Неужели вы думаете, что данные закладки делают для того, чтобы смотреть ваш трафик и папочку "Мои документы" товарищем майором?
Я думаю в этих закладках преследуют только одну цель, когда это потребуется, заблокировать или вывести из строя компьютер. Больше и не надо. "Сигнал" на блокировку может придти откуда угодно. С компакта с новыми дровишками для твоей видюхи/чипсета/звуковухи/райд-контроллера или новой пиздатой игрухой, из флешки с новым рэпчиком или кинчиком, ну и инет само собой. Даже установив BolgenOS и отрубив провод ethernet топором попутно обмазовшись антивирусами, ты на 100% не застрахован от активирования. Ты его и сам в систему запустить сможешь под видом "легального" софта. Возможно для ее активирования, нужен десяток байт, в определенной последовательности не более. А как тебе передать этот десяток, это уже мелочи. В случае с ВМС от INTELa, в южном мосту, то вариантов откуда именно эта последовательность попадет овердахуя. Посуди сам анон, сейчас все и везде компьютеризировано. Если кто-то скажем нажмет волшебный рубильник, то ты не сможешь снять бабло с банкомата, да даже в банке тебя нахуй пошлют, вебмани/вебхуяни тоже не работают. Хуй сним, ты береш из копилки свои не многочисленные сбережения и пиздуешь в магнит. Там тоже облом, тетя срака не может тебе продать даже вонючий дошик, потому как комп на кассе не работает. Метро, ЖД и АВИА транспорт идет по пизде. Да даже литр ебаного бензина на заправке хуй купишь чтобы уехать в закат от данного пиздеца. Ну про то что такая закладка может стоять на оборудовании всяких энергетических объектов (ГЭС, АЭС и т.д) и последствия ее активирования на данных объектах, многократно увеличат общий пиздец. Сотовая связь и интернет идет в пизду. Да даже по телеку тебе лебединое не покажут, ибо нет света, а для резервных дизелей не купить соляры. В больничке оперируют при свечах, стерелизуют инструменты на костре.
Прикинь анон, не надо запускать ракеты, вводить танки, лететь бомбардировщиками и идти пехотой. Просто нажимаем кнопку, и смотрим как все скатывается обратно в каменный век. Грязь, болезни, голод, холод, нищета, транспортная система нарушена, банковский сектор не работает, энергетический сектор не работает. Ни одного снаряда не потрачено, а пиздец круче чем от ядерной бомбы случился.

а) На CCC каждый год несколько докладов о безопасности прошивок персональных компьютеров, там и ссылки на документацию от производителя есть, и техническое обсуждение. Просвещайтесь.
б) Версий IME несколько, они разные. Первые умели не намного больше, чем Wake-on-LAN. (Например, могли сетевой трафик сравнивать с образцом и блокировать/уведомлять при совпадении. В начале двухтысячных в возможность сделать винду безопасной никто не верил, эпидемии червей регулярно клали локальные сети, поэтому предполагалось такое решение, блокирующее эксплойты на виндовые порты уровнем ниже ОС. Ещё, пожалуй, можно было реагировать на передачу помеченных документов через незащищённый канал, когда ноутбук находится вне контролируемой сети, но это довольно наивная защита, в основном от глупых пользователей.)
в) Хоть предположение о возможности глобальной слежки за любым компьютером и вызовет слюноотделение любого разведчика-тире-шпиона, надо признать, что они тут оседлали имеющиеся на рынке спрос и предложение. IME — не первое и не единственное такое решение для корпоративного использования. (Вон, Apple любой айфончик в мире может заблокировать при первом же обращении к её сервисам.) Всё это сделано для удобства админов, которым не хочется вручную жонглировать сотнями компьютеров, колхозить системы шифрования и защиты от утечек из открытых или узкоспециальных программ, а потом рвать на жопе волосы из-за потери ноутбука в ждущем режиме с открытыми программами. Нажал кнопочку — корневой ключ шифрования удалился из флеш-памяти, девайс стал бесполезен. Нажал другую — видишь всё, что происходит на экране, независимо от операционной системы, видеорежима и стадии загрузки. В серверном мире KVM никого ведь не удивляет, не говоря уж про управление виртуалками.
г) Из нацеленности на корпоративный сегмент следует, что IME доступен не во всех компьютерах, а только в профессиональных, сертифицированных и т. д. продуктовых линейках от партнёров и дилеров. Каждый хочет получить за дополнительную функциональность денежку. Это не значит, что сборщики BIOS'а для вашей материнской платы корректно отключили его инициализацию, а не просто спрятали экран настройки, что у Intel нет волшебного слова, которое включает бизнес-ориентированные функции на любом совместимом железе, и что хитрым обращением к имеющимся компонентам нельзя вызвать отказ системы (обновление БИОС на пустое место, например). Просто обычными утилитами с типичным компьютером сделать ничего нельзя.
д) Технические ограничения тоже присутствуют: сетевая карта и материнская плата должны уметь при работе от дежурного питания полноценно взаимодействовать с IME, видеокарты, скорее всего, только встроенные позволяют копировать буфер экрана для передачи по сети. Тут беспокойство вызывают ноутбуки, у которых зачастую вся платформа разработана Intel и лицензируется целиком разными производителями.
е) Надо различать рекламные заявления и техническое воплощение. Хотя возможность выполнить любой код на уровне BIOS автоматически означает возможность манипуляции памятью ОС и выполнение любого кода в ней, значительная часть предлагаемой функциональности реализована традиционно, программным агентом. Например, «установка любых программ» может проходить так: административное приложение рассылает всем включенным и выключенным компьютерам сети сообщение «записать этот XML-файл в публичную область памяти IME» и запускает те, что были выключены. Затем интеловский агент, стандартно загружаемый ОС, читает этот буфер, видит, что в файле записаны указания установить обновления 12345 и 23456, и пользуется для этого средствами ОС. Да, я знаю, что в домене это всё можно сделать стандартно WSUS и групповой политикой, это просто наглядный пример.

>>20394
Бросается в глаза несоответствие уровня аргументации и паники предполагаемому техническому уровню автора. «Увидел в углу военный компьютер, решил поковырять» — так же правдоподобно, как диггерское «шли, увидели вентиляционный киоск, ВНЕЗАПНО оказались в метро». Все эти громкие вздохи и далеко идущие выводы слишком похожи на пиар одной группы поставщиков против другой, что, впрочем, не отменяет самого факта подобной находки. Такие истории известны и ожидаемы: https://medium.com/@ivlad/о-бумажной-безопасности-e8f9ed84a8b9 (тоже немного сенсационно подано). Вся эта дикая бюрократия с сертификацией и документацией — всего лишь средство хоть как-то заставить людей выполнять инструкции и организовать вертикаль ответственности. Если какого-нибудь летёху, сидящего за этим патефоном и играющего в танчики на стоящем на нём личном ноутбуке с GSM-модемом, спросят, какого чёрта у него стоит управляемый из-за бугра клиент контроля доступа к оборудованию, он покажет пальцем на голографическую наклеечку и скажет, что это зона ответственности тех, кто выдал сертификат. В противном случае потребуется из под земли достать не один десяток тысяч крутых специалистов, самостоятельно разбирающихся в защите своей техники до последнего чипа, что практически невозможно.

Поскольку это наиболее подходящий тред, тут про ME, intel и тд, напишу здесь.

Хочу обратить внимание на такую вещь как микрокод CPU и его обновления.

Libreboot и прочие приверженцы FSF, дистрибутивы вроде trisquel и пр. отвергают обновления микрокода процессора на том основании, что это, мол, проприетарный блоб, а как они относятся к проприетарным блобам, мы знаем. Однако в процессоре уже есть такой проприетарный блоб, только старый, с завода, и он может содержать (и вполне содержит) разные баги, в том числе потенциально опасные уязвимости. Обновления микрокода придумали для того, чтобы производитель (Intel) мог исправить какой-то баг обновлением прошивки, а не отзывал уже произведенные чипы. Intel выпускает списки таких багов. Пример: http://download.intel.com/design/mobile/specupdt/31407918.pdf

Некоторые из багов разработчики ОС и компиляторов исправляют и обходят сами, но это не всегда возможно. Например, вот что говорит Тео де Раадт (письмо 2007-года о процессорах Intel Code 2, https://marc.info/?l=openbsd-misc&m=118296441702631&w=2):

>These processors are buggy as hell, and some of these bugs don't just

>cause development/debugging problems, but will ASSUREDLY be

>exploitable from userland code.

>Note that some errata like AI65, AI79, AI43, AI39, AI90, AI99 scare

>the hell out of us. Some of these are things that cannot be fixed in

>running code, and some are things that every operating system will do

>until about mid-2008, because that is how the MMU has always been

>managed on all generations of Intel/AMD/whoeverelse hardware. Now

>Intel is telling people to manage the MMU's TLB flushes in a new and

>different way. Yet even if we do so, some of the errata listed are

>unaffected by doing so.

>

>As I said before, hiding in this list are 20-30 bugs that cannot be

>worked around by operating systems, and will be potentially

>exploitable. I would bet a lot of money that at least 2-3 of them

>are.

>

>For instance, AI90 is exploitable on some operating systems (but not

>OpenBSD running default binaries).

>

>At this time, I cannot recommend purchase of any machines based on the

>Intel Core 2 until these issues are dealt with (which I suspect will

>take more than a year). Intel must be come more transparent.

С тех пор количество фич и новых команд в процессорах только увеличилось, как соответственно и число потенциальных проблем.

К чему я это все. Допустим, мы поставили на компьютер libreboot, удалили ME и пр. Но остается потенциально узявимый процессор, и есть два стула выбор: или загружать в него обновленный микрокод, с потенциальными исправлениями уязвимостей (и гипотетическими новыми бэкдорами), или не загружать, оставаясь с заводским микрокодом (и уже обнаруженные уязвимости не будут исправлены никогда).

Что выберешь ты, анон?

>>43718

>Это замена вшитому в мать биосу или што?

Да.

>После напердоливания может что-то отвалиться?

В зависимости от поддержки твоего железа coreboot-ом и собственной криворукости, да. Например, криво прошьешь - совсем кирпич будет, надо перешивать. Или, например, там пока нет официальной поддержки NVIDIA Optimus, поэтому прошьешь на ThinkPad, на котором раньше переключал видеокарты динамически - и больше не сможешь.

Вот паста, которую я когда-то написал анону в /hw/:

Плюсы:
- швабода, выпиливание некоторых зондов
- отсутствие whitelist-ов, если они были в оригинальном биосе (пример - thinkpad-ы)
- скорость загрузки
- отсутствие проблем с отключенным intel me
- можно менять настройки через nvramtool прямо из ОС
- возможность софтварной прошивки (обновления), или наоборот - возможность наглухо ее заблокировать во имя безопасности (но не везде, на AMD я читал жалобы что нельзя, но у меня нет AMD, не знаю)
- возможность сделать полноценное FDE, разместив все, что нужно для расшировки и/или верификации целостности системы, в CBFS на чипе
- или вот пример: когда я портировал его на макбук ретину, столкнулся с тем, что оригинальная прошивка форсит использование дискретной видеокарты и отключает встройку, если загружается линукс или любая другая ОС, кроме macOS. Вроде как есть способы это обойти, я все перепробовал, но у меня ни один так и не сработал, возможно они не работают на новых версиях прошивки. Короче чтобы на макбуке пользоваться линуксом и встройкой, нужно очень сильно поебаться с этим. На coreboot же оно просто работает (TM) без танцев с бубном.

Минусы:
- отсутствие поддержки большого количества железа
- неидеальный нативный raminit для некоторых платформ, из-за которого часть планок памяти либо работают не на полной скорости, либо не определяются (фиксится использованием интеловского mrc.bin или активным пинанием разработчиков на IRC-канале)
- проблемы с Windows 10 из-за ACPI кода
- иногда проблемы с EC ввиду неполноценной его поддержки на платах, которыми пользуется полтора анона (пример - ноутбуки hp, насколько я знаю с ними всё грустно)
- ненулевой шанс окирпичить плату с обновлением, потому что двачер вроде меня закоммитил глючный код для твоей платы, а мейнтейнеры не протестировали и смержили
- в целом отсутствие стабильных релизов - их не существует. 4.8, 4.9 и прочие "релизы" - это просто состояние master в определенный момент времени. Всегда рекомендуется использовать актуальный master, но всегда есть вероятность, что в нем что-то сломано (чем популярнее платформа, тем эта вероятность меньше, к примеру на thinkpad-ах редко что-то ломают, либо быстро чинят, потому что сами разработчики ими пользуются)