it-swarm.com.de

Wie deaktiviere ich Intel ME?

Nach Lesen über Intel ME mit geheimen Hintertüren möchte ich wissen, ob es möglich ist, Intel ME zu deaktivieren?

15
Marina Ala

Zunächst klingt es so, als würde diese Person nicht die Wahrheit sagen. Er hätte etwas erwähnen sollen, das nur eine Person, die bei Intel arbeitet, wissen würde, oder zumindest etwas, das Menschen, die die Architektur tief verstehen, wissen würden, und nicht nur Dinge, die öffentlich bekannt sind. Er hätte zumindest so etwas wie ME v11 erwähnen können, der von ARCCompact zu TinyIA wechselt und angeblich das JEFF-Modulformat (ein alter verlassener Java Standard)) loswird. Zweitens war einiges von dem, was er sagte sachlich falsch:

  • Um vollen Zugriff auf den Speicher zu haben, benötigt es eine x86-Komponente im BIOS, um dies zu ermöglichen, entgegen der weit verbreiteten Meinung, dass der ME ein Gott ist. Er sagt daher zu Unrecht, dass er immer Zugriff auf den Systemspeicher hat (obwohl die meisten Konfigurationen erlauben Sie es, dies zu tun).

  • Es kann deaktiviert werden, und es gibt viele Möglichkeiten, dies sowohl öffentlich als auch nicht öffentlich zu tun. Seine Behauptung, es sei unmöglich zu deaktivieren, ist falsch. Ich werde später in diesem Beitrag erklären, wie.

  • Er erwähnte, dass die angeblichen Hintertüren eine ähnliche Funktionalität haben wie der WEEPING ANGEL der CIA, so dass der ME auch dann zuhören kann, wenn der Computer ausgeschaltet ist oder schläft. Dies ist auf den meisten Systemen aufgrund von Hardwareeinschränkungen nicht möglich. Nur High-End-Server mit vPro-Unterstützung können den ME eingeschaltet lassen, während das System ausgeschaltet ist. Bei allen anderen Systemen bleibt der ME ausgeschaltet, es sei denn, das System selbst ist eingeschaltet.

  • Ein eklatanter Fehler, den er macht, ist, dass er nicht "vollen Zugriff auf den TCP/IP-Stack" hat. Ich kann mir vorstellen, dass er versucht, die bekannte Tatsache zu wiederholen, dass es einen eigenen TCP/IP-Stack hat, was wahr ist. Der ME lässt sich in keiner Weise in den Netzwerkstapel des Betriebssystems integrieren.

  • Der ME hat nicht Zugriff auf jedes an den Computer angeschlossene Peripheriegerät. Zumindest kann es alle PS/2-Tastenanschläge, den Videospeicher und die Kommunikation lesen NIC Kommunikation. Wenn es Zugriff auf den vollen Speicher erhält, kann es natürlich mehr. Aber aufgrund der physischen Aufgrund der Einschränkungen der x86-Architektur kann nicht auf alle Peripheriegeräte zugegriffen werden.

Bereits in seinem kurzen Beitrag hat er gezeigt, dass er die Grundlagen der Manageability Engine nicht kennt. Als jemand, der mehrere Intel-Mitarbeiter kennt, von denen einige direkt mit dem ME zusammengearbeitet haben, glaube ich nicht, dass diese Person für Intel arbeitet.

Um Ihre Hauptfrage zu beantworten, können Sie sie auf einigen älteren Computern deaktivieren, indem Sie Libreboot installieren, das nicht im Lieferumfang von ME enthalten ist. Die einzigen Computer, mit denen es kompatibel ist, sind solche, die sich nicht zum Booten weigern oder auf andere Weise stabil sind, wenn der ME nicht ausgeführt wird. Auf einigen SandyBridge/IvyBridge-Computern können Sie die ME lähmen, indem Sie die erste Seite (4096 Byte) überschreiben, wie in hier gezeigt. Andere Methoden, die in naher Zukunft möglich sein könnten und eine Kombination aus Hardware- und Softwaremodifikationen erfordern, beinhalten wahrscheinlich einfach Jumper, so einige Leute, die mit der Deaktivierung des ME in #libreboot auf Freenode experimentieren.

Ganz zu schweigen davon, ob diese Person überhaupt die Wahrheit gesagt hat, dass die Anzahl der EEs, die seit mehr als 15 Jahren bei Intel arbeiten und vor 3 Jahren in eine neue Abteilung gezogen sind und zu diesem Zeitpunkt eine Sicherheitsüberprüfung erhalten haben, wahrscheinlich eine kleine Handvoll ist, wenn keine einzige Person. Jeder mit Freigabe weiß, wie unglaublich gefährlich es ist, Informationen zu verlieren, daher würde er auf diese Weise keine Informationen weitergeben ... ausgerechnet auf 4chan.

6
guest

In einigen Chipsätzen können Sie Intel ME deaktivieren, indem Sie diese Anweisungen befolgen (auf eigenes Risiko).

Bei neueren Chipsätzen (Haswell on) ist Intel Boot Guard in Verified Boot eingestellt, wodurch die oben genannte Lösung unbrauchbar wird.

Nicht genau Ihr Fall, aber um zu verhindern, dass Intel ME mit Windows kommuniziert, können Sie Intel AMT deaktivieren . Nach meinem Verständnis macht Intel ME unbrauchbar, wenn Ihr Computer nur über WLAN eine Verbindung herstellt, da eine Ethernet-Verbindung erforderlich ist oder Sie über Windows auf WLAN zugreifen müssen.

4
Gaia