебе открытые мобилки, ты такое устроишь в радиоспектре, что даже особенности gsm протокола (дыра на дыре) уже не будут казаться особой проблемой, просто в эфире будет сплошная грязь. Кстати, wifi эти требования тоже касаются, а выполняют их - со скрипом и не всегда.Принудить американскую фирму что-то такое сделать без легальных возможностей регулирования - не смешите мои тапочки. Сядет и принудильщик, и оба непосредственных начальника, и начальник повыше уйдет в отставку без медали и новой звездочки.
Как на самом деле это делается в цивилизованных странах (добровольно и с песнями, и вполне в рыночной струе), у которых один только оборонный бюджет больше бюджета эрефии целиком - вполне внятно описал Сноуден, и, судя по визгу яхи, не соврал.заметьте, они даже не стали лишнего делать - вместо выпуска отдельной платформы исключительно для NSA/DOD/etc (что никого бы не удивило, заказ есть заказ) интел аккуратно встраивает "зарезервированный" битик в общедоступные прошивки.
>Как на самом деле это делается в цивилизованных странах (добровольно и с песнями, и вполне в рыночной струе), у которых один только оборонный бюджет больше бюджета эрефии целиком - вполне внятно описал Сноуден, и, судя по визгу яхи, не соврал.Это и называется "принудить".
> протокола (дыра на дыре) уже не будут казаться особой проблемой, просто
> в эфире будет сплошная грязь.В результате osmocom все-равно появился, БС делается из пары старых моторол с помойки, за дырки начало икаться, но любители security by obscurity продолжают рассказывать что так и задумано. А если кто-то захочет устроить в эфире грязь - вынул из микроволновки магнетрон, там киловатт излучения на частоте 2.4GHz.
> интел аккуратно встраивает "зарезервированный" битик в общедоступные прошивки.
И опять предлагается поверить джентльменам на слово. И тут карта как поперла, как поперла!
> В результате osmocom все-равно появился, БС делается из пары старых моторол с помойкидоступ к помойке ограничен, как и ее емкость. Магнетрон от микроволновки, к счастью, привязан шнурком к розетке и не помещается в карман штанов (а так-то пацанчики из Донецка показали неплохие фокусы). За банальные джаммеры больно п-т таможня.
В твоем варианте - появилось бы полторы сотни приложений в гуглоплее, и еще пицот там забаненых, но доступных каждому идиоту - и идиоты таки поперли бы пачками. Плюс трояны, плюс еще хз что.Люди, в массе, к сожалению, бараны. С одной стороны это хорошо - с бараном легко договоритсья о шашлыке (попробуй-ка договорись с козлом). Ну и вот "с глаз долой, из головы вон", чего не видят в аплесторе, тем и не пользуются.
Регуляторы, что характерно, не собираются особо бороться с хакерами, они считают неплохим успехом, если накрыли остальные 99%.
> (а так-то пацанчики из Донецка показали неплохие фокусы).Это пацанчики из Луганска
> требования регуляторов для мобилок вполне обоснованыРынок при чём? К требованиям каких-то "регуляторов".
Требования разного рода политических (экстремистских) режимов - это не рынок.
"Рынок не позволяет АМД играть по условиям рынка"? Тяжёлый случай обострения глупости.В современном капиталистическом мире нет ни одной страны с вашим любимым "свободным рынком". Все экономики жёстко монополизированы, развиваются планово и под тщательным контролем властей. Вы же застряли в 18 веке, то есть во времена становления капитализма.
>>> Это все отлично, конечно, только вот Ryzen — первый CPU от AMD, в который добавили PSP, прошивка которого (основанная на Trustonic TEE) подписана и зашифрована, а сам он занимается на платформе тренировкой памяти, возвратом системы из S3, реализует fTPM 2.0 и криптоускорение. У AMD был шанс выпустить нормальный производительный процессор, которому можно доверять, но вместо этого они догнали и перегнали Intel с их Management Engine, да еще и AGESA стали поставлять в виде BLOB'а, а ведь еще относительно недавно (в 2011) эти же люди обещали всегда поставлять ее в исходниках и поддерживать проект coreboot. В итоге, на рынке ни осталось ни одного процессора от Intel и AMD без «ядра обеспечения безопасности», и это печально.
> https://geektimes.ru/post/290907/#comment_10181397остаётся чтонить лёгковесное типа raspberri-pi или orange-pi , только жосткие както по сате прикрутить и ок. блобов у них вроде нету?
>>>>они догнали и перегнали Intel с их Management Engine, да еще и AGESA стали поставлять в виде BLOB'а, а ведь еще относительно недавно (в 2011) эти же люди обещали всегда поставлять ее в исходниках и поддерживать проект coreboot. В итоге, на рынке ни осталось ни одного процессора от Intel и AMD без «ядра обеспечения безопасности», и это печально.
>> https://geektimes.ru/post/290907/#comment_10181397
> остаётся чтонить лёгковесное типа raspberri-piУ того бродкома в RPi1 блоб на фате для того другого ядра был с самого начала. Чуть не раньше, чем у штеуда. Спасибо проф.Негропонте за счастливое питонячье детство... тех детей.
Про "безопасность", обеспечиваемую теми блобами и процессорами бродком помалкивал -- то ли тренда не было, то ли маркетинг всё проспал...
>или orange-pi , только жосткие както по
> сате прикрутить и ок. блобов у них вроде нету?
Какое отношение эта новость имеет к opensource?
Самое прямое.
Вы ошибаетесь, с каких пор хайджекинг стал опенсорсом? И практического смысла в этом — ноль, кроме #интелнаш. Домушник опубликовал в свободном доступе чертежи фомки.
> Вы ошибаетесь, с каких пор хайджекинг стал опенсорсом? И практического смысла в
> этом — ноль, кроме #интелнаш. Домушник опубликовал в свободном доступе чертежи
> фомки.me_cleaner - слышали такое?
> Вы ошибаетесь, с каких пор хайджекинг стал опенсорсом? И практического смысла в
> этом — ноль, кроме #интелнаш. Домушник опубликовал в свободном доступе чертежи
> фомки.Во первых не домушник, во вторых не фомки.
Возможность сократить число работающих в системе блобов имеет самое прямое отношение к open source.
> Какое отношение эта новость имеет к opensource?Minix 3 унутре.
Вот так количество установок Minix и превысит кол-во установок линукс.
Ну и кто был прав? Микроядро выиграло.
Плюсую.
Да, так и есть.
> Вот так количество установок Minix и превысит кол-во установок линукс.
> Ну и кто был прав? Микроядро выиграло.Это уже обсуждалось в баг трекерe корбута.
https://mail.coreboot.org/pipermail/coreboot/2017-April/0840...
>в баг трекерe корбута.
> mail.coreboot.org/pipermail/coreboot/2017-April/084091.htmlRussian hackers are coming!
""slide:
https://www.troopers.de/downloads/troopers17/TR17_ME11_Stati...video:
https://www.youtube.com/watch?v=2_aokrfcoUk ""
--https://mail.coreboot.org/pipermail/coreboot/2017-April/0840...
> Ну и кто был прав? Микроядро выиграло.Жаль что все остальные проиграли. Кав в советском анекдоте про проигрыватель.
Реквестирую полную версию анекдота. По ключевым словам не гуглится.
Тут имеются в виду два анекдота:
1984 год, чемпионат мира по шахматам. Чемпион мира Анатолий Карпов
против юного никому неизвестного Гарри Каспарова. В тот момент, когда
счёт стал 5:1 в пользу Карпова, игра длилась уже более месяца и,
несмотря на то что, матч был долгий, (в этот момент, до того как матч
отменили при счете 5:4) никто, даже Армянское Радио не сомневалось
в победе Анатолия Карпова. Итак, Армянское радио спрашивают:
- Кто такой Гарри Каспаров?
- Гарри Каспаров - это долгоиграющий проигрыватель.
(Minix всегда проигрывал а теперь выигрывает)
и
Жила-была семья. Мама, папа и ребенок лет эдак 3-4. Пришли к ним гости. Родители
дали ребенку проигрыватель, пластинку и наушники. "Слушай", говорят - "и не
скучай". Закрыли его в комнате и пошли к гостям. Как водится выпивали,
разговаривали... В общем часов через 5 они проводили гостей и зашли к ребенку.
Смотрят, ребенок сидит, плачет и стучась головой о стенку повторяет "Хочу..
Хочу... Хочу..." Родители срывают с него наушники и слышат: "Дружек, хочешь я
расскажу тебе сказку?... чик Дружек, хочешь я расскажу тебе сказку?... чик
Дружек,..."
> Реквестирую полную версию анекдота. По ключевым словам не гуглится.- Почему проигрыватель называется проигрывателем?
- Потому что при его использовании выигрывает лишь один, а проигрывают все остальные.
Никакого. Но авторы справедливо (?) полагают что опенсорс юзают только параноики.
То есть ты параноик? Иначе что ты делаешь на этом ресурсе?
Ура, товарищи!
Ну хорошо, а если включить этот HAP, чтобы деактивировать Intel ME, а он не станет при этом связывается с одноимённой платформой АНБ?
Может это хохма такая, на самом деле он престанет связываться.
> а он не станет при этом связывается с одноимённой платформой АНБ?а откуда это у вас на компьютере установленная платформа АНБ?
(а так-то - станет, конечно, если она у тебя есть. Почему там в оригинальной статье и описан длинный стремный путь доломать ME окончательно порчей "ненужных" частей прошивки)
Вот такие исследователи безопасности, никто до сих пор reserved опцию почесатт не додумался))
>> "Networking&Connectivity"Только не тут, а в Intel ME Kernel. Серый на скрине - текущий раздел, который открыт. Синий - куда просто наведен курсор мыши.
>Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей оборудования, которые выполняют поставки по контракту с правительством СШАЧто как бы лишний раз подтверждает, что Intel ME не более чем дыра.
>>Компания Intel подтвердила, что опция была добавлена по запросу некоторых
>> производителей оборудования, которые выполняют поставки по контракту
>> с правительством США
> Что как бы лишний раз подтверждает, что Intel ME не более чем дыра.Это технологическое отверстие! (ц)
PS: ещё "Недокументированный характер опции объясняется тем, что данный режим пока не прошёл полный цикл проверки и пока не является официально поддерживаемой возможностью" умилило просто.
> ... опцию для отключения механизма Intel ME 11 ...
> , работающего независимо от CPU и выполняющий задачи, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM)
> Компания Intel подтвердила, что опция была добавлена по запросу некоторых производителей оборудования, которые выполняют поставки по контракту с правительством США.Так вот кто нарушает DRM!
В суд на них!
> Так вот кто нарушает DRM!мы government agency, нам можно!
> В суд на них!
был - решили в нашу пользу. Мы им, типа, такие - "долбаная IBM, тебе 'права' покачать, или госконтракт на восьмизначные суммы" ? Ну они как-то и слились потихоньку. А потом через конгресс пару интересных актов пропихнули, и стало совсем хорошо (оно не про digital, а про просто rights, то есть еще до изобретения этой аббревиатуры, но - работает)
Читал это а в голове был голос смеющегося испанца.
Проект coreboot рад этому? Это теперь свободный uefi биос может быть даже на новых системах?
> Проект coreboot рад этому? Это теперь свободный uefi биос может быть даже на новых системах?Удалить и просто "типа отключить" - две большие разницы, не?
Вон, типичная малварь уже лет десять как ведет себя в VM просто образцово, а вот соответствующий вариант кода проверки в мегабайтах современных бинарей найти не так-то просто.
>> Проект coreboot рад этому? Это теперь свободный uefi биос может быть даже на новых
>> системах?им не до этого - они входят-выходят в гну.
> Удалить и просто "типа отключить" - две большие разницы, не?
прочитайте оригинал статьи, а не желтушный опеннетовский пересказ - позитивы подобрали табличку, позволяющую дешифровать ME (а уж потом пошли посмотреть, что у зайчика внутри, и нашли, хм, битик). Так что в принципе - можно и удалить, и авторы me_cleaner уже озадачились (правда, как обычно, сделали нечто странное и не везде работающее).
>>> Проект coreboot рад этому? Это теперь свободный uefi биос может быть даже на новых
>>> системах?
> им не до этого - они входят-выходят в гну.Вы точно не путаете либре-бут (с истеричкой Лее(й|м) ) и собственно корбут (в котором, насколько я помню коммиты в либре, и проводится основная работа)?
>> Удалить и просто "типа отключить" - две большие разницы, не?
> прочитайте оригинал статьи, а не желтушный опеннетовский пересказБлагодарю, а то и правда, что-то я слишком расслабился, бдительность потерял.
> Вы точно не путаете либре-бут (с истеричкой Лее(й|м) ) и собственно корбутбгг... я уже давно в этой санта-барбаре запутался, и просто наслаждаюсь шоу.
Никто ничего не путает. Подпишись на список рассылки и сам поймёшь.
А что если, это ловушка? Отключение фиктивно, а на деле отсылается сигнал, что вот этому челу есть, что скрывать, после чего он попадает в спец. лист.
> А что если, это ловушка? Отключение фиктивно, а на деле отсылается сигнал,
> что вот этому челу есть, что скрывать, после чего он попадает
> в спец. лист.Никаких "что если". Конечно, оно так и есть.
""Я наследный мавританский принц!11 Чтобы отключить блобы intel-me, включите вот эти вот 5 блобов intel-me. и перечислите мне $1000, чтобы получить $100000000.""
>> А что если, это ловушка? Отключение фиктивно, а на деле отсылается сигнал,
>> что вот этому челу есть, что скрывать, после чего он попадает
>> в спец. лист.
> Никаких "что если". Конечно, оно так и есть."Полнота отключения также подтверждена экспериментальным путём"
"не нашли какого-либо кода, который позволял бы активировать Intel ME"
конешно мы верим, трояны должны легко и просто отключаться, прям таки обязаны по законам физикизы: умилило
"Настройка является одной из опций для отключения подсистем (Intel ME), которые потенциально могут создавать дополнительные угрозы безопасности
...
Компания Intel подтвердила"
что там говорили ? "Intel ME повышает безопасность <<ВАШЕГО>> компутера" ?"... мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д." эх....
> А что если, это ловушка? Отключение фиктивно, а на деле отсылается сигнал,
> что вот этому челу есть, что скрыватьЛюбому разумному челу всегда ЕСТЬ что скрывать. Кроме тех, кто и так уже живёт в помещении со стенами с мягкой обивкой и под наюлюдением специально обученнного медсостава.
> а на деле отсылается сигналКому отсылается?
Тем, кто любит копаться в чужом грязном белье.
Что перестаёт работать после отключения Intel ME?
> Что перестаёт работать после отключения Intel ME?компьютер. причем - совсем.
(то что описывается в статье positive - вопреки желтым заголовкам не отключает me совсем, а только переводит его в специфический режим, когда после начальной загрузки он самоустраняется)
Зонд.
>> Что перестаёт работать после отключения Intel ME?
> Зонд."по заявлением маркетологов Интела"
Intel ME
Спасибо за интервью.
Отличная новость. Позитивовцы просто молодцы. СПАСИБО ВАМ РЕБЯТА, теперь мы сможем отключать этот зонд без геморроя с чисткой.Любопытно, что Главный Амерский Зонд отключили именно русские. Горжусь соотечественниками.
>> Любопытно, что Главный Амерский Зонд отключили именно русские.
>> Горжусь соотечественниками.Позитивовцы работают на Западе.
А «соотечественников» нужно стыдиться, хрюшка.
Уж в IT и тем более свободном софте точно баек про "соотечественников" надо стыдиться - они и держится-то на сотрудничестве всех, кого можно, не взирая на национальность и прочие бестолковые различия
> Уж в IT и тем более свободном софте точно баек про "соотечественников"
> надо стыдиться - они и держится-то на сотрудничестве всех, кого можно,
> не взирая на национальность и прочие бестолковые различияСогласен! Интернационал Интел, NSA и IBM тому пример.
> Согласен! Интернационал Интел, NSA и IBM тому пример.Мусьё подразумевает, что интернационалисты Майкрософт, Интел и ко по первому звонку из ФСБ не сольют его информацию товарищу майору, так же как МейлРу и Яндекс?
> Мусьё подразумевает, что интернационалисты Майкрософт, Интел и ко по первому звонку из
> ФСБ не сольют его информацию товарищу майорунет, конечно. Отправят добывать решение суда - своей юрисдикции. Местный офис прессовать бестолку - а то будет как с гуглем, интернационалисты хреновы.
Сотрудничество в стиле АНБ возможно, конечно, бизнес есть бизнес. Только у нас сегодня на кармане голяк, а за мелочь они дружить не будут.
В том числе, кстати. Можно подумать, что интеловские процы, например, только в Штатах делают. Сюрприз - все современные сравнительно сложные вещи - результат международного сотрудничества - сначала научного, потом финансового и технологического.
> В том числе, кстати. Можно подумать, что интеловские процы, например, только в
> Штатах делают. Сюрприз - все современные сравнительно сложные вещи - результат
> международного сотрудничества - сначала научного, потом финансового и технологического....и животново ^W "международное шпионское сотрудничество"! Пел бы уж про наднациональный капро-ZOG что ли.
мы помним какой ты свидомый. )
Забаньте хама.
...и ни одна американская вонючка, включая этих "свободолюбцев" типа Столлмана, не подала на Интел в суд! ПОЧЕМУ? Ведь налицо же нарушение privacy, за коотрое они так отчаянно борятся! И террористы тут тоже не причём. Просто фирма сама себе сделала чёрный лаз. Разве такое допустимо? Тем более НЕ ДОКУМЕНТИРОВАННЫЙ.
Паранойя: off
Маразм: off
Здравый смысл: onТеперь можно поговорить.
Долгие годы у админов была проблема администрирования компьютеров в сети. Начиная с банального перечня компьютера с оборудованием, заканчивая получение статистики о битых секторах жёстких дисков.
Компьютеры могут быть выключены, но они всегда включены в сеть - это ключевое от чего решили оттолкнуться.
По протоколу Intel ME можно получить список установленного оборудования и информацию о битых пикселях дисков.
В новых версиях с Intel ME взаимодействует ОС, сообщая о своей версии и версиях ключевых компонентов (настраиваются сетевым администратором).
Эта документация полностью открыта. Этими возможностями уже широко пользуются.
Паранойя: on
Ааа!!!! Оно работает даже когда компьютер выключен!!! АААА!!!! Они здесь!!!! Они следят за мной через спутники!!!! Нужно заклеить камеру и спать в шапочке из фольги!!!
>В новых версиях с Intel ME взаимодействует ОС, сообщая о своей версии и версиях ключевых компонентов (настраиваются сетевым администратором).
>Эта документация полностью открыта. Этими возможностями уже широко пользуются.Не подскажите где я могу найти документацию на AMT?
> Не подскажите где я могу найти документацию на AMT?На сайте Интел.
>> Не подскажите где я могу найти документацию на AMT?
> На сайте Интел.Можно точную ссылку, не могу найти
http://g.zeos.in/?q=intel%20me%20sdk
А Вас не смущает фраза High-Level API SDK? С каких пор SDK с API стало документацией?
Зачем искать "API"? Вы хотите сами запрограммить её реализацию на асме чтоли?Вы не только не хотите искать, вы даже не хотите читать то, что нашли. Неудивительно, что технология, которую юзают с 2000-ных, прошла мимо вас стороной.
Я хочу знать как она работет
Это подробно описано в документации.
А вы читали?
> Это подробно описано в документации.То что РЕАЛЬНО может и будет делать эта гадость - написано только в исходниках. Но их никто не видел, потому что лицензия позволяет. А документации от DRMщиков на какое-то там апи мало кому интересна, особенно здесь. Это не дает никаких гарантий относительно поведения ME.
Как сисадмин ты непрофпригоден.Напоминаешь паровозик из Ромашково, который вместо того чтобы работать электричкой думал о разной не имеющей отношения к расписанию и безопасности пассажиров фигне.
Весь мир не состоит из сисадминов, представляете!
> Как сисадмин ты непрофпригоден.Я не эникей, попрошу не оскорблять. Сисадмин сейчас - вымирающая низкооплачиваемая профессия для it-гастарбайтеров.
> Напоминаешь паровозик из Ромашково, который вместо того чтобы работать электричкой думал
> о разной не имеющей отношения к расписанию и безопасности пассажиров фигне.А электричкой будешь ты - на тебе все будут ездить занедорого.
Приведу условия набора админов в одну компанию.Компьютер, сканер штрих-кодов, онлайн-касса, принтер. Рядом на столе целая стопка ПО - любое.
Цель: за 1 час настроить рабочую станцию.
Приходит кандидат, устанавливает свой любимый Линукс - интересно. Он осознаёт вообще что для данного оборудования может не быть драйверов? Он вообще понимает что такое онлайн-касса и с чем её едят? Он там уверенно что-то набирает как пулемёт в командной строке - ну, у каждого свои причуды...
Проходит час: "вам нужно заменить всё оборудование в компании, т.к. оно не совместимо с ***Линуксом".
"До свидания."
Karmanov eto ti?
> Проходит час: "вам нужно заменить всё оборудование в компании, т.к. оно не
> совместимо с ***Линуксом".
> "До свидания."В ответ - "И снова здравствуйте. А теперь я представлюсь. Я официальный представитель Microsoft. Вы мне тут вот предложили установить нелицензионную копию продукта Microsoft на Вашу он-лайн кассу. Я так понимаю, у Вас на всех кассах она нелицензионная? Та-а-ак, посчитаем... Да, у Вас тут ведь сервер еще стоит, плюсуем... Да еще клиентские лицензии... Ну вот, мы ждем от Вас оплату N тыс. американских денег или встречаемся в суде? А я ведь предлагал Вам вариант подешевле!" ;)
Вообще-то, это я был из Майкрософт. И мы ничего ему не предлагали. Он сам делал выбор.
> Приведу условия набора админов в одну компанию.
> Компьютер, сканер штрих-кодов, онлайн-касса, принтер. Рядом на столе целая стопка ПО любое.Приведу условия набора на плантацию: барак и мотыга предоставляются бесплатно. Имеется столб, кнут и надсмотрщик. Рабовладелец и стая фила бразилейро в комплекте.
> Цель: за 1 час настроить рабочую станцию.
Цель: вскопать до вечера плантацию.
> для данного оборудования может не быть драйверов? Он вообще понимает что
> такое онлайн-касса и с чем её едят? Он там уверенно что-то
> набирает как пулемёт в командной строке - ну, у каждого свои
> причуды...Он набирает это один раз в жизни. А потом если это не школьни с гентой - он гвоздит новые рабочие станции для сотрудников и сервера для корпоративных нужд как пулемет.
Бред. Обеспечить поддержку перечисленных классов устройств под линуксом даже легче, чем под виндой.
Описание принципа работы и связи BootGurd'a в студию!
> информацию о битых пикселях дисков.What???
У кибер-нудистов своя атмосфера?
> ...и ни одна американская вонючка, включая этих "свободолюбцев" типа Столлмана, не подала
> на Интел в суд! ПОЧЕМУ? Ведь налицо же нарушение privacy, за
> коотрое они так отчаянно борятся! И террористы тут тоже не причём.
> Просто фирма сама себе сделала чёрный лаз. Разве такое допустимо? Тем
> более НЕ ДОКУМЕНТИРОВАННЫЙ.Столлман же сказал, что компьютеры - дерьмо. Процессоры от интеля и амуды - дерьмо. Нужно пользоваться только проверенными китайскими процессорами и BIOS с FreeBoot\CoreBoot.
> Столлман же сказал, что компьютеры - дерьмо. Процессоры от интеля и амуды
> - дерьмо. Нужно пользоваться только проверенными китайскими процессорами и BIOS с
> FreeBoot\CoreBoot.И желательно попроще - ARM, MIPS или OpenSPARC, например. Ну или Эльбрус ;)
> и ни одна американская вонючка, включая этих "свободолюбцев" типа Столлмана, не подала на Интел в суд!Сегодня в жёлтом доме день открытых дверей или как? Идите подавайте в суд на Интел, и на АМД тоже, у них аналог уже пять лет как сидит в процессорах, и на производителей арм процессоров, у них тоже есть отдельное ядро для таких целей. А Столлман давно сидит на свободном доисторическом железе и ему норм.
Столлман сказал, что ему хватит и свободного ПО, а свободным АО пусть занимается кто-то другой. (пусть на опеннете появится слово "Столлман", а то у меня такое обманчивое ощущение, что я пишу его фамилию не правильно из-за красного подчёркивания)
Пусть в твоём мозгу появится хоть пара извилин: слова подчеркивает не опеннет, а твой блолохром.
Печально, что мой блолохром не знает такого слова ((
> Печально, что мой блолохром не знает такого слова ((Правда у меня Firefox
> ME выполняется отдельная операционная система, основанная на коде ОС MINIX.Ох не зря Торвальдс на Таненбаума бочку катил.
Торвальдс за лицензию, Таненбаум за архитектуру. Так и катят)
Одни двигаются в сторону микроядра всё равно, только по своему.
Другие упираются с лицензией, но результат очевиден.
> Одни двигаются в сторону микроядра всё равно, только по своему.Линукс моноличное ядро с модулями, можно сказать что худо-бедно движется в сторону гибридного, фактически им и являясь.
Разница в том, что линуксовое ядро меняется в соответствии с реальными нуждами. Когда/если сложится ситуация, в которой микроядро будет реально выгодно (по итогам оценки всех критериев - а там и надёжность, и быстродействие, и лицензионные соображения, и стоимость переписывания и куча других вещей, о половине которых мы с вами не знаем) - тогда придёт микроядро.
> Разница в том, что линуксовое ядро меняется в соответствии с реальными нуждами.
> Когда/если сложится ситуация, в которой микроядро будет реально выгодно (по итогам
> оценки всех критериев - а там и надёжность, и быстродействие, и
> лицензионные соображения, и стоимость переписывания и куча других вещей, о половине
> которых мы с вами не знаем) - тогда придёт микроядро.Линуксное ядро с некоторых пор позволяет интересные вещи. Например, vfio позволяет работать с железом из юзермода, без привилегий. Или fuse для написания файловых систем в юзермоде.
Может, но всё это настолько тормозно, что годится только для весьма специфических вещей, а потому мало кому нужно. Собственно, у микроядра та же проблема. А что касается FUSE - там начинаются весьма интересные беды, если по какой-то причине корректно отмонитровать такую FS не выходит, а это довольно частый случай. Впрочем, это проблемы в VFS, насколько я понимаю. А вот тормоза - не лечатся.
> Может, но всё это настолько тормозно, что годится только для весьма специфических
> вещей, а потому мало кому нужно. Собственно, у микроядра та же проблема.Поэтому они и не пользуются популярностью. Кому надо тормозной десктоп или сервер? Блэкберри в свое время тоже много бодались, только для того чтобы узнать что они такие мало кому нужны. Кто их теперь помнит вообще?
> это довольно частый случай. Впрочем, это проблемы в VFS, насколько я
> понимаю. А вот тормоза - не лечатся.Переключение контекста - дорогая операция. Ядро линя сейчас даже сисколы вроде умеет группировать, чтобы при переключении контекста сразу целый батч пробрасывать.
> Торвальдс за лицензию, Таненбаум за архитектуру. Так и катят)Поэтому продуктами Торвальдса мы пользуемся, а продуктами Таненбаума нас имеют, настолько что возможность отказа от флагштока - мутная и даже так запрятана. Вот так мы и сравниваем кто какую услугу человечеству оказал.
> Одни двигаются в сторону микроядра всё равно, только по своему.
Интересно, рады ли любители микроядер тому что микроядра захватили мир...
> Другие упираются с лицензией, но результат очевиден.
Воистину.
> Поэтому продуктами Торвальдса мы пользуемся, а продуктами Таненбаума нас имеют.
> Вот так мы и сравниваем кто какую услугу человечеству оказал.Я тоже в тюрьме от гопников-наркоманов слышал, что всё зло от торговцев оружием и наркотиками. Было бы оружие ещё менее доступно - никого бы не убивали. Были бы наркотики ещё менее доступны, наркоманы бы их не употребляли на последние деньги.
> Я тоже в тюрьмеЕсли передёргивать, то можно ведь и вот так сделать.
Впрочем, оба хороши -- профессору тоже есть за что быть благодарным, а корпорация добра (tm) вполне себе имеет наши весьма персональные данные "продуктами Торвальдса".
Вот же странно: годами было тихо, и вот практически сразу после запуска предсаказов на https://www.raptorcs.com/TALOSII/ - публикуют дескать как отключить."Совпадение? Не думаю".
Ну да не совпадение. Цены вы на это всё рапторовое видели?
Я думаю точно, просто компании заплатили за исследование!
По Вашему если свобода стОит некоторой суммы денег, то такая свобода не нужна - я правильно Вас понял?
Не могу найти на их сайте ценник. Дай ссылку.
https://secure.raptorcs.com/content/TL2WK2/purchase.html
> Цены вы на это всё рапторовое видели?Цены для такого железа вполне адекватные. Просто железо далеко не для домашних задач.
чуваки, готовые вышвырнуть $5k на посредственный десктопчик с ни с чем несовместимым и никем толком не поддерживаемым железом, "зато безопастно!" (главное, ни в коем случае не включать в розетку!) массово обрадовались, заперебирали жырными пачками (чужих? откуда у них свои?) баксов в кармашшках, и побежали за копеечным интелом, услышав про секретный битик?ню-ню.
> чуваки, готовые вышвырнуть $5k на посредственный десктопчикЗабавное название для рабочей станции. Извини, но рабочая станция - это таки довольно мощный и хороший десктопчик.
> с ни с чем несовместимым и никем толком не поддерживаемым железом,
Что значит несовместимым? Там обычные pci-e, usb и проч. Работают открытые амдшные дрова видях, так что 3D будет, если надо. Что там не работает? Маздайка? Пользователям маздайки заведомо пофиг кто и за что их держит. Если бы это было не так, они бы не пользовались маздайкой. Потому что если бы им было надо безопасность, предсказуемость и отсутствие подлянок - они бы для начала выбросили маздайку, чтоли. Это вообще бесплатно можно сделать.
> "зато безопастно!" (главное, ни в коем случае не включать в розетку!)
Кроме всего прочего еще и не очень массовая архитектура - большинство эксплойтов обломится. Заказные конечно прошибут, но их получает далеко не каждый.
> ню-ню.
Странно что у тебя так зудит от того что не все хотят получать флагшток в ....
> Забавное название для рабочей станции.рабочая - это на которой работать. А тут - только прятаться от рептилоидов.
> Что значит несовместимым?
значит что ты не можешь ни купить детали с улицы (там будет чип с биосом, x86-совместимым, без которого не проинициализируется), ни использовать эти в чем-то другом. Я в эти игры хорошо в свое время поиграл с power-mac'ом от неродного производителя. Ага-ага, там ни одной детали с лейбаком apple, но и пользы от этого зверя - ровно никакой. Линyпс, кое-как, можно было загрузить "но зачем?"
остается тебе один только линyпс, причем линyпс, собранный с драйверами и под target, которые разработчики видели в лучшем случае в эмуляторе.
А эксплойты в эмуляторе, кстати, прекрасно отлаживабельны. Так что зря вы надеетесь, что если выжрали ящик водки и никого вокруг не видите, то от всех спрятались.
Ну и возвращаясь к исходной теме - прямо таки представляю себе толпы людей, штурмующих магазины, вожделея купить себе ЭТО. И тут же разбегающиеся со словами - опа, да там один битик всего перевернуть, экономия-то какая!
> Странно что у тебя так зудит от того что не все хотят получать флагшток в ....
у меня аллергия на баранину. Даже баранину, не желающую быть шашлыком (ему когда горло режешь - он уже о чем-то начинает догадываться, и в этот момент все ж таки дергается, ага. А до этого самого момента - куды ведешь, туда и придет.)
Объясните, TPM работать будет, если отключить ME способом из статьи?
Если TPM аппаратный (отдельный) - да, если TPM 2.0 (встроенный в ME) то нет.
>TPM 2.0 (встроенный в ME)
>TPM
>софтовыйТьфу.
> можно удалить все модули, кроме RBE, KERNEL, SYSLIB, ROM и BUP, после чего...вы лишитесь документированного ремотного управления и вламываться на компьютер сможет только NSA?
Советую почитать и понять разницу между AMT и ME
> Советую почитать и понять разницу между AMT и MEТехнически, AMT это несколько модулей-довесков, запускаемых на том же проце что и ME. Легко догадаться что другие куски ME могут все то же самое, если захотят. Поскольку сорцов нет - никто не знает что и когда они могут захотеть. А когда это еще и подписями обвешано, а если отказаться запускать то компьютер выключается - это вызывает ряд интересных вопросов.
А что, нельзя выпустить мамик (пусть ограниченным тиражом, для конкретного заказчика) без оного чипа и закрыть тему?
> А что, нельзя выпустить мамик (пусть ограниченным тиражом, для конкретного заказчика) без
> оного чипа и закрыть тему?ну тут есть два варианта: первый, рептилоидный - что конкретный заказчик предпочитает не палиться еще на фабричке (где-то в малайзии) что плата предназначена ему, а иметь возможность купить любую в любом ларьке.
Второй, более вероятный - выпуск отдельного "ограниченного тиража" довольно недешев, а битик - один удар по горбу индусу, ваяющему ME. А деньги заказчик заплатит одни и те же.
ниче не понял, куда тыкать то и что запускать что бы за тобой не следили?
> ниче не понял, куда тыкать то и что запускать что бы за
> тобой не следили?Уроки учи. Правописание - в первую очередь.
православие в первую очередь. правописание верным не требуется.
Где это ме есть то? В серверных чипах? Как заюзать все пречисленные плюшки?ЗЫ: где-то есть недокументированная функция для включения обратно. как раз когда бзер расслабится и потеряет бдительность
> Где это ме есть то? В серверных чипах?в любых чипах, начиная с ICH9. "Это" версии 11, не поддающееся потрошению конвенционными способами - в чипсетах skylake.
> Как заюзать все пречисленные плюшки?
плюшек там ровно никаких, плюшки интел ест. Продавая тебе софтовую реализацию вместо каменной.
> ЗЫ: где-то есть недокументированная функция для включения обратно
positive ее старательно поискали, и не нашли. В том числе - методом порчи модулей, me, натыкаясь на битый модуль, автоматически выключает питание системы через 30 минут. С чем и связана проблема от него избавиться, даже ценой потери функционала.