Comments 89
UFO landed and left these words here
подать в суд на Intel и принудить вырезать ее нафиг

На каком основании? Всё как обычно, хозяин — барин. Если пользуешься, то соглашаешься с правилами, а коли не согласен — не пользуйся.

На основании судебного решения. Если оно будет, конечно, и будет в пользу истцов. А правило «хозяин — барин» может работать в обе стороны. Хочешь продавать продукцию здесь — подчиняйся нашим правилам. Собственно, оно уже так. Только насчёт скрытой функциональности правила пока нет.
Если оно будет, конечно, и будет в пользу истцов

А с чего бы ему быть в пользу истцов? У Intel денег на адвокатов поболе, чем у общественности, а сама IME позиционируется как полезная фича, а не как бэкдор. И начинать тяжбу изначально с такой позиции — дело крайне неблагодарное.
Вы не у джедаев юристконсультантом работает? Тебе не победить, я стою выше у меня больше юристов.

Это одна сторона будет заявлять, что полезная. Для другой это навязанная услуга/функциональность. (Или что-то аналогичное, в терминах США.) И были сходные прецеденты, когда производитель пытался утверждать, что операционная система является неотъемлемой частью железа компьютера, а браузер — неотъемлемой частью операционной системы. И в обоих случаях выяснилось, что это не так.
Для другой это навязанная услуга/функциональность.

Почему? Вас же никто не заставляет покупать именно эти процессоры/чипсеты. На рынке полно других, купите их.
были сходные прецеденты

Не было. Вы же, наверное, разницу между «отделить ОС от компьютера», «отделить приложение от ОС» и «отделить узел микросхемы от микросхемы» понимаете? Сам по себе такой иск — это квинтэссенция абсурда. Все равно что устраивать иск к Qualcomm, и требовать разделять их SoC, потому что вам в вашем смартфоне не нужен блютус.
И если брать ситуацию, например, с Майкрософт и IE, то там вопросы лежали в антимонопольной плоскости. Пользователей возмущала не продажа «ненужного» браузера, а нечестная борьба с альтернативными браузерами.
> Пользователей возмущала не продажа «ненужного» браузера, а нечестная борьба с альтернативными браузерами.

Давайте будем честными: Пользователей устраивал встроенный браузер и они не смотрели в сторону других и это не устраивало не пользователей, а производителей других браузеров.
Будем. Если бы меньшинство не суетилось, то все бы до сих пор сидели бы на IE 6.
Просто победил сильнейший, вот и все. Теперь в качестве дефолтного браузера — chrome, но почему-то всем нормально. Видимо денег не вливает конкурент на «суету меньшинства».
На рынке полно других, купите их.

Ничего необычного. Ещё один человек, который не хочет понимать, что есть рыночные, а есть надрыночные механизмы. И пока одни предлагают голосовать рублём, другие используют и цены и законы против них. Против их интересов.

Вы же, наверное, разницу между «отделить ОС от компьютера», «отделить приложение от ОС» и «отделить узел микросхемы от микросхемы» понимаете?

Я всё прекрасно понимаю. Начиная с того, что тогда были такие же аргументы, мол, без операционной системы компьютер бесполезен. Продолжая тем, что в текущей статье чётко показано, что без ME жить таки можно. Что после запуска компьютера её можно полностью отключить. И заканчивая тем, что это микроконтроллер со своей операционкой. А значит требовать можно много чего. Начиная с того, чтобы режим отключения был обязательно доступен и даже активирован по умолчанию (обычным людям он как раз не нужен, а пару ватт по любому жрёт, что в мировом масштабе заметно. привет зелёным.) и кончая тем, что пользователь должен иметь право эту прошивку заменять и модифицировать. А уж на что — это дело пользователя.

И пока одни предлагают голосовать рублём, другие используют и цены и законы против них. Против их интересов.

Хм. Объясните, пожалуйста, что в этом плохого? Я имею в виду, плохого не с вашей личной точки зрения, а объективно? На любом рынке в сухом остатке есть два интереса, у покупателя интерес получить побольше того, что он хочет, за меньшую цену, у продавца — продать как можно больше того, что он может, за большую цену.
Это сугубо противоположные интересы, покупатель и продавец играют друг против друга, а не на одной стороне. Поэтому ваши интересы они как бы и не должны отстаивать, это обычная ситуация.
Вы вот где работаете? Ваше предприятие тоже против чьих-то интересов сейчас сражается, честное слово.

Я всё прекрасно понимаю. Начиная с того, что тогда были такие же аргументы, мол, без операционной системы компьютер бесполезен.

И все же, следующий этап борьбы со злом, перестать продавать ОС вместе с компьютером в одном случае, и перепроектировать микросхему, переделав или убрав неодобряемый пользователями узел в другом — вы тоже будете сопоставлять?
Это уже не говоря о том, что неизвестно, кого в мире больше, тех, кому эта функция нужна или тех, кого она раздражает.
Поэтому ваши интересы они как бы и не должны отстаивать, это обычная ситуация.

И? Они их и не отстаивают. Они отстаивают свои. А вот мои никто кроме меня не отстаивает. Наоборот все ходят вокруг и удивляются: А чего это я не жру покорно что дают?

вы тоже будете сопоставлять?

Ещё как буду. «Это сложна, долга и дорога» — стандартная отмазка жадных и ленивых жоп. Когда воодили MNP все опсосы стояли на коленях, рыдали и рвали на голове последние волосы, что технической возможности сделать это нет. И ничего. Оказалось что всё можно. Теперь у нас второй акт того же самого на тему отмены роуминга.

И я не зря их привёл в пример. Ведь аргументы там можно было бы абсолютно те же самые привести. Номера — их частное дело. Не нравится — уходите к другим. И вам ничего не должны. Но оказалось, что не частное, уходить некуда, а они очень даже должны.

Это уже не говоря о том, что неизвестно, кого в мире больше, тех, кому эта функция нужна или тех, кого она раздражает.

Миллионы мух ошибаться не могут. © По определению. Ну или… Неизвестно кого в мире больше, тех, кто опасается последствий до их наступления, или тех, кто будет ждать, пока их жареный петух в одно место не клюнет. Хотя нет. Известно. Очень даже хорошо известно.
Наоборот все ходят вокруг и удивляются: А чего это я не жру покорно что дают?

Скорее удивляются, зачем вы занимаетесь фигней, которая не стоит потраченных на неё калорий. Вас смущает наличие официально документированной функции, через которую кто-то, как-то, с небольшой вероятностью, теоретически может что-то без вашего согласия сделать с вашими данными, и это при наличии миллиона потенциальных возможностей сделать это через другие, не столь документированные дыры и закладки?
Ещё как буду. «Это сложна, долга и дорога» — стандартная отмазка жадных и ленивых жоп.

Мне кажется, у вашей жопы просто нет фокуса на какое-то другое, более полезное дело, не для общества, так хоть для вас лично :)
Начинаю всерьёз жалеть, что не владею производством матплат. Как они до сих пор не догадались asic встраивать в каждую. С таким-то народом…
подать в суд на Intel и принудить вырезать ее нафиг
На каком основании?
На основании судебного решения.


Подать в суд на основании судебного решения? Гм, "чтобы понять рекурсию, надо понять рекурсию". На основании чего будете в суд подавать? "Тут есть какая-то хрень, она мне не нравится, пусть её вырежут"?


И были сходные прецеденты, когда производитель пытался утверждать, что операционная система является неотъемлемой частью железа компьютера, а браузер — неотъемлемой частью операционной системы. И в обоих случаях выяснилось, что это не так.

В данном случае, вам же эксперты говорят, что вырезание этой штуки приводит к неработоспособности системы. Вы ещё южный мост попросите убрать — это же явно навязанная услуга/функциональность.

В данном случае, вам же эксперты говорят, что вырезание этой штуки приводит к неработоспособности системы. Вы ещё южный мост попросите убрать — это же явно навязанная услуга/функциональность.

А может стоит отличать невозможность работать без неё, от простого запихивания в неё всего что только можно?
Они напихали целенаправленно в неё всё это потому оно без этого не может работать.
Точно так же забавляет как в одной теме про boot guard утвержадили о благах и тыкали пальцем в то что можно прописать зловреда которого потом только отпиливанием чипсета можно удалить. И вроде правы, но вот только есть нюанс связанный с тем что такое сделать можно благодаря этим самым «технологиям защиты».
Всё это фарс все эти Intel ME, PSP(или как там от AMD) делают не для защиты юзера, а для защиты от юзера.
Подать в суд на основании судебного решения?

Вырезать на основании судебного решения.

Тут есть какая-то хрень, она мне не нравится, пусть её вырежут

И? Что не так? Главное основания иметь. А их не мало. Вон, на основании ответа сотрудника Intel следует, что АНБ считает, что работа этой штуки повышает риск утечки данных.

В данном случае, вам же эксперты говорят, что вырезание этой штуки приводит к неработоспособности системы.

Какие эксперты? Компании Intel? Эксперты в статье? Они другое говорят. Что ME защищается от повреждения прошивки. А не то, что без него работать никак. А как же мы раньше-то жили, когда никто ME в матплаты не пихал.
Вырезать на основании судебного решения.

А подать в суд на основании чего? "мы, долбо народ америки, против конкретного технического решения коммерческой компании интел. Заодно требуем, чтобы автомобили выпускались с квадратными колёсами."


Что не так? Главное основания иметь.

Не так то, что какие-то хрены с горы решают чему быть и чему не быть в составе коммерческого продукта. Имеешь "основания" — не покупай. Ни кто ж не заставляет. Мне не нравится, что у айфонов пропал аудиоджек, это основание для судебного преследования? Я просто не покупаю айфон. Что не так?
Подать в суд можно имея основания считать, что в основании тебя нарушен закон. Какой закон в данном случае нарушен?


Вон, на основании ответа сотрудника Intel следует, что АНБ считает, что работа этой штуки повышает риск утечки данных

Но это же бред полный. Наличие портов усб очевидным образом повышает риск утечки данных — вырежем их по суду? Видеовыход очень сильно повышает риск утечки данных — вырезать, правда? Сам компьтер является источником повышенного риска утечки данных — запретить? Ну, а основным слабым звеном в системах безопасности, как известно, является человек, человеческий фактор является главной угрозой и риском утечки данных — убить всех человеков?


эксперты? Компании Intel? Эксперты в статье? Они другое говорят.

полностью выключить ME на современных компьютерах невозможно. Это связано прежде всего с тем, что именно эта технология отвечает за инициализацию, управление энергопотреблением и запуск основного процессора. Сложности добавляет и тот факт, что часть кода «жестко прошита» внутри микросхемы PCH, которая выполняет функции южного моста на современных материнских платах
Это из статьи.


А не то, что без него работать никак.

Если докажете суду, что можете работать без инициализации, управления энергопотреблением, запуска процессора и других функций южного моста, и что запуск процессора нарушает в отношении вас какой-то закон, то флаг вам в руки.


А как же мы раньше-то жили, когда никто ME в матплаты не пихал.

Вот я и говорю, надо и южный мост судебным решением запретить. Жили же без него. В 1ВМ РС ХТ на i8088 никакого южного моста не было и всё прекрасно работало. Запретить! Вырезать! Риск утечки данных! Галактеко опасносте!


Зы. Однажды мы купили специально материнку в которой была ме и заявлена вот эта самая возможность удалённого доступа. Два человека пару недель пытались заставить эту фичу заработать. У нас не получилось :). С тех пор мы просто "голосуем ногами". Не нравится технология — ну, не покупайте же.

Linux и прочие опенсурсные ОС поддерживает нормально, если есть поддержка архитектуры Power. Насчет драйвер ГПУ — это интересный вопрос, опенсорсные наверное можно будет портировать, но блобы врятли
В одном из вариантов(где tower предлагается) в комплекте предлагают некий графический ускоритель от AMD.
UFO landed and left these words here
wintel с маками и андроидами тоже не вдруг появились
и линукс
и ARM
да десятки примеров можно найти, когда что-то новое спустя несколько лет становилось общепринятым
Собственно, в статье говорится, что Intel в 22-нм чип добавила аж 3 автономных процессора, причём третий (IE) вообще «на всякий случай», мол, может кому пригодится. Почему IBM не может тайно встроить дополнительный процессор для слежки в свои 14-нм чипы?
И? У IBM нет чипсета? В процессоре IBM, выпущенном по ещё меньшему техпроцессу, чем чипсет Intel-а, нет места для столь маленького по нынешним временам блока, что Intel может его включать в чипсет пачками? (погуглил: 80486 имел менее 1млн. транзисторов вместе со всеми кэшами; бюджет IBM Power9 — 8000млн. транзисторов)

Собственно, суть моего комментария была в том, что из потенциальной угрозы, про которую десяток лет назад говорили лишь параноики, закладки в чипах (не важно, в ЦП или чипсете, я потому и использовал универсальное слово «чип» в моём предыдущем комментарии) стали нормой жизни.

Intel частично документировал эти закладки и представил «поставщикам платформ» возможность один из трёх модулей-закладок программировать по своему желанию (Innovation Engine). Код ROM, как видно из статьи, Intel до конца не раскрывает.

Почему IBM (вместе с арабской Globalfoundries) заслуживает большего доверия, чем Intel?
К чему вы это? Я написал, что добавить закладку, похожую на то, что сделал Intel, стоит 1/8000 бюджета транзисторов, то есть было бы желание — вообще не составляет никаких трудностей. В ответ вы мне пишете про официальный firmware.

Если мы допускаем, что фирмы типа IBM и Intel действительно вставляют шпионские закладки, логично предположить, что они просто не будут включать упоминания об этом ни в какие официальные бумаги и исходные коды — пойдите проверьте, 8000млн. там транзисторов или 8001млн. — времена, когда можно было «спилить» процессор и что-то там понять, давно прошли.

Я вот уже третье сообщение пытаюсь пояснить, что «открытость» платформы (в терминологии IBM) не имеет никакого отношения к закладкам, пока выпуском занимаются фирмы, которым вы не можете доверять (а если вы можете доверять всей цепочке IBM, Globalfoundries, Raptor Electronics, то почему нельзя доверять Intel и вашему изготовителю материнской платы?).
Добрый день, спасибо за статью!

Есть пара вопросов:

1. В статье упомянуто:
на многих материнских платах некорректно выставлены права доступа к регионам flash-памяти

какие производители материнских плат, по вашим наблюдениям, делают меньше ошибок при создании и конфигурировании firmware?

2. Поясните официальную (и, возможно, неофициальную) позицию Intel по поводу раскрытия внутренностей IME. Является ли сокрытие информации элементом «security by obscure» или имеет чисто коммерческие цели?
1. Статистику по ошибкам конфигурации можно найти тут www.blackhat.com/docs/us-17/wednesday/us-17-Matrosov-Betraying-The-BIOS-Where-The-Guardians-Of-The-BIOS-Are-Failing.pdf

2. В книге Platform Embedded Security Technology Revealed, которая описывает внутренне устройство Intel ME заявляется, что доступ к коду модулей не должен компрометировать систему и не считается угрозой безопасности.
Если смотреть с точки зрения безопасности, то вот мнение CodeRush (автора цикла статей на Хабре про безопасность UEFI).

Лучше всего дело обстоит с мат. платами самой Intel, но их можно сейчас встретить разве что в составе Intel NUC.
Можно еще приобрести серверные матери с одним сокетом, но там ECC
Там по цене недалеко до младших рабочих станций (Precision, ThinkStation) или просто брендовых системников уровня OptiPlex 5050, но в них редко можно поставить нормальную видеокарту из-за слабых БП.
Я правильно понял, что до того, как загрузилась какая-либо пользовательская операционная система, процессор уже фактически работает под управлением практически полноценной другой ОС (MINIX)?
Не совсем так, ME встроен в PCH и на большинстве платформ. Но начинает функционировать до старта основного процессора в момент появления дежурного напряжения.
Не процессор, а отдельный так сказать сопроцессор, который как я понимаю, имеет доступ ко всему, в том числе к основной памяти.
нет, миникс стартует на своём процессоре, являющемся частью чипсета
процедура в миниксе отдаёт команду на старт процессора и следит за инициализацией его и памяти, если всё в порядке, то управление передаётся им, точнее, загрузчику BIOS
ME просто снимает с процессора сигнал RESET, если конфигурация его устроила и он уже настроил ICC
точнее, команда эта отдаётся после нажатия кнопки POWER, а сам миникс запущен уже после втыкания кабеля питания в системник или подключения аккума к ноутбуку
Процессоров ни одного, а вот материнской плате повезло меньше — она лишилась моста (фото в шапке)
Отключение этого бита не мешает откатиться «обратно» через Flash Programming Tool?
FPT шьет напрямую через SPI, проблем быть не должно. Если Вы имеете ввиду сохраняется ли функциональность Flash Descriptor Security Override, то насколько я помню по коду — да.
UFO landed and left these words here

В нем три процессора, как я понимаю — придется ставить 2000ю, или работать на одном. Но было бы здорово — купил мамку без проца, а там бац и дос в прошивке MIA, флэшку с fat32 вставил и гоняй себе диггера. ;)

И когда появится однокнопочный выключатель?

Хотя более интересным было бы нахождение применения этой крошке-ОС для массового пользователя
Я конечно параною и все это еще одна теория заговора и у меня нет никаких доказательств.

Но выглядит это как мегазакладка. Огромная полноценная ОС в проце, которая имеет доступ ко всему. При этом, формально, она никакой функциональности для пользователей не несет.

Просто есть, просто работает, просто черный ящик, что там — тайна покрытая мраком.
ну да, так и есть
и этот режим HAP — средство защиты собственных компов ANB
тут даже паранойи не надо, всё очевидно
А как на счёт процессоров от AMD? У них же вроде есть аналог ME? На сколько там всё плохо?
Аналог есть. Насколько все плохо — не знаю, пока мы этим вопросом не занимались;)
Когда читал про Libreboot выяснилось почему у них поддержка только Core2 процессоров и не выше — так как выпилить ME из более новых процессоров без ущерба в работе не получится. Вот я и надеялся что с AMD ситуация будет получше, а то сидеть на Core2 уже становится всё труднее.
Собственно эти ребята и рассказали про «Platform Security Processor» — AMD'шный ответ Intel'у. Точно такой же «блоб» как у Intel'а, наверняка с точно такой же кучей дыр…
Пока не настолько плохо, как у Intel'а. Но они работают над этим.
"с программы ROM, которая содержится во встроенной в PCH статической памяти" — что-то тут с терминологией: так ROM или SRAM?
А разве тут не имеется ввиду название программы? То есть программа ROM содержится в PCH.
«ROM» в данном контексте — это программа (модуль), которая содержится в PCH.
"программа ROM содержится в RAM" — вряд ли это хороший терминологический поворот.
Спасибо большое за статью. Помогла. Ребята, вы не пробовали играться с режимом FD_OVERRIDE? Этот режим выставляется аппаратно, с помощью притяжки одной из ножек PCH.
Не совсем понял вопрос. Насколько я помню, в этом режиме так же происходит отключение ME, но он открывает доступ к дескрипторам flash памяти, что менее безопасно.
Ну именно из-за этого и спросил, «потому что это режим отключает МЕ». В документации сказано что это дебажный режим, естественно, и использовать его на конечных системах нельзя. Про то что он открывает доступ к дескрипторам не был в курсе.
FD_OVERRIDE сокращение от Flash Descriptor security override, переписывание дескрипторов позволяет, например обновить ME целиком, что на десктопах при штатном обновлении через HECI сделать нельзя.

Добавлю, что в этом режиме дескриптор и все остальные регионы становятся открытыми на запись, а это в свою очередь весьма нехорошо для безопасности платформы. Использовать этот режим нужно только в случае, если регион ME поврежден и нежно его восстановление, а программатора под рукой нет или подключить его слишком сложно (привет новым системам с флешками в корпусе TFBGA24).

Спасибо огромное за исследования, наконец-то общественности стало известно то, что производители встраемового железа используют уже давно.
Интересно, что раньше этот бит хранился в дескрипторе:



К сожалению, отключать ME ни один производитель систем для широких народных масс (ну, за исключением Purism, наверное) не будет — Интел этот режим не поддерживает, PAVP работать перестает (т.е. HDCP для встроенной видеокарты придется заводить с серьезным таким бубном), да и вообще АНБ не велит не комильфо.

Скажите, немного сильно не в тему, а вот как защищают планшеты, чтоб вместо андроида нельзя было вкатать винду и наоборот? Вроде бы все те же биосы, те же уефи (например в йогах ленововских)… В чем засада там пробиться?
SecureBoot/BootGuard. Загружаем свои ключи в биос, подписываем ими загрузчик. Жестко включаем сии технологии и готово, то, что не подписано нашими ключами загружено не будет. CodeRush это в своих статьях полностью, подробно и красиво расписал.
Но тогда вроде бы бы можно было между одинаковыми железками одного производителя переносить образы? (в тех же йогатабах на андроиде в биос люди попадали и там был выбор грузить ли андроид или винду, однако дальше не получалось, хотя вроде как образы и андроида, и винды есть). Плюс ту же винду то как раз люди на раз сносят и ставят с нуля другую.
Плюс ту же винду то как раз люди на раз сносят и ставят с нуля другую.

В железку занесены ключи майкрософта, вот она и грузится.
То есть надежды на возможность пропатчить биос и сделать нормальный дуалбут — нет?
Кто знает, мало ли там какие дыры. Но с другой стороны они могут быть нафиг никому не нужными, и ломать их никто не будет. Так что результат заранее неизвестен, тут нужно брать модели с уже взломанными прошивками, а лучше вовсе без подобных локов.
Да все самые интересные аппараты с этими локами, задолбали уже.
Когда уж и за них антимонопольщики примутся, чтоб как винду от ноутов отвязать.
Большое спасибо! Как я понимаю, еще TPM 2.0 отвалится, который встроен в ME.
А что будет если вместо встроенной в материнку NIC использовать сторонний NIC PCI-E или USB? По идее встроенный ME не должен знать как общаться со стронней сетевухой, а значит и внешние атаки на ME не должны пройти.

Примерно из этих соображений некоторые компании не используют никакие сетевые карты Intel в своих продуктах.

UFO landed and left these words here
Отключение IntelME, через reserved=disable, позволяет запускать серверные процессоры Xeon для LGA1151\1151v2 на десктопных платах с 100\200\300 чипсетом. Жаль, что автор это не указал.
В intel ME находятся блокировки и проверки «совместимости» (именно в кавычках, т.к. здесь чистый маркетинг) процессора и чипсета. Например в бюджетных ноутбуках на HM70 чипсете есть ограничение на установку процессоров Core i, и работает это очень своеобразно — система стартует и прекрасно работает, но РОВНО 30минут, как по таймеру.
Выше написал про ограничение на запуск серверных процессоров на десктопных платах, которое интел ввела начиная со skylake.
PS Кстати, reserved=disable — окирпичивает некоторые платы, например моя GA-Z170-HD3 требует обязательного удаления модуля в BIOS регионе, который отвечает за восстановление IntelME. A платы от MSI буду надоедать сообщением о якобы поврежденном IntelME.
Да, не всякий БИОС может пережить такой режим МЕ, это правда на счет восстановления, но это другая история, мы уже после написания статьи на такое натыкались, это все-таки было достаточно давно. На счет блокировки даже не смотрели в эту сторону, но она находится в BUPе то да, скорее всего это будет работать.
Но, увы, лишает возможности гнать их по шине на Z170. Потому что за возможность установки пользовательской частоты отвечает именно ME.
Да, вы правы, проверял на Z370 tomahawk c отключенным Intel ME, через reserved=yes + i7-8700, разгон по шине перестает работать даже до жалких 102.7 (предел для этого процессора).
Правда, есть альтернативный способ запуска Intel Xeon E3 V5 на Z170 — прошивка БИОСа от платы со схожей разводкой youtu.be/yanv5D1515I?t=378 (в видео очень много воды, но посыл понятен), скорее всего, дело не в самом БИОСе, а в IntelME для C232 плат, его можно заменить, через UEFItool в родном БИОСе под Z170 плату.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

Since 2002

Location

Россия

Employees

501–1000 человек

Registered

28 March 2011

Habr blog