Комментарии 46
мой нерасторопный APU AMD A9 становится все лучше и лучше!
Как неуловимый Джо
да, как неуловимый Джо, но не все ли равно?
Дык про это и топик, буквально первый абзац:
Принцип «безопасность через неясность» не один год критикуется специалистами, но это не мешает крупным производителям электроники под предлогом защиты интеллектуальной собственности требовать подписания соглашений о неразглашении для получения технической документации. Ситуация ухудшается из-за возрастающей сложности микросхем и интеграции в них различных проприетарных прошивок. Это фактически делает невозможным анализ таких платформ для независимых исследователей, что ставит под удар как обычных пользователей, так и производителей оборудования.
AMD в этом плане ничем не лучше Intel, у них есть аналогичная и так же секретная технология — AMD PSP.
По крайней мере для Intel можно купить материнскую платы, разработчики которой использовали биос с открытым исходным кодом и нашли способ отключить Intel ME, а для AMD такого нет.
По крайней мере для Intel можно купить материнскую платы, разработчики которой использовали биос с открытым исходным кодом и нашли способ отключить Intel ME, а для AMD такого нет.
У AMD PSP, насколько я знаю, появился относительно недавно. На счет «отключения», после статей про HAP AMD опубликовало BIOS в котором есть опция отключения, но на самом деле это невозможно.
Эта опция (BIOS PSP Support) — такое же отключение PSP, как незапуск HeciDxe — отключение ME. Нормально PSP на процессорах с ним отключить нельзя — он память тренирует и S3 bootscript хранит, так что Intel и в этом плане лучше.
Почему все упоминают про PSP, но никто про SMU(MP)0/1/2....5?
А ведь PSP крутится только на одном из них. Вроде?
А ведь PSP крутится только на одном из них. Вроде?
Не, для PSP выделили отдельное ядро Cortex-M, а SMU как исполнялось на LM32, так и продолжает (могло измениться в новых процессорах, я после FP4 с AMD не работал).
Про почему — а к чему там иметь доступ из SMU? К профилям питания, или к шине SMBUS? Таким же образом можно EC в обычном ПК сломать — это довольно просто, прошивки к ним до сих пор мало кто подписывает, только толку не очень много, мне в голову приходит только кейлоггер, и то если клавиатура по PS/2 к EC подключена.
Про почему — а к чему там иметь доступ из SMU? К профилям питания, или к шине SMBUS? Таким же образом можно EC в обычном ПК сломать — это довольно просто, прошивки к ним до сих пор мало кто подписывает, только толку не очень много, мне в голову приходит только кейлоггер, и то если клавиатура по PS/2 к EC подключена.
>> PSP выделили отдельное ядро Cortex-M
а ABL крутится на соседнем ядре, раздавая команды для PSP?
а ABL крутится на соседнем ядре, раздавая команды для PSP?
Не знаю точно, выполняет ли PMU свой кусок AGESA Boot Loader на том же ядре, или на соседнем (скорее все же на соседнем), но со стороны прошивки это выглядит как «подготовил таблицы, отправил их в PSP mailbox, дождался ответа, вуаля — память готова», со слотовой DIMM такая магия даже удобнее, но как только начинает хотеться странного, памяти там себе на обе стороны платы напаять, вот это все, как магия дает сбой и начинаются танцы с бубном.
Поправлю сам себя, там Cortex-A, в первом поколении были А5, что сейчас у Rysen/EPYC — не знаю, но скорее всего что-то боее мощное.
НЛО прилетело и опубликовало эту надпись здесь
Добрый день, спасибо.
1. Скорее всего не та версия драйверов.
2. По желанию)
1. Скорее всего не та версия драйверов.
2. По желанию)
1. Если у вас все нужное вам работает без драйвера (например, используется внешняя видеокарта и изображение выводится именно ей) — ничего страшного от его недоступности не будет, перестанут работать пару утилит вроде XTU или Clock Commander, но если ими не пользоваться, то драйвер можно не ставить.
2. Обычному пользователю лучше не отключать, потому что вы переводите систему из категории «тестировалась в таком виде производителем» в категорию «не тестировалась никем и никогда», и во второй могут случаться всякие сюрпризы вроде загрузки по 30 секунд и зависаний при попытке обновления прошивки. Если вы энтузиаст и прошивку умеете патчить и обновлять в ручную (а еще вам не нужна встроенная видеокарта или вывод HDCP через нее, и вы не пользуетесь SGX) — можете смело отключать.
2. Обычному пользователю лучше не отключать, потому что вы переводите систему из категории «тестировалась в таком виде производителем» в категорию «не тестировалась никем и никогда», и во второй могут случаться всякие сюрпризы вроде загрузки по 30 секунд и зависаний при попытке обновления прошивки. Если вы энтузиаст и прошивку умеете патчить и обновлять в ручную (а еще вам не нужна встроенная видеокарта или вывод HDCP через нее, и вы не пользуетесь SGX) — можете смело отключать.
НЛО прилетело и опубликовало эту надпись здесь
Слегка запоздало: ещё может отвалиться разгон (в частности, разгон процессора по шине; про разгон множителем не в курсе; к счастью, разгон по шине не слишком востребован: если у процессора разблокирован множитель, то проще им и гнать, а разгон процессоров с заблокированным множителем по шине был доступен лишь у поколения Skylake)
И гарантированно отвалится PTT (реализация TPM средствами ME).
И гарантированно отвалится PTT (реализация TPM средствами ME).
Злобный вирус/хакер не сможет использовать уязвимость intel ME, если драйвер на неё не установлен в системе.
мем
Два чая этим авторам, наконец-то описали уязвимость в деталях.
Вообще говоря, проблема не столько в Manufacturing Mode, сколько в возможности отката на уязвимую версию ME v11 несмотря на все попытки со стороны прошивки эту возможность закрыть (если они были вообще, таковые попытки), и если благодаря Максу и Марку Apple удалось убрать возможность локальной эксплуатации, то от физической атаки на МЕ-регион в SPI flash защиты на большинстве систем нет (для машин с ME v11, для которой имеется заведомо уязвимая версия прошивки, от такой атаки защищен только на iMac Pro).
Intel решили проблему с откатом до уязвимых версий в ME v12, добавив Security Version Number в FPF'ы, т.е. после обновления на версию с SVN=X, никакие версии с SVN < X на этой машине больше загрузиться не смогут, т.е. без обхода FPF'ов (а это гораздо более серьезная уязвимость) основную проблему таки получилось решить.
Вообще говоря, проблема не столько в Manufacturing Mode, сколько в возможности отката на уязвимую версию ME v11 несмотря на все попытки со стороны прошивки эту возможность закрыть (если они были вообще, таковые попытки), и если благодаря Максу и Марку Apple удалось убрать возможность локальной эксплуатации, то от физической атаки на МЕ-регион в SPI flash защиты на большинстве систем нет (для машин с ME v11, для которой имеется заведомо уязвимая версия прошивки, от такой атаки защищен только на iMac Pro).
Intel решили проблему с откатом до уязвимых версий в ME v12, добавив Security Version Number в FPF'ы, т.е. после обновления на версию с SVN=X, никакие версии с SVN < X на этой машине больше загрузиться не смогут, т.е. без обхода FPF'ов (а это гораздо более серьезная уязвимость) основную проблему таки получилось решить.
Спасибо)
… если производитель не забыл закрыть Manufacturing Mode)))
Intel решили проблему с откатом до уязвимых версий в ME v12, добавив Security Version Number в FPF'ы, т.е. после обновления на версию с SVN=X, никакие версии с SVN < X на этой машине больше загрузиться не смогут, т.е. без обхода FPF'ов (а это гораздо более серьезная уязвимость) основную проблему таки получилось решить.
… если производитель не забыл закрыть Manufacturing Mode)))
Таки да? Вот этого я уже не застал, потому что теперь со включенным Manufacturing Mode платформа больше не стартует.
Опять же напомню еще раз, чтобы народ меньше пугался, что ME manufacturing mode умеет выключаться сам, если flash descriptor настроен правильно. К сожалению, это «правильно» по Intel'овски запрещает из региона МЕ чтение, а это портит жизнь довольно сильно, плюс дает Intel ложную уверенность в том, что на MFS можно хранить ключи и их оттуда никто не считает.
В итоге Apple пришлось выключать его вручную только потому, что «правильную» в смысле Intel конфигурацию они не используют, и МЕ у них открыт на чтение.
Опять же напомню еще раз, чтобы народ меньше пугался, что ME manufacturing mode умеет выключаться сам, если flash descriptor настроен правильно. К сожалению, это «правильно» по Intel'овски запрещает из региона МЕ чтение, а это портит жизнь довольно сильно, плюс дает Intel ложную уверенность в том, что на MFS можно хранить ключи и их оттуда никто не считает.
В итоге Apple пришлось выключать его вручную только потому, что «правильную» в смысле Intel конфигурацию они не используют, и МЕ у них открыт на чтение.
Интел то решил, но все равно пока он не бъет производителей «по рукам» за открытые регионы и криво сконфигурированный BIOS, ни BootGuard, ни защита от даунгрейда не сработает, на мой взгляд.
Вот поэтому надо все проверять через MeInfo -verbose, FPT и остальное, а еще лучше эти проверки встроить прямо в прошивку, чтобы она колом вставала при неправильных значениях, либо сама пыталась их исправить, насколько это возможно.
По рукам они бить не могут — руки не настолько длинные, и потому идут по правильному пути, снижая сложность настройки этих технологий, которая до этого была запредельной, а теперь стала просто высокой. Если они этот тренд продолжат, то где-нибудь к МЕv15 вендоры таки смогут (и потому начнут) включать все эти вещи «одной кнопкой», а пока там просто лес стал чуть менее темным.
По рукам они бить не могут — руки не настолько длинные, и потому идут по правильному пути, снижая сложность настройки этих технологий, которая до этого была запредельной, а теперь стала просто высокой. Если они этот тренд продолжат, то где-нибудь к МЕv15 вендоры таки смогут (и потому начнут) включать все эти вещи «одной кнопкой», а пока там просто лес стал чуть менее темным.
На самом деле мне нравится идея стопорить загрузку если конфигурация кривая, но пока это не мейнстрим. Ждем очередного инцидента, чтобы остальные об этом задумались… Хотя для некоторых производителей годы идут и ничего не меняется(
Они усложняют с каждой версией и конфигурацию, и кажется сами в ней уже путаются. Хочется верить, что когда они сделают «одной кнопкой» это будет работать действительно хорошо.
Если они этот тренд продолжат, то где-нибудь к МЕv15 вендоры таки смогут (и потому начнут) включать все эти вещи «одной кнопкой», а пока там просто лес стал чуть менее темным.
Они усложняют с каждой версией и конфигурацию, и кажется сами в ней уже путаются. Хочется верить, что когда они сделают «одной кнопкой» это будет работать действительно хорошо.
Конфигурацию усложняют, а вот интерфейс к ней — упрощают, и на разнице между v11 и v12 это хорошо видно. Я очень надеюсь, что к них кто-то там понял, что нынешние их технологии просто невозможно настроить так, чтобы в них не зияло дыр, и стал чинить вот это, потому что иначе всем этим технологиям — грош цена.
Мне самому, в принципе, пофигу уже, потому что Т2 закрывает эти вопросы раз и насовсем, но у остальной индустрии Т2 нет, да и у Apple пока что машин с Т2 — три штуки ровно, и они все дорогие.
Мне самому, в принципе, пофигу уже, потому что Т2 закрывает эти вопросы раз и насовсем, но у остальной индустрии Т2 нет, да и у Apple пока что машин с Т2 — три штуки ровно, и они все дорогие.
НЛО прилетело и опубликовало эту надпись здесь
У dell, apple, lenovo с безопасностью прошивок хорошо. Этот вопрос поднимался, CodeRush подправит, если я кого-то забыл.
Да, с правами администратора уязвимостей становится гораздо больше.
С такой «успешной» security history всех популярных ОС, можно смело считать, что у локального атакующего эти права уже есть. В конце концов, SecureBoot никто так и не включает, а без него тот же локальный атакующий может загрузить на вашей системе хоть EFI Shell, хоть Linux, и иметь там любые права.
Вроде процессор и есть процессор, чипсет и есть чипсет.
А кто мне расскажет, для чего производители настолько всё усложняют?
Для чего нужен ещё один компьютер внутри компьютера?
А кто мне расскажет, для чего производители настолько всё усложняют?
Для чего нужен ещё один компьютер внутри компьютера?
что-бы большой брат, смог следить за тобой, не взирая на то, какую ос, браузер или vpn ты используешь. давно ходят слухи, что баги в безопасности Intel ME, это не баги а фичи (встроенные бэкдоры для спецслужб).
Если погрузиться в конспирологию, то вряд ли ME является наиболее привлекательной целью для намеренного размещения бэкдоров. Код полноценно не зашифрован, универсален, а его объем сравнительно небольшой, так что если разместить там что-то очевидно вредоносное, то кто-нибудь в итоге это отреверсит, и будет большой конфуз, разбирательства, финансовые потери. Для Intel это такой гигантский риск, что просто настойчивого пожелания спецслужб будет недостаточно, думаю. Если же разместить просто уязвимость, которую потом если что можно позиционировать как непреднамеренную ошибку, то система не будет из коробки готова к служению большому брату, а типичная эксплуатация таких уязвимостей подразумевает, что для этого сперва нужно получить как минимум локальный доступ. То есть последующая персистентность остается практически единственным профитом, а геморроя довольно много (у ME физически не хватит ресурсов на полноценный шпионаж за основной системой в реальном времени, придется сопрягать их, да еще и беспалевно...). Если градус предполагаемой слежки оправдывает такие сложности, то логичнее предположить что-то эдакое в действительно зашифрованном микрокоде или вообще на железе, особенно с учетом последних исследований @xoreaxeaxeax.
Это как сказать, что самолет и есть самолет, чего производители настолько их усложняют? Летали бы дальше на этажерках, которые можно обслуживать одним человеком, и которым не нужно аэропорта, но нет, понавыдумывали Боингов и Аэробусов, в которых черт ногу сломит…
Если серьезно, то современный процессор общего назначения — одна из самых сложны вещей, созданных человеком, на мой взгляд. Там под капотом скрыто управление питанием, управление частотами, управление встроенной периферией, криптография, ускорение специализированных вычислений, куча всего еще, и все это само по себе настолько сложное, что делать это все «на железе», т.е. написанным на Verilog и синтезированным до уровня транзисторных блоков — космически дорого, т.к. любая серьезная ошибка приводила бы к необходимости уничтожения всей партии процессоров и чипсетов с ней.
В итоге вместо этого синтезируется процессор «общего назначения», но попроще, и задача выполняется уже программой для него. Программу можно улучшить без замены самого процессора, программу намного легче отлаживать, программисты дешевле в конце концов. При этом процесс синтеза таких процессорных ядер уже отработан, а свободного места под очередной на кристалле море. Так появился микрокод (там еще не совсем общее назначение, но уже близко), когда декодер операций стало невыносимо писать, потом SMU/PMC (когда невыносимо стало управлять питанием), потом ICC (частотами), потом ME (собрали почти весь разрозненный управляющий софт под одной крышей и запустили в РТОС).
Есть и другая сторона этой медали «переходи на софт или умри» — такой переход резко упрощает реализацию новых идей, и потому вместе с хорошими идеями реализуются и не очень хорошие. Эй пацаны, хотите DRM прямо в чипсете — нате, хотите удаленное управление прямо там же, бесплатно — держите, хотите Java-машину и запуск апплетов прямо там же — пожалуйте, только денег заплатите, чтобы мы вам апплет подписали. А когда ядер много стало свободных, их стали двигать как бесплатный микроконтролер общего назначения, который уже ко всей чипсетной периферии подключен, и который можно программировать, заменив им отдельно стоящий EC/BMC.
Короче, миром опять правит не тайная ложа, а явная лажа. Я не могу отрицать заговора спецслужб или происки марсиан, но я легко могу для себя объяснить нынешнюю ситуацию и без них.
Если серьезно, то современный процессор общего назначения — одна из самых сложны вещей, созданных человеком, на мой взгляд. Там под капотом скрыто управление питанием, управление частотами, управление встроенной периферией, криптография, ускорение специализированных вычислений, куча всего еще, и все это само по себе настолько сложное, что делать это все «на железе», т.е. написанным на Verilog и синтезированным до уровня транзисторных блоков — космически дорого, т.к. любая серьезная ошибка приводила бы к необходимости уничтожения всей партии процессоров и чипсетов с ней.
В итоге вместо этого синтезируется процессор «общего назначения», но попроще, и задача выполняется уже программой для него. Программу можно улучшить без замены самого процессора, программу намного легче отлаживать, программисты дешевле в конце концов. При этом процесс синтеза таких процессорных ядер уже отработан, а свободного места под очередной на кристалле море. Так появился микрокод (там еще не совсем общее назначение, но уже близко), когда декодер операций стало невыносимо писать, потом SMU/PMC (когда невыносимо стало управлять питанием), потом ICC (частотами), потом ME (собрали почти весь разрозненный управляющий софт под одной крышей и запустили в РТОС).
Есть и другая сторона этой медали «переходи на софт или умри» — такой переход резко упрощает реализацию новых идей, и потому вместе с хорошими идеями реализуются и не очень хорошие. Эй пацаны, хотите DRM прямо в чипсете — нате, хотите удаленное управление прямо там же, бесплатно — держите, хотите Java-машину и запуск апплетов прямо там же — пожалуйте, только денег заплатите, чтобы мы вам апплет подписали. А когда ядер много стало свободных, их стали двигать как бесплатный микроконтролер общего назначения, который уже ко всей чипсетной периферии подключен, и который можно программировать, заменив им отдельно стоящий EC/BMC.
Короче, миром опять правит не тайная ложа, а явная лажа. Я не могу отрицать заговора спецслужб или происки марсиан, но я легко могу для себя объяснить нынешнюю ситуацию и без них.
НЛО прилетело и опубликовало эту надпись здесь
На самом деле, на мой взгляд, если интел откроет МЕ дело это не исправит, так как всякую прошивку ключей root of trust для МЕ придется «зашивать» уже вендорам, а они более простые вещи делать еще не научились (в большинстве своем). А исходники без описания железа тоже не сильно спасут (на мой взгляд). Что касается МЕ, у меня скорее претензия к инженерному решению скорее а не к тому, что это появилось…
h0t_max Не могу найти Intel System Tools для Linux, они Windows based only?
Насколько я знаю — да. Вы можете воспользоваться EFI версией этих утилит.
Вопрос, где взять EFI версию? Тоже ничего не могу нагуглить, увы.
Тут. Под Linux там тоже есть.
> при этом ему не нужен ни SPI-программатор, ни доступ к перемычке HDA_SDO
Означает ли это, что мы можем в скором времени ожидать появления долгожданной утилиты для отключения Inte-ME без аппаратных «танцев»?
Означает ли это, что мы можем в скором времени ожидать появления долгожданной утилиты для отключения Inte-ME без аппаратных «танцев»?
Если вы хотите отключать через HAP-бит, вам нужно разблокировать дескриптор (замыкая определённые ноги звукового чипа).
Если вы хотите отключать через повреждение прошивки, то достаточно разблокировать на запись лишь регион ME, а для этого у очень многих мамок в прошивке есть скрытая опция.
Если вы хотите отключать через повреждение прошивки, то достаточно разблокировать на запись лишь регион ME, а для этого у очень многих мамок в прошивке есть скрытая опция.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Intel ME Manufacturing Mode — скрытая угроза, или что стоит за уязвимостью CVE-2018-4251 в MacBook