Комментарии 90
подать в суд на Intel и принудить вырезать ее нафиг
На каком основании? Всё как обычно, хозяин — барин. Если пользуешься, то соглашаешься с правилами, а коли не согласен — не пользуйся.
Если оно будет, конечно, и будет в пользу истцов
А с чего бы ему быть в пользу истцов? У Intel денег на адвокатов поболе, чем у общественности, а сама IME позиционируется как полезная фича, а не как бэкдор. И начинать тяжбу изначально с такой позиции — дело крайне неблагодарное.
Это одна сторона будет заявлять, что полезная. Для другой это навязанная услуга/функциональность. (Или что-то аналогичное, в терминах США.) И были сходные прецеденты, когда производитель пытался утверждать, что операционная система является неотъемлемой частью железа компьютера, а браузер — неотъемлемой частью операционной системы. И в обоих случаях выяснилось, что это не так.
Для другой это навязанная услуга/функциональность.
Почему? Вас же никто не заставляет покупать именно эти процессоры/чипсеты. На рынке полно других, купите их.
были сходные прецеденты
Не было. Вы же, наверное, разницу между «отделить ОС от компьютера», «отделить приложение от ОС» и «отделить узел микросхемы от микросхемы» понимаете? Сам по себе такой иск — это квинтэссенция абсурда. Все равно что устраивать иск к Qualcomm, и требовать разделять их SoC, потому что вам в вашем смартфоне не нужен блютус.
И если брать ситуацию, например, с Майкрософт и IE, то там вопросы лежали в антимонопольной плоскости. Пользователей возмущала не продажа «ненужного» браузера, а нечестная борьба с альтернативными браузерами.
Давайте будем честными: Пользователей устраивал встроенный браузер и они не смотрели в сторону других и это не устраивало не пользователей, а производителей других браузеров.
На рынке полно других, купите их.
Ничего необычного. Ещё один человек, который не хочет понимать, что есть рыночные, а есть надрыночные механизмы. И пока одни предлагают голосовать рублём, другие используют и цены и законы против них. Против их интересов.
Вы же, наверное, разницу между «отделить ОС от компьютера», «отделить приложение от ОС» и «отделить узел микросхемы от микросхемы» понимаете?
Я всё прекрасно понимаю. Начиная с того, что тогда были такие же аргументы, мол, без операционной системы компьютер бесполезен. Продолжая тем, что в текущей статье чётко показано, что без ME жить таки можно. Что после запуска компьютера её можно полностью отключить. И заканчивая тем, что это микроконтроллер со своей операционкой. А значит требовать можно много чего. Начиная с того, чтобы режим отключения был обязательно доступен и даже активирован по умолчанию (обычным людям он как раз не нужен, а пару ватт по любому жрёт, что в мировом масштабе заметно. привет зелёным.) и кончая тем, что пользователь должен иметь право эту прошивку заменять и модифицировать. А уж на что — это дело пользователя.
И пока одни предлагают голосовать рублём, другие используют и цены и законы против них. Против их интересов.
Хм. Объясните, пожалуйста, что в этом плохого? Я имею в виду, плохого не с вашей личной точки зрения, а объективно? На любом рынке в сухом остатке есть два интереса, у покупателя интерес получить побольше того, что он хочет, за меньшую цену, у продавца — продать как можно больше того, что он может, за большую цену.
Это сугубо противоположные интересы, покупатель и продавец играют друг против друга, а не на одной стороне. Поэтому ваши интересы они как бы и не должны отстаивать, это обычная ситуация.
Вы вот где работаете? Ваше предприятие тоже против чьих-то интересов сейчас сражается, честное слово.
Я всё прекрасно понимаю. Начиная с того, что тогда были такие же аргументы, мол, без операционной системы компьютер бесполезен.
И все же, следующий этап борьбы со злом, перестать продавать ОС вместе с компьютером в одном случае, и перепроектировать микросхему, переделав или убрав неодобряемый пользователями узел в другом — вы тоже будете сопоставлять?
Это уже не говоря о том, что неизвестно, кого в мире больше, тех, кому эта функция нужна или тех, кого она раздражает.
Поэтому ваши интересы они как бы и не должны отстаивать, это обычная ситуация.
И? Они их и не отстаивают. Они отстаивают свои. А вот мои никто кроме меня не отстаивает. Наоборот все ходят вокруг и удивляются: А чего это я не жру покорно что дают?
вы тоже будете сопоставлять?
Ещё как буду. «Это сложна, долга и дорога» — стандартная отмазка жадных и ленивых жоп. Когда воодили MNP все опсосы стояли на коленях, рыдали и рвали на голове последние волосы, что технической возможности сделать это нет. И ничего. Оказалось что всё можно. Теперь у нас второй акт того же самого на тему отмены роуминга.
И я не зря их привёл в пример. Ведь аргументы там можно было бы абсолютно те же самые привести. Номера — их частное дело. Не нравится — уходите к другим. И вам ничего не должны. Но оказалось, что не частное, уходить некуда, а они очень даже должны.
Это уже не говоря о том, что неизвестно, кого в мире больше, тех, кому эта функция нужна или тех, кого она раздражает.
Миллионы мух ошибаться не могут. © По определению. Ну или… Неизвестно кого в мире больше, тех, кто опасается последствий до их наступления, или тех, кто будет ждать, пока их жареный петух в одно место не клюнет. Хотя нет. Известно. Очень даже хорошо известно.
Наоборот все ходят вокруг и удивляются: А чего это я не жру покорно что дают?
Скорее удивляются, зачем вы занимаетесь фигней, которая не стоит потраченных на неё калорий. Вас смущает наличие официально документированной функции, через которую кто-то, как-то, с небольшой вероятностью, теоретически может что-то без вашего согласия сделать с вашими данными, и это при наличии миллиона потенциальных возможностей сделать это через другие, не столь документированные дыры и закладки?
Ещё как буду. «Это сложна, долга и дорога» — стандартная отмазка жадных и ленивых жоп.
Мне кажется, у вашей жопы просто нет фокуса на какое-то другое, более полезное дело, не для общества, так хоть для вас лично :)
подать в суд на Intel и принудить вырезать ее нафиг
На каком основании?
На основании судебного решения.
Подать в суд на основании судебного решения? Гм, "чтобы понять рекурсию, надо понять рекурсию". На основании чего будете в суд подавать? "Тут есть какая-то хрень, она мне не нравится, пусть её вырежут"?
И были сходные прецеденты, когда производитель пытался утверждать, что операционная система является неотъемлемой частью железа компьютера, а браузер — неотъемлемой частью операционной системы. И в обоих случаях выяснилось, что это не так.
В данном случае, вам же эксперты говорят, что вырезание этой штуки приводит к неработоспособности системы. Вы ещё южный мост попросите убрать — это же явно навязанная услуга/функциональность.
В данном случае, вам же эксперты говорят, что вырезание этой штуки приводит к неработоспособности системы. Вы ещё южный мост попросите убрать — это же явно навязанная услуга/функциональность.
А может стоит отличать невозможность работать без неё, от простого запихивания в неё всего что только можно?
Они напихали целенаправленно в неё всё это потому оно без этого не может работать.
Точно так же забавляет как в одной теме про boot guard утвержадили о благах и тыкали пальцем в то что можно прописать зловреда которого потом только отпиливанием чипсета можно удалить. И вроде правы, но вот только есть нюанс связанный с тем что такое сделать можно благодаря этим самым «технологиям защиты».
Всё это фарс все эти Intel ME, PSP(или как там от AMD) делают не для защиты юзера, а для защиты от юзера.
Подать в суд на основании судебного решения?
Вырезать на основании судебного решения.
Тут есть какая-то хрень, она мне не нравится, пусть её вырежут
И? Что не так? Главное основания иметь. А их не мало. Вон, на основании ответа сотрудника Intel следует, что АНБ считает, что работа этой штуки повышает риск утечки данных.
В данном случае, вам же эксперты говорят, что вырезание этой штуки приводит к неработоспособности системы.
Какие эксперты? Компании Intel? Эксперты в статье? Они другое говорят. Что ME защищается от повреждения прошивки. А не то, что без него работать никак. А как же мы раньше-то жили, когда никто ME в матплаты не пихал.
Вырезать на основании судебного решения.
А подать в суд на основании чего? "мы, долбо народ америки, против конкретного технического решения коммерческой компании интел. Заодно требуем, чтобы автомобили выпускались с квадратными колёсами."
Что не так? Главное основания иметь.
Не так то, что какие-то хрены с горы решают чему быть и чему не быть в составе коммерческого продукта. Имеешь "основания" — не покупай. Ни кто ж не заставляет. Мне не нравится, что у айфонов пропал аудиоджек, это основание для судебного преследования? Я просто не покупаю айфон. Что не так?
Подать в суд можно имея основания считать, что в основании тебя нарушен закон. Какой закон в данном случае нарушен?
Вон, на основании ответа сотрудника Intel следует, что АНБ считает, что работа этой штуки повышает риск утечки данных
Но это же бред полный. Наличие портов усб очевидным образом повышает риск утечки данных — вырежем их по суду? Видеовыход очень сильно повышает риск утечки данных — вырезать, правда? Сам компьтер является источником повышенного риска утечки данных — запретить? Ну, а основным слабым звеном в системах безопасности, как известно, является человек, человеческий фактор является главной угрозой и риском утечки данных — убить всех человеков?
эксперты? Компании Intel? Эксперты в статье? Они другое говорят.
полностью выключить ME на современных компьютерах невозможно. Это связано прежде всего с тем, что именно эта технология отвечает за инициализацию, управление энергопотреблением и запуск основного процессора. Сложности добавляет и тот факт, что часть кода «жестко прошита» внутри микросхемы PCH, которая выполняет функции южного моста на современных материнских платах
Это из статьи.
А не то, что без него работать никак.
Если докажете суду, что можете работать без инициализации, управления энергопотреблением, запуска процессора и других функций южного моста, и что запуск процессора нарушает в отношении вас какой-то закон, то флаг вам в руки.
А как же мы раньше-то жили, когда никто ME в матплаты не пихал.
Вот я и говорю, надо и южный мост судебным решением запретить. Жили же без него. В 1ВМ РС ХТ на i8088 никакого южного моста не было и всё прекрасно работало. Запретить! Вырезать! Риск утечки данных! Галактеко опасносте!
Зы. Однажды мы купили специально материнку в которой была ме и заявлена вот эта самая возможность удалённого доступа. Два человека пару недель пытались заставить эту фичу заработать. У нас не получилось :). С тех пор мы просто "голосуем ногами". Не нравится технология — ну, не покупайте же.
ru.wikipedia.org/wiki/Platform_Controller_Hub
en.wikipedia.org/wiki/Intel_Active_Management_Technology#Hardware
Собственно, суть моего комментария была в том, что из потенциальной угрозы, про которую десяток лет назад говорили лишь параноики, закладки в чипах (не важно, в ЦП или чипсете, я потому и использовал универсальное слово «чип» в моём предыдущем комментарии) стали нормой жизни.
Intel частично документировал эти закладки и представил «поставщикам платформ» возможность один из трёх модулей-закладок программировать по своему желанию (Innovation Engine). Код ROM, как видно из статьи, Intel до конца не раскрывает.
Почему IBM (вместе с арабской Globalfoundries) заслуживает большего доверия, чем Intel?
en.wikipedia.org/wiki/OpenPOWER_Foundation
Ах да, вся информация про OpenBMC тоже доступна, и даже на Хабре есть статья:
habrahabr.ru/company/yadro/blog/317140
Если мы допускаем, что фирмы типа IBM и Intel действительно вставляют шпионские закладки, логично предположить, что они просто не будут включать упоминания об этом ни в какие официальные бумаги и исходные коды — пойдите проверьте, 8000млн. там транзисторов или 8001млн. — времена, когда можно было «спилить» процессор и что-то там понять, давно прошли.
Я вот уже третье сообщение пытаюсь пояснить, что «открытость» платформы (в терминологии IBM) не имеет никакого отношения к закладкам, пока выпуском занимаются фирмы, которым вы не можете доверять (а если вы можете доверять всей цепочке IBM, Globalfoundries, Raptor Electronics, то почему нельзя доверять Intel и вашему изготовителю материнской платы?).
Есть пара вопросов:
1. В статье упомянуто:
на многих материнских платах некорректно выставлены права доступа к регионам flash-памяти
какие производители материнских плат, по вашим наблюдениям, делают меньше ошибок при создании и конфигурировании firmware?
2. Поясните официальную (и, возможно, неофициальную) позицию Intel по поводу раскрытия внутренностей IME. Является ли сокрытие информации элементом «security by obscure» или имеет чисто коммерческие цели?
2. В книге Platform Embedded Security Technology Revealed, которая описывает внутренне устройство Intel ME заявляется, что доступ к коду модулей не должен компрометировать систему и не считается угрозой безопасности.
Лучше всего дело обстоит с мат. платами самой Intel, но их можно сейчас встретить разве что в составе Intel NUC.
процедура в миниксе отдаёт команду на старт процессора и следит за инициализацией его и памяти, если всё в порядке, то управление передаётся им, точнее, загрузчику BIOS
Хотя более интересным было бы нахождение применения этой крошке-ОС для массового пользователя
Добавлю, что в этом режиме дескриптор и все остальные регионы становятся открытыми на запись, а это в свою очередь весьма нехорошо для безопасности платформы. Использовать этот режим нужно только в случае, если регион ME поврежден и нежно его восстановление, а программатора под рукой нет или подключить его слишком сложно (привет новым системам с флешками в корпусе TFBGA24).
Спасибо огромное за исследования, наконец-то общественности стало известно то, что производители встраемового железа используют уже давно.
Интересно, что раньше этот бит хранился в дескрипторе:
Good stuff! BTW, "Alt Disable Mode" is PCHSTRP10[7] in ME <11.0 https://t.co/XGJqcxyA5Y
— Igor Skochinsky (@IgorSkochinsky) August 28, 2017
К сожалению, отключать ME ни один производитель систем для широких народных масс (ну, за исключением Purism, наверное) не будет — Интел этот режим не поддерживает, PAVP работать перестает (т.е. HDCP для встроенной видеокарты придется заводить с серьезным таким бубном), да и вообще АНБ не велит не комильфо.
Выше написал про ограничение на запуск серверных процессоров на десктопных платах, которое интел ввела начиная со skylake.
PS Кстати, reserved=disable — окирпичивает некоторые платы, например моя GA-Z170-HD3 требует обязательного удаления модуля в BIOS регионе, который отвечает за восстановление IntelME. A платы от MSI буду надоедать сообщением о якобы поврежденном IntelME.
Правда, есть альтернативный способ запуска Intel Xeon E3 V5 на Z170 — прошивка БИОСа от платы со схожей разводкой youtu.be/yanv5D1515I?t=378 (в видео очень много воды, но посыл понятен), скорее всего, дело не в самом БИОСе, а в IntelME для C232 плат, его можно заменить, через UEFItool в родном БИОСе под Z170 плату.
Ну т.е. я понимаю что это помощь администраторам сети, можно установить на комьютер что-нибуть — с этим не поспоришь — удобно и удаленно все делает.
На wiki (https://en.wikipedia.org/wiki/Intel_Management_Engine) — «was intended to be available only in machines produced for specific purchasers like the US government» — т.е. все комьютеры FBI в Америке защищены от удаленного доступа. Да, удобно тоже. Странно что там тоже есть админы, и странно что им ничего устанавливать не надо. Ну впрочем тут может быть вопрос насколько FBI админы доверяют Intel ME технологиям. Не доверяют — ну и отключили. Закопано, забыло.
Но кроме этого я думаю что Intel сам может иметь доступ фактически на все компьютеры что он производит. И если надо, то этим доступом можно делиться. Ну т.е. надо поймать террористов, Intel дает привилегии FBI, они ловят террористов, их сажают. Все рады и счастливы.
Но далее начинатся фигня. Если надо посмотреть что там росскийские политики / компании задумали, залогинился на их комьютер, скачал все файлы, отсортировал по папкам. Ну и начинаешь анти деятельность простив России, да и вообще на мировом уровне.
Но ещё интереснее если хакеры найдут очередную Zero Day уязвимость. Залогинился на миллион компьютеров, encrypt все жесткие диски. Если денег на биткойн не перечислишь — диск не верну.
Короче все это попахивает очень даже политической игрой, о который ещё не кто не пронюхал. Или может кто и понял что оно и зачем, но думаю не до конца. и какая информация, куда течет от Intel ME наверное никто даже не знает и не догадывается.
Выключаем Intel ME 11, используя недокументированный режим