Компания Intel объявила (https://security-center.intel.com/advisory.aspx?intelid=INTE... об устранении серии уязвимостей в различных версиях прошивок для подсистемы Intel ME (Management Engine) и связанных с ней компонентах Intel Trusted Execution Engine и Server Platform Service. Всего раскрыты данные о 10 новых уязвимостях, которые были выявлены в процессе проведения аудита безопасности Intel ME. Проблемы проявляются на системах с 6, 7 и 8 поколением процессоров Intel Core, а также в серверных системах на базе Intel Xeon E3-1200 v5 и v6, Xeon W, Xeon Scalable, Intel Atom C3000, Atom E3900, Intel Pentium Apollo Lake и
Celeron серии N и J. Всем пользователям рекомендовано установить обновление прошивки (https://www.intel.com/content/www/us/en/support/articles/000.... Для проверки наличия уязвимостей для Linux и Windows подготовлена (https://downloadcenter.intel.com/download/27150) специальная утилита.Часть уязвимостей специфична для интерфейса удалённого управления оборудованием Active Management Technology (AMT (https://en.wikipedia.org/wiki/Intel_Active_Management_Techno... который используется на серверных системах и некоторых бизнес-моделях ноутбуков. Уязвимости позволяют выполнить произвольный код в контексте окружения AMT при наличии удалённого доступа к интерфейсу. Атакующий должен знать параметры аутентификации для подключения к AMT, но также может атаковать системы с неисправленной уязвимостью (https://www.opennet.me/opennews/art.shtml?num=46482), позволяющей подключиться с пустым паролем. Сам по себе доступ к AMT уже предоставляет достаточный набор средств для совершения атаки на операционную систему, например, можно отключить UEFI Secure Boot для загрузки неверифицированных компонентов, но возможность выполнения кода также потенциально позволяет отключить индикатор режима мониторинга и организовать скрытое наблюдение за содержимым экрана (при штатном режиме мониторинга на экран выводится рамка, уведомляющая пользователя о наблюдении).
Другая часть уязвимостей позволяет выполнить код в контексте ядра прошивки Intel ME, имея локальный доступ к основной системе. Уязвимости могут применяться для запуска вредоносного кода вне области видимости основной ОС и компрометации механизма Intel PTT (Platform Trust Technology), позволяющего выполнять модули TPM (Trusted Platform Module) с защищёнными обработчиками, например, используемыми для выполнения операций шифрования и хранения ключей в отдельном от операционной системы окружении. Уязвимости в Intel ME позволяют получить доступ к этому окружению и хранящимся там EK-ключам (Endorsement Key (https://en.wikipedia.org/wiki/Trusted_Computing#ENDORSEMENT-... используемым для идентификации модулей в TPM.
Уязвимости также потенциально могут использоваться (https://twitter.com/mjg59/status/932732774284328960) для обхода средств для загрузки в Intel ME только прошивок, заверенных цифровой подписью. Так как уязвимость эксплуатируется при обработке неподписанных данных, атакующий может изменить эти данные в Intel ME и добиться эксплуатации уязвимости при каждой загрузке, после чего отключать Boot Guard и загружать любой код, полностью контролируя состав прошивки. Так как после загрузки окружение становится подконтрольным злоумышленнику и невозможно доверять информации из Intel ME в уже загруженной системе,
единственным вариантом восстановления остаётся ручная перепрошивка Flash через SPI (для большинства компаний дешевле будет купить новое оборудование).
Intel ME поставляется в большинстве современных материнских плат Intel и реализован в виде отдельного микропроцессора, работающего независимо от CPU и выполняющего задачи, которые необходимо отделить от операционной системы, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Начиная с Intel ME 11 в прошивке используется отдельная операционная система, основанная на коде ОС MINIX, которая работает параллельно с основной ОС без привлечения центрального процессора. Компрометация Intel ME позволяет получить полный доступ ко всему системному окружению, при том, что вредоносная активность будет незаметна из основной ОС.
Дополнительно можно отметить планы (http://www.uefi.org/sites/default/files/resources/Brian_Rich... Intel полностью прекратить поддержку BIOS к 2020 году, оставив только возможность использования UEFI. Обязательным станет использование спецификации UEFI Class 3, которая не предусматривает наличие интерфейса для Legacy BIOS.
URL: https://security-center.intel.com/advisory.aspx?intelid=INTE...
Новость: http://www.opennet.me/opennews/art.shtml?num=47597
ждём вирусов для MINIX
> ждём вирусов для MINIXИ антивирусов
>> ждём вирусов для MINIX
> И антивирусовИ уязвимостей в них
> И уязвимостей в нихДа там не поймешь что уязвимость а что бэкдор. Антивирусы будут воровать все данные в облако, а если кто-то будет возмущаться - скажут что это ошибка, исправим через полгодика, когда менее паливно отправку переделаем.
Интел может. Залочит компьютер на версию винды продававшейся с ним, а остальным - ошибка записи. А если вы вдруг хард поменяете - ошибка цифровой подписи.
> необходимо отделить от операционной системы, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием.необходимо отделить мух от котлет, тьфу ты , пользователей от их оборудования (или не их оборудования? ;)
https://en.wikipedia.org/wiki/Intel_(disambiguation)
котлета из мух, африканская кухня
https://boingboing.net/2012/08/23/civilwar.html
https://www.reddit.com/r/StallmanWasRight/
https://blog.invisiblethings.org/2015/10/27/x86_harmful.html
> https://www.reddit.com/r/StallmanWasRight/Все на борт! https://habrahabr.ru/company/edison/blog/314432/
> https://blog.invisiblethings.org/2015/10/27/x86_harmful.html
https://duckduckgo.com/?q=NSA+malware+Shadow+Brokers
https://en.wikipedia.org/wiki/The_Shadow_Brokers#Theory_on_t...
.
https://duckduckgo.com/?q=intel+amd+nsa+backdoor
> Все на борт! https://habrahabr.ru/company/edison/blog/314432/Танцующий с эльфами в темноте.
Расскажите ему что еда которую он жрет произведена с помощью не свободных технологий и техник.
"Главное свести к минимуму те виды деятельности, которые дают им какие-либо сведения обо мне."Например, давать интервью где рассказывать обо всём самому. Гениально, чё.
> Танцующий с эльфами в темноте.А можно с эльфийками? Так интереснее.
Буквально на днях была новость о том, что Таненбаум поблагодарил интел за использование миникса в своих материнках )))
>"поблагодарил"Не благодари...
"благодарю"
Что пробудило интерес хакеров к сабжу
>> Что пробудило интерес хакеров к сабжуСабж вскрыли год назад.
И даже удалялку частично запилили https://github.com/corna/me_cleaner
Постебался над Интель, может быть?
> Буквально на днях была новость о том, что Таненбаум поблагодарил интел за
> использование миникса в своих материнках )))А теперь Интел поблагодарил Таненбаума :)
Можно тлдр: тем, у кого нет AMT и кто не дает физический доступ к железу никому, есть смысл бояться?
Бояться всегда есть чего, даже если об этом не рассказали.
я про "по содержанию багрепорта". так то да
А по содержанию:> CVE-2017-5705
>
>Multiple buffer overflows in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow attacker with local access to the system to execute arbitrary code.
>
> CVE-2017-5708
>
> Multiple privilege escalations in kernel in Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 allow unauthorized process to access privileged content via unspecified vector.Особо доставляет, что для многочисленных уязвимостей одного типа Intel запросила единственный идентификатор CVE.
стандартная практика
Пока будут продолжать использоваться программы на сях/плюсах, такое будет вечно.Программисты будут совершать ошибки при работе с памятью, потому что могут.
Redox надо было брать #вкаждойшутке
Интересно, в апстрим миникса патч отправили?
> Программисты будут совершать ошибкиТочка.
>> Программисты будут совершать ошибки
> Точка.Есть программисты, ошибок не совершающие.
Особливо переполнений.
> Есть программисты, ошибок не совершающие.Припоминается аж целый DJB, и тот 1 раз на выплату премии все-таки попал.
> Особливо переполнений.
Их даже яваскриптеры вешают. Хоть им и запретили прямую работу с памятью.
> Пока будут продолжать использоваться программы на сях/плюсах/растах, такое будет вечно.fxd
Может ты закончишь онанировать на диване и напишешь уже наконец ОСь на русте или на гомне?
есть такое понятие - транспьютер
к сожалению, продолжения не получил.
микроядро для него, так как в любой отдалённости - всегда.
люди, занимающиеся сами с собой увлечениями, не правы. может левы или среднее что-то вроде священной коровы.
> Пока будут продолжать использоваться программы на сях/плюсах, такое будет вечно.Про микроядра тоже говорили - мол, перейдите на них и станет безопасно. И тут вдруг privilege escalation в ядре ME. Ну или вон node.js - все и вся на явоскрипте, но дыреней там везде и всюду. Если код пишет макака - какая разница какой яп?
>> Multiple privilege escalations in kernel in Intel Manageability Engine FirmwareА говорили что микроядра безопасные. Но видимо и микроядра не защищают от индусов в команде.
Разве что физического доступа с курочением машины, но там ничего не спасёт - как праивльно замечено, можно и микросхему перешить. От локального доступа из ОС в любом случае там, где это важно, прикрываются полным шифрованием диска, запретом загрузки с левых носителей и паролем на вход в BIOS/UEFI.
> шифрованием диска, запретом загрузки с левых носителей и паролем на вход в BIOS/UEFI....на который атакующие дежурно вводят AWARD_SW, AMI_SW или что там у кого :)
Или дергают батарейку и ставят свой пароль )))
Да, мы не знаем о всех присутствующих в ME уязвимостях и бэкдорах, только о некоторых, вероятно, еще не самых серьезных.
> Да, мы не знаем о всех добавленных в ME уязвимостях и бэкдорах,
> только о некоторых, но сильно позже, еще не самых серьезных.//f-d
Нет. Теоретически.Я свою двухгоршковую (2х604) старую машину проверил интеловской утилитой AMT Configuration Utility Wizard, она бодро сообщила об отсутствии соответствующей инфраструктуры. На плате есть, тем не менее, разъём под карту IPMI и два интеловских гигабитных сетевых интерфейса. Как это всё теперь понимать и толковать в свете новостей, касающихся ME, не знаю.
Ну самой-то карты ИПМИ нету. Значит, ничего не будет. В качестве малой пороноечки сам подумываю о покупке по дешёвке нескольких Штеуд Щион L7455 over Supermicro X7QC3 -- и по максимуму памяти в них, благо это уже вполне себе ДДР2
Да, самой карты нету. Нет необходимости. По крайней мере, пока.У меня предыдущая супермикра — поколения X6, по памяти не скажу название платы. DDR1. Но всё равно можно впихнуть до 32 гектаров памяти, чего для личных нужд выше крыши, а скорость при использовании ECC-памяти не так уж критична, как показывает жизнь. Машина вполне быстрая, хоть это ещё NetBurst. По субъективным ощущениям, нет значимой разницы в производительности между такой системой и другими вплоть до поколения Nehalem, но то уже другой уровень. А четырёхядерный Xeon поколения Core 2 мне кажется даже более медленным на каких-то задачах.
Ну и, кстати, на барахолках тонны серверной памяти старых стандартов практически за копейки. Как и процессоров. Жаль, что с материнками не всё так радужно. Ну и почему бы не пользоваться? Я для себя озаботился и уже пару таких машинок добавил в хозяйство, как раз по причине лёгкой паранойки.
> over Supermicro X7QC3 -- и по максимуму памяти в них, благо
> это уже вполне себе ДДР2Как там бэкдор от супермикро в BMC поживает?
Теоретически, опять же, говоря, если в старых супермикрах внешнее управление реализовано через опциональную карту IPMI, то может и не быть бекдора. Но я в этом не уверен.
После всех оптимистических новостей, касающихся ME, я от Штеуда уже понемногу начинаю шарахаться в стороны и, вероятно, если буду собирать новые «морально устаревшие» машины (грубо — с ЦПУ до 2013 года выпуска), то на серверной базе под процессоры AMD.
жаль, что лэптоп так не собрать
> жаль, что лэптоп так не собратьБуки Purism-а по результату именно такие и выходят -- старые %) и свободные.
Не на ксеонах, это да. Беда!
> жаль, что лэптоп так не собратьЗато можно собрать так: https://www.olimex.com/Products/DIY-Laptop/ - полный контроль над системой. Схема и разводка плат известная, запуск открытым uboot. Поддержка майнлайновым Linux какая-никакая. Система без абибосов.
Quad Core Allwinner A64 64-bit Cortex-A53 processorИ куда с этим? С каким ноутбучным процессором AMD или Intel (точнее — с системой на таком процессоре) оно сопоставимо по производительности?
Не такой уж он и Trusted, получается? )))
А доверять никому нельзя. Ну кроме как дедушке Мюллеру, но он умер давно...
Но дело его живёт. Мир так устроен, тля :(
> Не такой уж он и Trusted, получается? )))Не! Может? Быть. https://www.fsf.org/search?SearchableText=Treacherous+Computing
use the NSA definition that a trusted system or component is one whose failure can break the security policywww.cl.cam.ac.uk/~rja14/Papers/SEv2-c01.pdf
"Trusted" не значит надёжный, "Trusted" значит то, что ты вынужден ему доверять.
>вынужден ему доверятьПо такой логике нужно и государству доверять, это несерьёзно.
А себе ты веришь? Это ещё более несерьёзно.
Trusted - это не про доверие пользователя системе. Это про доверие системе производителей DRM и подобного.
> Trusted - это не про доверие пользователя системе. Это про доверие системе
> производителей DRM и подобногодерьма.
Для тех, у кого python младше 2.7, поправьте в sps.py на 39 строке:
-info = subprocess.check_output(["./spsInfoLinux64", "-NOCOLORS"]).strip()
+from subprocess import PIPE,Popen
+proc = Popen(['./spsInfoLinux64','-NOCOLORS'], stdout=PIPE)
+info = proc.communicate()[0]
мне кажется, владельцев ЭТИХ систем уже не должны беспокоить мелочи типа уязвимости в ME ;-)
А мне кажется, что питон 2.7 намного старше Intel Core 6–7–8 поколений.
В RHEL/CentOS 6 питон 2.6
Этой ОСи еще 3 года минимум жить.
да, но зачем же вы ее на bare metal ставите-то?
Мне и два года назад уже категорически не хотелось.Это ж заманаешься все на свете патчить под нее, там же не один только питон такой, там и gcc 12го года, и аллах ведает, какие еще грабли.
P.S. как они, интересно, мазилу-то у себя всей этой древностью собирают? Даже ESR.
P.P.S. ты в своем патче .strip() забыл - хз что он там с той строкой дальше делает, может ему это \n важно.
остаётся только ждать следующего поколения Райзенов, а там и Нави появится.
Как бы мне не хотелось обновить свой Athlon 64 X2, пока нечем. :-(
АMD Platform Security Processor привет передавай.
Только FX-83хх, больше нечем.
> единственным вариантом восстановления остаётся ручная перепрошивка Flash через SPI (для большинства компаний дешевле будет купить новое оборудование).Новый комп дешевле программатора за 5 баксов и от силы получаса работы? Не, мань, втюхивай новый интел кому другому.
>получаса работыполучаса работы специалиста. в большинстве контор такого специалиста просто нету.
:-) Мы ж речь, вроде, о безопасности и компаниях вели? А значит, к Васе из подвала с програматором не пойдёшь, нужны сертифицированные конторы и т. д. Западный ценник на перешивку в подобных местах, подозреваю, долларов с 300 начнётся. Учитывая мороку - натурально дешевле мать сменить.
Плюсую.
Дешевле ещё в плане "простоя ресурса" сотрудника на время перешивки. Вот такая печаль, что правда для компании дешевле просто купить.
Было бы тру, если бы старые с молотка пустили, но это тоже отдельная процедура...:(
Ebay завален дешёвым полностью исправным оборудованием как раз поэтому.
> Было бы тру, если бы старые с молотка пустили, но это тоже отдельная процедура...:(Гуглим refurbished notebooks:
https://searx.me/?q=refurbished%20notebooks&categories=...
> Западный ценник на перешивку в подобных местах, подозреваю,
> долларов с 300 начнётся. Учитывая мороку - натурально дешевле мать сменить.Неужто для конторы, у которой несколько сот машин, хорошую скидку не сделают?
Как зaтpaхала эта неотключаемая шпионская следилка от интеля. Сколько проблем из-за этой xepни.
> Как зaтpaхала эта неотключаемая шпионская следилка от интеля. Сколько проблем из-за этой
> xepни.
Как это неотключаемая? Отключается же каким-то битом в ноль... Причём безвозвратно.
добро пожаловать в светлое будущее! У амд тоже самое, если что
http://www.megaprocessor.com/
Вообще-то её (в том числе и через эти уязвимости) научились вырезать практически в нуль.
> Вообще-то её (в том числе и через эти уязвимости) научились вырезать практически
> в нуль.То есть починтка там наверху "этих уязвимостей" таки разучивает её отключать?
http://www.opennet.me/openforum/vsluhforumID3/112722.html#35
http://www.opennet.me/openforum/vsluhforumID3/111143.html#11
Да чёрт их знает, спроси у коребутовцев. Лично я подозреваю, что всё не прикроют. В любом случае учитывая, что сейчас железо можно раз в пять лет обновлять, проще порезать эту ME сейчас и не дёргаться. А там - либо ишак сдохнет... AMD как минимум в разговорах обещала подумать над тем, чтобы отдать контроль над своей троянской хренью пользователю, может и свершится сие чудо.
> отдать контроль над своей троянской хренью пользователю, может и свершится сие чудо.Отдать контроль над одним троянским конём, но засунуть другой, чтобы никто о нём не знал. Многоходовочка.
Все это для повышения безопасности, кричал они.
> Все это для повышения безопасности, кричал они.И только RMS всё талдычил в уголке, рассказывая "безопасности" кого и от кого. Всё одно и то же, все 30+ лет... Вырастали поколения и поколения -- а грабли и торянские лошадки были всё одни и те же. Только фантики обёрток и букво-сокращения менялись -- "прогресс" было не становить....
А ты не путай свою безопасность с государственной!
It's for your own safety!
>Проблемы проявляются на системах с 6, 7 и 8 поколением процессоров Intel Corehaswell - это же 4 поколение? Мне бояться нечего, или штеуд просто забил на багфиксы для старья?
Здесь можно поколение процессора посмотреть: https://ark.intel.com/
Хотя на мой Z97 чудо-скрипт сказал, мол "возможно уязвим"
>Здесь можно поколение процессора посмотреть: https://ark.intel.com/Error 500 :D
> Error 500 :DКто-то поменеджил интеля через незапатченую машину.
> haswell - это же 4 поколение? Мне боятьсяБойтесь. Там оно просто ещё в чипсете обитает. А уж какие в нём дыры - вообще неизвестно.
Почему их до сих пор еще не засудили? Куда смотрит общественность? Где демонстрации и митинги? Где пресса и правозащитные организации?
Как где? По поводу харссмента с ума сходят.
https://ic.pics.livejournal.com/jaga_lux/16148852/1765714/17...
"Трое мужчин и женщина, переодетая мужчиной" :)
Трёхбуквенные организации не позволят.
ΧΚΓ?
ΣΖΚ?
ΦΚΣ?
ΑΔΦ?
> ΧΚΓ?
> ΣΖΚ?
> ΦΚΣ?
> ΑΔΦ?ZOG же, ну. И еще эти, как их, массоны. Хоть они и не трехбуквенные.
Им страшно. А тем, кого мы часто видим в других местах и кто много гавкает, им, видимо, одобрение и поддержка сверху приходит.
Ждём, что вслед за Free Software появится, наконец, и Free Hardware. Только даже если взлетит, корпы с ним будут биться не на жизнь, а на смерть...
не взлетит. Разрабатывать хардваре с нуля гораздо сложнее. Плюс собирать. Плюс отбиваться от всяких ООО "Рога и Копыта", абузящих твои наработки в нарушение лицензии.Опенсорц относительно взлетел не из-за гиков, а из-за возможности не платить корпорациям сотни нефти за софт. А в данном случае - сомневаюсь, что открытое железо будет стоит дешевле проприетарного. Не говоря уже о производительности оного
Так то оно так, зато точно знаешь, что внутри, а не то IME не то PSP (Platform Security Processor) какой-нибудь в процессоре обнаруживается и ты под колпаком у Intel/AMD.
ORLY?! :)
Ну под колпаком - и что?Те же пластиковые карты при желании легко отследить, зная и перемещения и предпочтения владельца. К пластиковой карте привязан телефон, который каждую секунду сообщает мобильному оператору своё (и твоё) местоположение. Прослушивание телефонных разговоров. Контроль всего твоего интернет-трафика на уровне провайдера. В крупных городах видеокамеры на каждом шагу. И это всё - пассивное слежение, за тобой никто не ходит и жучки в квартиру не пихают, хотя тоже могут.
Что они о тебе ещё не знают?
Встроив программу слежения в процессор твоего настольного компьютера, они не узнают ничего нового. Всё предыдущее тебя, как и RMS, не беспокоит, а здесь сразу паника.
> никто не ходит и жучки в квартиру не пихают, хотя тоже могут.Почему не пихают? Пытаются:
https://www.thedailybeast.com/your-samsung-smarttv-is-spying...
> Your Samsung SmartTV Is Spying on You, Basically
> did you know it’s recording everything you say and sending it to a third party?https://habrahabr.ru/post/202770/ («Умные» телевизоры LG шпионят за пользователями)
А уж MS со своим кинектом:
https://geektimes.ru/post/83108/
> Контроль над пользователями через Kinect-подобные устройства: новый патент Microsoft
> система следит за количеством человек в комнате (по количеству тёплых тел) и при превышении некоего числа, установленного компанией-дистрибьютором фильма, просит приобрести расширенную лицензию
> “The users consuming the content on a display device are monitored so that if the number of user-views licensed is exceeded, remedial action may be taken.”
Не путай "могу" и "буду". Любое устройство с камерой МОЖЕТ производить съёмку, но не делает этого и не БУДЕТ это делать. Зачем? Думаешь интересно смотреть на домашнее порно котов или как одинокий 40-летний жирный толстяк ***чит у телека на молоденькую фотомодель?
Однако нажатия клавиш MS себе зачем-то отсылает.
> Ждём, что вслед за Free Software появится, наконец, и Free Hardware. Только
> даже если взлетит, корпы с ним будут биться не на жизнь,
> а на смерть...Вот с таким они будут биться?:
https://3.14.by/en/read/homemade-cpus
> Вот с таким они будут биться?:
> https://3.14.by/en/read/homemade-cpushttps://riscv.org/
https://www.sifive.com/products/hifive1/
Free Hardware не будет никогда, ибо подразумевает бесплатность. А Open уже было - сановские процессоры, архитектура IBM и др.
> Free Hardware не будет никогда, ибо подразумевает бесплатность. А Open уже было
> - сановские процессоры, архитектура IBM и др.Free as in beer же, ну.
> работающего независимо от CPU и выполняющего задачи, которые необходимо отделить от операционной системы, такие как обработка защищённого контента (DRM), реализация модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием«Дас ист фюр потребляйтер защитен» ©
А ведь ребята с зеродэй и CodeRush уже давно предупреждали. И вот под фанфары ...
Столлман был пророком, Шлей сотоварищи подготовили почву уже 100% зная об уязвимостях, прямо указывая, где их искать, а остальные сделали дело.
Там ещё где-то по середине проснулся Герцен.
Он разбудит декбристов, тьфу... опеннетчиков, которые придут и изольют потенцию на Сенную площадь.
Сейчас под шумок заодно и ликвидируют возможность отключения этой малвари.
Всегда так. Невозможно открыто огласить на весь мир об уязвимости в блобятине, не рискуя закрытием возможности обезвредить блобятину вместе с закрытием уязвимости. Собственно, тут блобятина и есть уязвимость...
это касается свежей платформы от АМД?
Нет, они не такие. У одних черенок лопаты, у других бутылка шампанского.
>У одних черенок лопаты, у других бутылка шампанского.Пустая
Уязвимость в процессорах интел.
Утилита для проверки на уязвимость, предоставляемая под EULA от Intel.Более чем подозрительно.
> Более чем подозрительно.Зонды! It's everywhere!
А ещё оно требует рут.
> А ещё оно требует рут.Правильно, иначе как тебе новый бэкдор инсталлировать? Без рута не получается.
мало того что эта шляпа следит и полна дыр, дак она еще и стоимость материнки увеличивает.
> мало того что эта шляпа следит и полна дыр, дак она еще
> и стоимость материнки увеличивает.Жадность и монополь интела её увеличивают. Невидимая Рука Рынка, проще говоря.
"Ну обновите прошивки, пожалуйста - у нас удаленно не получается..."
Одна новость другой охренительнее...Даже если вам нечего скрывать, даже если вы продолжаете доверять Intel, всё равно нужно постараться отключить IntelME, так как IntelME - одна большая уязвимость.
А что делать то? Не покупать интол? А амд таких бекдоров нет?
>А амд таких бекдоров нет?Есть, PSP называется since 2013, http://www.uefi.org/sites/default/files/resources/UEFI_PlugF...
PDF - проприетарный формат!
> PDF - проприетарный формат!С каких пор стандарт стал проприетарным? Гугли ISO 32000-2, это Acrobat проприетарен.
Кто там может редактировать pdf во все поля бесплатно?
> Кто там может редактировать pdf во все поля бесплатно?pdfedit
scribus
flpsedВыбирай.
> Кто там может редактировать pdf во все поля бесплатно?Notepad.exe
Я тебе хочу сказать, что акробат тоже не может редактировать пдф так уж легко.
> Есть, PSP называется since 2013, http://www.uefi.org/sites/default/files/resources/UEFI_PlugF...ButtPlugFest innovation.
> А что делать то? Не покупать интол? А амд таких бекдоров нет?Я тебе открою страшную тайну: https://riscv.org/ Кроме Intel и AMD существуют другие процессоры! Только тссссс!
В АМД подобную глупость еще не реализовали. По-своей сути, вся эта система и является самой серьезной угрозой безопасности - так как прозрачна для основной ос и нет никакой возможности ее пресечь или хоть как-то обнаружить.
>В АМД подобную глупость еще не реализовалиВ рязани тоже есть подобная штука. Вроде бы еще в некоторых поздних бульдозерах (мопед не мой - где то читал, когда искал себе проц).
> В АМД подобную глупость еще не реализовали.Как бы не так, они засунули "Security" processor. Понятно какая там "security" подразумевается. Ты наверное догадался уже что не твоя.
Раньше надо было думать — лет этак 15 назад. Оно же не в одночасье родилось и выросло. Сейчас уже поздно что-либо делать, так что расслабиться и получать удовольствие.
Скачал, показывает уязвимо и все. Как установить неясно
Ну что ж, ждем эльбрус с нетерпением
слепленный кристально честными жителями тайваня на американском оборудовании?
По заказу кристально честных российских чиновников, для которых нет ничего важнее, чем забота о свободе и счастье народа.
Три штуки баксов за аналог тридцатибаксовой клубнички, с той же тайваньской фабрики.
С "assembled in USA" этикеткой на материнке.99% - нормальная наценка за урапатриотизм.
> Три штуки баксов за аналог тридцатибаксовой клубнички, с той же тайваньской фабрики.Тому не надо чёрта искать... а, не, тому intel-me вполне по спине, у кого бродком с блобом на фате за плечами.
> С "assembled in USA" этикеткой на материнке.
> 99% - нормальная наценка за урапатриотизм.Да, хорошая цена твоего крупа, intel уже в сойке, продолжай. "Назови настоящую цену!"
> Ну что ж, ждем эльбрус с нетерпениемЕсть уверенность что там все честно? При том что там проприетарный даже компилятор?
>> Intel ME поставляется в большинстве современных материнских
>> плат с процессорами Intel и реализован в виде отдельного
>> микропроцессора, работающего независимо от CPUТут вот не продумано.
Надо было на основном кристалле разместить и без возможности обновления. Зашить в литографскую маску.
на основной уже не помещается, а то заметно станет
Наоборот, всё очень хорошо продумано. ME, говоря упрощённо, живёт как бы на сетевом интерфейсе и для своей работы не нуждается в CPU вообще, только в дежурном питании. Полностью её отключить на сегодняшний день, видимо, можно только хардварно — путём физического отсоединения системной платы от источника питания и от сети.
> Надо было на основном кристалле разместить и без возможности обновления. Зашить в
> литографскую маску.Так он и зашит. Где-то в сам проц, где-то в чипсет. Просто это отдельное процессорное ядро, с отдельной системой команд, стартующее независимо от x86 проца.
Запустил на раритете:> $ ./intel_sa00086.py
> ..
> Processor Name: Intel(R) Core(TM)2 Duo CPU E8500 @ 3.16GHz
> ..
> *** Risk Assessment ***
> Detection Error: This system may be vulnerable, please install the Intel(R) MEI/TXEI driver (available from your system manufacturer).Правильно ли я понимаю, что все старые процессоры (до 6 поколения) можно выкидывать?
На тех что раньше Nehalem, Intel ME вообще можно заменить на coreboot или почистить с помощью me_cleaner.
В тех, что выпущены раньше Core, ME (AMT) своими частями в процессор, похоже, ещё не встроена.
>> $ ./intel_sa00086.py
>> Processor Name: Intel(R) Core(TM)2 Duo CPU E8500 @ 3.16GHz
>> *** Risk Assessment ***
>> Detection Error: This system may be vulnerableКрасивый баг! :)
> Правильно ли я понимаю, что все старые процессоры (до 6 поколения) можно выкидывать?Да, интел хочет чтобы ты установил заапгрейженный вариант бэкдора, который еще не запален.
Подскажите плиз на матерях для последних amd процессоров есть подобный модуль?
http://www.amd.com/en-us/innovations/software-technologies/s...https://libreboot.org/faq.html#amd-platform-security-process...
Блин. Проще сформулируем вопрос. Если я боюсь что меня похакают через подобный модуль что мне купить? Мать на intel или amd?
Те, где управлялка пристёгивается отдельной платой. Либо управлялку не пускать во внешние сети.
Управлялка это нечто наподобие такого:https://en.wikipedia.org/wiki/Intelligent_Platform_Managemen...
https://en.wikipedia.org/wiki/HP_Integrated_Lights-Out
https://en.wikipedia.org/wiki/IBM_Remote_Supervisor_Adapter
По ссылкам обычно не ходят, процитирую сюда:The Intelligent Platform Management Interface (IPMI) is a set of computer interface specifications for an autonomous computer subsystem that provides management and monitoring capabilities independently of the host system's CPU, firmware (BIOS or UEFI) and operating system. IPMI defines a set of interfaces used by system administrators for out-of-band management of computer systems and monitoring of their operation. For example, IPMI provides a way to manage a computer that may be powered off or otherwise unresponsive by using a network connection to the hardware rather than to an operating system or login shell.
The specification is led by Intel and was first published on September 16, 1998. It is supported by more than 200 computer system vendors, such as Cisco, Dell, Hewlett-Packard, Intel, NEC Corporation, SuperMicro and Tyan.[1]
В одной из моих систем, например, это отдельный физический разъём, напоминающий ноутбучные разъёмы для памяти, куда подключается плата IPMI.Можно нагуглить, как это выглядит. Сабж, собственно: http://www.lannerinc.com/technology/value-added-software-sup.../
В более новых платах (начиная, предположительно, с поколений Core и Nehalem) это уже не подключается отдельной карточкой, а _встроено_ в мать. Наружу выходит в виде отдельного сетевого разъёма.Типа такого: https://forums.tweaktown.com/attachments/asrock/7321d1413589...
> Блин. Проще сформулируем вопрос. Если я боюсь что меня похакают через подобный
> модуль что мне купить? Мать на intel или amd?[i]" For a company to go from being so good, to so bad, in just 3 years, shows that something is seriously wrong with AMD. Like Intel, they do not deserve your money.
Given the current state of Intel hardware with the Management Engine, it is our opinion that all performant x86 hardware newer than the AMD Family 15h CPUs (on AMD’s side) or anything post-2009 on Intel’s side is defective by design and cannot safely be used to store, transmit, or process sensitive data. Sensitive data is any data in which a data breach would cause significant economic harm to the entity which created or was responsible for storing said data, so this would include banks, credit card companies, or retailers (customer account records), in addition to the “usual” engineering and software development firms. This also affects whistleblowers, or anyone who needs actual privacy and security. "
А есть не использовать интегрированную сетевую карту, дотянется ли IME до интернета на дежурном питании?