Runion — Удаление Intel Management Engine

Удаление Intel Management Engine ¶

By: Vald on 2016-12-01 13 ч.

Re: Удаление Intel Management Engine

One module is the operating system kernel, which is based on a proprietary real-time operating system (RTOS) kernel called "ThreadX"

Another module is the Dynamic Application Loader (DAL), which consists of a Java virtual machine and set of preinstalled Java classes for cryptography, secure storage, etc. The DAL module can load and execute additional ME modules from the PC's HDD or SSD.

The Active Management Technology (AMT) application, part of the Intel "vPro" brand, is a Web server and application code that enables remote users to power on, power off, view information about, and otherwise manage the PC. It can be used remotely even while the PC is powered off (via Wake-on-Lan)

Intel Boot Guard is an ME application introduced in Q2 2013 with ME firmware version 9.0 on 4th Generation Intel Core i3/i5/i7 (Haswell) *****Us. It allows a PC OEM to generate an asymmetric cryptographic keypair, install the public key in the *****U, and prevent the *****U from executing boot firmware that isn't signed with their private key.

ME firmware versions 4.0 and later (Intel 4 Series and later chipsets) include an ME application for audio and video DRM called "Protected Audio Video Path" (PAVP).
Like the AMT application, these DRM applications, which in themselves are defective by design, demonstrate the omnipotent capabilities of the ME: this hardware and its proprietary firmware can access and control everything that is in RAM and even everything that is shown on the screen.

The Intel Management Engine with its proprietary firmware has complete access to and control over the PC: it can power on or shut down the PC, read all open files, examine all running applications, track all keys pressed and mouse movements, and even capture or display images on the screen.

Wikipedia:

Almost all AMT features are available even if the PC is in a powered-off state but with its power cord attached, if the operating system has crashed, if the software agent is missing, or if hardware (such as a hard drive or memory) has failed.[1][2] The console-redirection feature (SOL), agent presence checking, and network traffic filters are available after the PC is powered up.[1][2]
Intel AMT supports these management tasks:
Remotely power up, power down, power cycle, and power reset the computer.[1]
Remote boot the PC by remotely redirecting the PC's boot process, causing it to boot from a different image, such as a network share, bootable CD-ROM or DVD, remediation drive, or other boot device.[1][7] This feature supports remote booting a PC that has a corrupted or missing OS.
Remotely redirect the system's I/O via console redirection through serial over LAN (SOL).[1] This feature supports remote troubleshooting, remote repair, software upgrades, and similar processes.
Access and change BIOS settings remotely.[1] This feature is available even if PC power is off, the OS is down, or hardware has failed. This feature is designed to allow remote updates and corrections of configuration settings. This feature supports full BIOS updates, not just changes to specific settings.
Detect suspicious network traffic.[1][15] In laptop and desktop PCs, this feature allows a sys-admin to define the events that might indicate an inbound or outbound threat in a network packet header. In desktop PCs, this feature also supports detection of known and/or unknown threats (including slow- and fast-moving computer worms) in network traffic via time-based, heuristics-based filters. Network traffic is checked before it reaches the OS, so it is also checked before the OS and software applications load, and after they shut down (a traditionally vulnerable period for PCs[citation needed]).
Block or rate-limit network traffic to and from systems suspected of being infected or compromised by computer viruses, computer worms, or other threats.[1][15] This feature uses Intel AMT hardware-based isolation circuitry that can be triggered manually (remotely, by the sys-admin) or automatically, based on IT policy (a specific event).
Manage hardware packet filters in the on-board network adapter.[1][15]
Automatically send OOB communication to the IT console when a critical software agent misses its assigned check in with the programmable, policy-based hardware-based timer.[1][15] A "miss" indicates a potential problem. This feature can be combined with OOB alerting so that the IT console is notified only when a potential problem occurs (helps keep the network from being flooded by unnecessary "positive" event notifications).
Receive Platform Event Trap (PET) events out-of-band from the AMT subsystem (for example, events indicating that the OS is hung or crashed, or that a password attack has been attempted).[1] You can alert on an event (such as falling out of compliance, in combination with agent presence checking) or on a threshold (such as reaching a particular fan speed).
Access a persistent event log, stored in protected memory.[1] The event log is available OOB, even if the OS is down or the hardware has already failed.
Discover an AMT system independently of the PC's power state or OS state.[1] Discovery (preboot access to the UUID) is available if the system is powered down, its OS is compromised or down, hardware (such as a hard drive or memory) has failed, or management agents are missing.
Perform a software inventory or access information about software on the PC.[1] This feature allows a third-party software vendor to store software asset or version information for local applications in the Intel AMT protected memory. (This is the protected third party data store, which is different from the protected AMT memory for hardware component information and other system information). The third-party data store can be accessed OOB by the sys-admin. For example, an antivirus program could store version information in the protected memory that is available for third-party data. A computer script could use this feature to identify PCs that need to be updated.
Perform a hardware inventory by uploading the remote PC's hardware asset list (platform, baseboard management controller, BIOS, processor, memory, disks, portable batteries, field replaceable units, and other information).[1] Hardware asset information is updated every time the system runs through power-on self-test (POST).

From major version 6, Intel AMT embeds a proprietary VNC server, so you can connect out-of-band using dedicated VNC-compatible viewer technology, and have full KVM (keyboard, video, mouse) capability throughout the power cycle - including uninterrupted control of the desktop when an operating system loads. Clients such as VNC Viewer Plus from RealVNC also provide additional functionality that might make it easier to perform (and watch) certain Intel AMT operations, such as powering the computer off and on, configuring the BIOS, and mounting a remote image (IDER).

По-моему все предельно ясно.

Удаление Intel Management Engine ¶

By: sektor on 2016-12-01 13 ч.

Re: Удаление Intel Management Engine

Vald, возникает логичный вопрос, при всех его крутостях, как еще не запилили годный сплоит, конкуренты будут рады.

Удаление Intel Management Engine ¶

By: Северус on 2016-12-01 14 ч.

Re: Удаление Intel Management Engine

sektor пишет:

как еще не запилили годный сплоит

Черезвычайно закрытый код. Неизвестна даже архитектура процессора, на которой все это исполняется. Все прошивки зашифрованы неизвестно чем и подписаны интелом, загрузить свою нельзя. Трудно сделать сплоит непонятно на что.
Но я думаю это дело времени. Когда-нибудь информация утечет или свои же, к ней допущенные, сделают сплоит и применят во благо своего кошелька. Так что ждите.

Редактировался Северус (2016-12-01 14 ч.)

Удаление Intel Management Engine ¶

By: Vald on 2016-12-01 14 ч.

Re: Удаление Intel Management Engine

Северус пишет:

Черезвычайно закрытый код. Неизвестна даже архитектура процессора, на которой все это исполняется. Все прошивки зашифрованы неизвестно чем и подписаны интелом, загрузить свою нельзя. Трудно сделать сплоит непонятно на что.

Примерно так, плюс не смотря на то, что этот функционал присутствует по-умолчанию везде, его все-таки нужно явно активировать, что для легитимного использования предусматривает наличие возможности такой активации через биос. То есть Интел поставляет все необходимое оборудование, а решение, включать ли такую возможность, принимает вендор для конкретной модели, как я понимаю. Таким образом для большинства этот бэкдор хоть и физически существует, но деактивирован и возможность его активации существует у совсем небольшого числа избранных.

Тем не менее условия абсолютной закрытости и невозможности обновления рано или поздно сделают свое дело. Прецеденты уже были:

Wikipedia пишет:

Known vulnerabilities and exploits
A Ring -3 rootkit was demonstrated by Invisible Things Lab for the Q35 chipset; it does not work for the later Q45 chipset as Intel implemented additional protections.[41] The exploit worked by remapping the normally protected memory region (top 16 MB of RAM) reserved for the ME. The ME rootkit could be installed regardless of whether the AMT is present or enabled on the system, as the chipset always contains the ARC ME coprocessor. (The "-3" designation was chosen because the ME coprocessor works even when the system is in the S3 state, thus it was considered a layer below the System Management Mode rootkits.[34]) For the vulnerable Q35 chipset, a keystroke logger ME-based rootkit was demonstrated by Patrick Stewin.[42][43]
Another security evaluation by Vassilios Ververis showed serious weaknesses in the GM45 chipset implementation. In particular, it criticized AMT for transmitting unencrypted passwords in the SMB (small business) provisioning mode when the IDE redirection and Serial over LAN features are used. It also found that the "zero touch" provisioning mode (ZTC) is still enabled even when the AMT appears to be disabled in BIOS. For about 60 euros, Ververis purchased from Go Daddy a certificate that is accepted by the ME firmware and allows remote "zero touch" provisioning of (possibly unsuspecting) machines, which broadcast their HELLO packets to would-be configuration servers.

Удаление Intel Management Engine ¶

By: Северус on 2016-12-01 14 ч.

Re: Удаление Intel Management Engine

Vald, этот функционал всегда активен, только делает вид что выключается. Общался с человеком который исследует непосредственно этот вопрос, он говорит что проц в чипсете всегда активен и обрабатывает сетевые пакеты. Видимо ждет какой-то особый пакет, чтобы предоставить удаленное управление.

Vald пишет:

Тем не менее условия абсолютной закрытости и невозможности обновления рано или поздно сделают свое дело. Прецеденты уже были:

С тех пор степень закрытости улучшили, ввели дополнительные меры против исследования внутренностей этой системы.

Редактировался Северус (2016-12-01 14 ч.)

Удаление Intel Management Engine ¶

By: Vald on 2016-12-01 14 ч.

Re: Удаление Intel Management Engine

Северус пишет:

Общался с человеком который исследует непосредственно этот вопрос, он говорит что проц в чипсете всегда активен и обрабатывает сетевые пакеты. Видимо ждет какой-то особый пакет, чтобы предоставить удаленное управление.

Общался я с человеком, который утверждал, что по ночам к нему приходит Сатана и они разговаривают про мироустройство.

Удаление Intel Management Engine ¶

By: demidovich on 2016-12-02 13 ч.

Re: Удаление Intel Management Engine

Северус пишет:

Микрокод - это стандартный блок в построении любого процессора сложнее самых первых примитивных. Без него невозможна конвееризация, а покомандное исполнение не рулит совсем.
Сейчас конвеер имеют даже продвинутые микроконтроллеры (вроде STM). Не говоря уже о полноценных процессорах.

та это ясно, так я же так, посетовать на жизнь, ибо "какая-то нездоровая проприетарная шняга меняет имплементацию алгебры тьюринга моего девайса. азохнвей, ведь что ещё остается...". В коце концов, если Интел взял таки, подумал и сделал наконец уже хорошо - ну похвастайся, чего стесняться?! А так только сплошное недоверие и разочарование. "Не волнуйся, ничего не будет - сказал абсолютно голый негр с весьма внушительным аргументом и погасил свет". Ну а держать дома вундер-машину последнего релиза сейчас совсем смысла нет. dead-grid возьмёт на себя все трудности вычислений, а для того чтобы вежливо попросить кого-нибудь показать свою infoschem-у достаточно просто вежливо попросить, не обязательно приезжать на дорогом core7

Удаление Intel Management Engine ¶

By: Slice on 2016-12-02 19 ч.

Re: Удаление Intel Management Engine

Ты ерунду говориш в любом ME можно настроить всё под себя вбей в гугле фразу CodeRush и почитай что он пишет как правильно настроить ME при правильной настройке можно даже зацепиться к чужому роутеру и сниферить весь трафик про это на хабре много написано А вообще ME это часть NVRAM которая запоминает скорость вращения кулера частоту работы шины процессора и многое другое и без него ни один интеловский ноутбук или компьютер корректно работать не будет так что про бекдор ты загнул

Удаление Intel Management Engine ¶

By: Северус on 2016-12-02 19 ч.

Re: Удаление Intel Management Engine

Slice пишет:

ME это часть NVRAM

Сам для начала прочитай статьи CodeRush, чтобы не писать такую хуйню. Смешались в кучу кони и люди, прошивка ME и NVRAM секция UEFI капсулы.

Slice пишет:

запоминает скорость вращения кулера частоту работы шины процессора и многое другое и без него ни один интеловский ноутбук или компьютер корректно работать не будет

А пацаны то не знают, успешно удаляли прошивку ME в разных поколениях чипсетов и все у них работало. Про ноутбуки точно не скажу, но десктопы от него отвязываются. Я общался на эту тему и в деталях знаю как это делается (не для последнего поколения чипсетов). У меня десктоп прошит с удалением ME region.

Удаление Intel Management Engine ¶

By: Slice on 2016-12-02 20 ч.

Re: Удаление Intel Management Engine

NVRAM запоминает настройки биоса а ME REGION Содержит информацию о работе всей материнки на десктопе он вообще нах не нужен а вот на ноуте есть white list который связан с ме и если удалить ме то нужно биос заного переписывать что очень большой гемор . А ты вообще разбирал ме видел какие там настройки ??? почитай повнимательней на хабре и узнаеш что это очень полезная штука для работы и отладки системы многие люди специально обновляет ме регион а вы его тут предлогаете совсем удалить это бред какой то так лучше выпаять северный и южный мост и работать так пока мать не накроется и про какой то бэкдур здесь написано это чушь несусветная возмите BiosPatcher и загляните там много скрытых настроек которые можно включать отключать задавать параметры обновлять dxe короче читайте польностью мануалы про скрытые настройки биоса и ме а потом пишите про бэкдуры и какую то там опасность

Удаление Intel Management Engine ¶

By: Северус on 2016-12-02 20 ч.

Re: Удаление Intel Management Engine

Не буду спорить кому из нас стоит почитать хабр, а просто оставлю это здесь:

Скриншоты не из интернета. Разрешение на публикацию от автора получено.
Можете считать что про бекдор все чушь, но у меня другая информация из источника которому я доверяю больше чем хабру.

Редактировался Северус (2016-12-02 20 ч.)

Вложения

me_4.png

me_3.png

me_1.png

me_2.png

Удаление Intel Management Engine ¶

By: blaxblox on 2016-12-02 20 ч.

Re: Удаление Intel Management Engine

Северус, о, а бинарники он вдруг сбросить не захочет?

Удаление Intel Management Engine ¶

By: Slice on 2016-12-02 20 ч.

Re: Удаление Intel Management Engine

Северус пишет:

Не буду спорить кому из нас стоит почитать хабр, а просто оставлю это здесь:

Скриншоты не из интернета. Разрешение на публикацию от автора получено.
Можете считать что про бекдор все чушь, но у меня другая информация из источника которому я доверяю больше чем хабру.

Интел все свои драйвера пишет на ICEAD C++ открыть их можно прогой radar2 если есть хоть мало мальское представление о програмировании и знании что такое бэкдур то можно с лёгкостью убедиться что там такого зловредного кода нет , а то что в биосе присутствует поднятие DH***** сервака который непосредственно роуты и маршрутизации записывает в ме регион это не бэкдур а просто системная фича которую с лёгкостью можно отключить , да и кто может проникнуть в нат через смб порт это вообще бред у мало мальски грамотного провайдера стоит IDS защита от системы вторжения , если кому то надо узнать про кого то какую то информацию проще ломануть один из гугл серваков которые действительно отслеживают и сниферят весь трафик каждого юзера, так что надо бояться не интел ме а гугл, яндекс и все остальные поисковые системы которые покушаются на частную жизнь обычных пользователей , даже у многих провайдеров днс привязан к гуглу или яндексу так что интелу бекдур не нужен для сбора информации им достаточно сделать официальный запрос к поисковым системам и вся ваша личная инфа будет им доступна

Удаление Intel Management Engine ¶

By: Северус on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

Slice пишет:

если есть хоть мало мальское представление о програмировании и знании что такое бэкдур то можно с лёгкостью убедиться что там такого зловредного кода нет

А пацаны то не знали. Может презентуешь *****U Module для иды, который мог бы дизасмить код в ME Region? А то с последними поколениями чипсетов до сих пор бьются, анализируют косвенными методами.

И да, никто не пишет "бекдор здесь". Оставляют уязвимость, которую можно трактовать как незлонамеренную. Либо вовсе штатную возможность исполнения произвольного кода. А там уже подгрузят все что надо.

Это только китайцы позволяют себе примитивные бекдоры вроде стандартных паролей или шелла на недокументированном порту. В цивилизованном мире принято работать тоньше.

Slice пишет:

да и кто может проникнуть в нат через смб порт это вообще бред у мало мальски грамотного провайдера стоит IDS защита от системы вторжения , если кому то надо узнать про кого то какую то информацию проще ломануть один из гугл серваков которые действительно отслеживают и сниферят весь трафик каждого юзера,

Slice пишет:

достаточно сделать официальный запрос к поисковым системам и вся ваша личная инфа будет им доступна

Даже не буду комментировать этот бред. Это пиздец. Меньше читайте хабр, больше общайтесь со специалистами.
На хабре конечно тоже напишут, но не раньше чем появится очередной Сноуден или будет крупный слив информации. А специалисты уже давно бьют в колокол, всем ясно что это самая большая универсальная дыра, различаются лишь мнения что с этим делать. Рекомендации начинаются от установки дискретной сетевой карты и заканчиваются переходом на не-x86 платформы (я поддерживаю последнее, признаю как полумеры использование старого железа и деактивацию ME там где это возможно).

Редактировался Северус (2016-12-02 21 ч.)

Удаление Intel Management Engine ¶

By: Slice on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

Северус пишет:

Slice пишет:
если есть хоть мало мальское представление о програмировании и знании что такое бэкдур то можно с лёгкостью убедиться что там такого зловредного кода нет
А пацаны то не знали. Может презентуешь *****U Module для иды, который мог бы дизасмить код в ME Region? А то с последними поколениями чипсетов до сих пор бьются, анализируют косвенными методами.
И да, никто не пишет "бекдор здесь". Оставляют уязвимость, которую можно трактовать как незлонамеренную. Либо вовсе штатную возможность исполнения произвольного кода. А там уже подгрузят все что надо.
Это только китайцы позволяют себе примитивные бекдоры вроде стандартных паролей или шелла на недокументированном порту. В цивилизованном мире принято работать тоньше.
Slice пишет:
да и кто может проникнуть в нат через смб порт это вообще бред у мало мальски грамотного провайдера стоит IDS защита от системы вторжения , если кому то надо узнать про кого то какую то информацию проще ломануть один из гугл серваков которые действительно отслеживают и сниферят весь трафик каждого юзера,
Slice пишет:
достаточно сделать официальный запрос к поисковым системам и вся ваша личная инфа будет им доступна
Даже не буду комментировать этот бред. Это пиздец. Меньше читайте хабр, больше общайтесь со специалистами.
На хабре конечно тоже напишут, но не раньше чем появится очередной Сноуден или будет крупный слив информации. А специалисты уже давно бьют в колокол, всем ясно что это самая большая универсальная дыра, различаются лишь мнения что с этим делать. Рекомендации начинаются от установки дискретной сетевой карты и заканчиваются переходом на не-x86 платформы (я поддерживаю последнее, признаю как полумеры использование старого железа и деактивацию ME там где это возможно).

Я тоже спорить не хочу я просто сам лично собирал свой биос , настраивал ме регионы на sandybridge установил фестбут и все dxe правил и не заметил там никакого бекдура , а про хабр это просто для уточнения инфы , я особо никаким слухам не доверяю пока в этом не убежусь сам , просто интелу нах не надо залазить в чужой комп если они могут это сделать по официальному запросу и любой провайдер им предоставит трафик где они найдут для себя то что им нужно йоги умеют пить воду через нос просто смысла нет когда присутствует рот , так что интелу встраивать бекдур в ме бесполезная да и к тому же не нужная трата времени

Удаление Intel Management Engine ¶

By: Северус on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

Slice пишет:

и не заметил там никакого бекдура

Slice пишет:

просто интелу нах не надо

Slice пишет:

они могут это сделать по официальному запросу и любой провайдер им предоставит трафик

Старый и избитый аргумент "кому я нужен" и "спецслужбы всесильны, если захотят что угодно сделают". Не буду пояснять прописные истины, на это отвечено 1000 раз везде.

Удаление Intel Management Engine ¶

By: Slice on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

Северус пишет:

Slice пишет:
и не заметил там никакого бекдура
Slice пишет:
просто интелу нах не надо
Slice пишет:
они могут это сделать по официальному запросу и любой провайдер им предоставит трафик
Старый и избитый аргумент "кому я нужен" и "спецслужбы всесильны, если захотят что угодно сделают". Не буду пояснять прописные истины, на это отвечено 1000 раз везде.

У интела в штатах стоит образец квантого компьютера , что кстати уже использует анб для своих нужд , так в нём несколько сотен зетабайт оперативы и также зетагерц камень , который ломает 128 битное шифрование втечении нескольких секунд , на что у современного компьютера с 10 ядерным процессером ушло бы несколько миллионов лет, так вот это та машина о которой знает весь мир , а есть ещё и разработки которые засекречены , и если им надо кого сломать я думаю у них на это уйдёт не более считанных минут , а ещё не говоря и о том что интел проводил конкурс под названием cicada 3301 , о нём тоже можно прочесть и на хабре да и по всему интернету, у них лучшие умы и передовая техника так что если кто то где то засветился , то они и без всяких бэкдуров найдут и достанут в любой момент , поэтому хоть меняй хоть удаляй ме здесь не при делах , а про джулиана осанжа и других клоунов типа анонимус это всё пиар , так что меньше надо верить каким то там специалистам и убеждаться во всём самому следуя здравой логике

Удаление Intel Management Engine ¶

By: Северус on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

Какой ты веселый. Прямо сборник всех заблуждений от хомячков с хабра. Трави дальше.
Про квантовые компьютеры мне опять же есть что сказать. Скажу кратко: распил.

Редактировался Северус (2016-12-02 21 ч.)

Удаление Intel Management Engine ¶

By: Slice on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

Про квантовый компьтер инфа не с хабра зайди на амазон там есть что то подобное ты можешь орендовать типа VDS только будет стоить дорого дэфкон посмотри как ломают мастер ключ от вафли за несколько секунд при чём по расчётам у нескольких современных радионов с функцией call+ на это уходит чуть ли не с десяток лет так что это не миф

Удаление Intel Management Engine ¶

By: Северус on 2016-12-02 21 ч.

Re: Удаление Intel Management Engine

:facepalm:
Ты можешь хоть раз с чем-нибудь разобраться во всех деталях, прежде чем писать? А то такая дичь получается.

Вложения

facepalm_J6RV2D8.png