web-dev-qa-db-fra.com

Comment désactiver Intel ME?

Après lecture d'Intel ME contenant des portes dérobées secrètes , je voudrais savoir s'il est possible de désactiver Intel ME?

backdoor
15
Marina Ala

Tout d'abord, il semble que cette personne ne dise pas la vérité. Il aurait dû mentionner quelque chose que seule une personne qui travaille chez Intel connaîtrait, ou du moins quelque chose que des gens qui comprennent profondément l'architecture devraient connaître, plutôt que seulement des choses qui sont de notoriété publique. Il aurait pu au moins mentionner quelque chose comme ME v11 passant à TinyIA d'ARCCompact et se débarrassant du format du module JEFF (un ancien Java standard standard), soi-disant. Deuxièmement, une partie de ce qu'il a dit était factuellement incorrect:

  • Pour avoir un accès complet à la mémoire, il a besoin d'un composant x86 dans le BIOS pour le permettre, contrairement à la croyance populaire que le ME est un dieu, donc il a tort de dire qu'il a toujours accès à la mémoire système (bien que la plupart des configurations permettez-lui de le faire).

  • Il peut être désactivé, et il existe de nombreuses façons de le faire, à la fois public et non public. Son affirmation selon laquelle il est impossible de désactiver est incorrecte. Je vais vous expliquer comment plus tard dans ce post.

  • Il a mentionné que les portes dérobées supposées ont des fonctionnalités similaires à l'ANGLE PLEURANT de la CIA, permettant au ME d'écouter même si l'ordinateur est éteint ou en sommeil. Cela n'est pas possible sur la majorité des systèmes en raison de contraintes matérielles. Seuls les serveurs haut de gamme avec prise en charge de vPro peuvent garder le ME allumé pendant que le système semble éteint. Tous les autres systèmes maintiennent le ME hors tension sauf si le système est lui-même sous tension.

  • Une erreur flagrante qu'il commet est qu'il n'a pas "accès complet à la pile TCP/IP". J'imagine qu'il essaie de répéter le fait bien connu qu'il a sa propre pile TCP/IP, ce qui est vrai. Le ME ne s'intègre en aucune façon à la pile réseau du système d'exploitation.

  • Le ME n'a pas accès à tous les périphériques connectés à l'ordinateur. Au minimum, il peut lire toutes les frappes PS/2, la mémoire vidéo et les communications NIC. S'il a accès à la mémoire complète, il peut faire plus, bien sûr. Mais en raison de limitations de l'architecture x86, il ne peut pas avoir accès à tous les périphériques.

Déjà dans son court article, il a montré qu'il ne connaissait pas les bases du moteur de gestion. En tant que personne qui connaît plusieurs employés d'Intel, dont certains ont travaillé directement avec le ME, je ne pense pas que cette personne travaille pour Intel.

Pour répondre à votre question principale, sur certains ordinateurs plus anciens, vous pouvez le désactiver en installant Libreboot, qui n'est pas fourni avec le ME. Les seuls ordinateurs avec lesquels il est compatible sont ceux qui ne refusent pas de démarrer ou qui sont par ailleurs stables lorsque le ME ne fonctionne pas. Sur certains ordinateurs SandyBridge/IvyBridge, vous pouvez paralyser le ME en écrasant la première page (4096 octets), comme indiqué ici . D'autres méthodes qui pourraient être possibles dans un avenir proche et qui nécessitent une combinaison de modifications matérielles et logicielles impliquent probablement simplement des cavaliers, selon certaines personnes expérimentant la désactivation du ME dans #libreboot sur Freenode.

Sans oublier, si cette personne disait même la vérité, le nombre d'EE travaillant chez Intel depuis plus de 15 ans, qui ont déménagé dans un nouveau département il y a 3 ans et obtenu une habilitation de sécurité à ce moment-là est probablement une petite poignée, si pas une seule personne. Quiconque ayant une autorisation sait à quel point il est incroyablement dangereux de divulguer des informations, donc il ne donnerait pas d'informations de cette façon ... sur 4chan de tous les endroits.

6
guest

Dans certains chipsets, vous pouvez désactiver Intel ME en suivant ces instructions (à vos risques et périls).

Les nouveaux chipsets (sur Haswell) ont Intel Boot Guard défini dans Verified Boot, ce qui rend la solution ci-dessus inutilisable.

Pas exactement votre cas, mais pour empêcher Intel ME de parler à Windows, vous pouvez désactiver Intel AMT . Je crois comprendre que si votre machine se connecte uniquement via WiFi, cela rend Intel ME inutile, car il doit avoir une connexion Ethernet ou accéder au WiFi via Windows.

4
Gaia