![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurОказывается, Intel Management Engine, о котором было в предыдущих сериях, может быть отключён.
В конфигурационном разделе флеш-памяти платформы содержатся разные параметры, влияющие на старт системы и работу контроллера Intel ME. Недавно произошла утечка в паблик набора утилит, которые фирма Intel поставляет вендорам платформ для окончательной настройки этих самых параметров при подготовке к серийному производству материнских плат. Не все из этих параметров просто так внаглую настраиваются из командной строки, но вместе с набором настроечных утилит в паблик утекли сопровождающие XML-файлы, описывающие уже полную схему настраиваемых параметров и все детали относительно их бинарного представления в флеш-памяти.
Эти машинночитаемые XML-файлы схем настроек ME-контроллера примечательны тем, что они упоминают некую опционально включаемую фичу под названием HAP (High Assurance Platform). Достаточно одного запроса в Гугл, чтобы понять, что эта самая аббревиатура HAP как-то связана с программой по созданию высокодоверенной платформы, которую курирует U.S. National Security Agency.
Ребята, которые всё это раскопали, первым делом с помощью SPI-программатора для флеш-памяти (напомню, у основного процессора и ME-контроллера общая флеш-память) установили соответствующий бит, чтобы посмотреть, что из этого будет. После загрузки платформы, интеловская утилита MEInfo начала показывать странный статус "контроллер ME был отключён альтернативным способом", а дальнейшая проверка показала, что устройство перестало отвечать на команды и запросы операционной системы. При этом платформа стартует нормально и нормально работает (то есть не перезагружается по watchdog-таймеру спустя 30 минут, как при "грубом" отключении Intel ME путём удаления его разделов из флеш-памяти).
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Интел в официальном ответе довольно обтекаемо подтверждает, что у компании есть высокопрофильные заказчики с узкоспециализированными требованиями, например подрядчики правительства США, и что иногда в платформу могут вноситься модификации, нужные этим заказчикам для их внутренних целей, и что для всех остальных пользователей по этим модификациям официальная техническая поддержка не предоставляется.
UPD (2017-10-11): Гентушники написали пошаговое руководство по полному выковыриванию Intel ME из прошивки материнской платы: https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Disabling_the_Intel_Management_Engine
В конфигурационном разделе флеш-памяти платформы содержатся разные параметры, влияющие на старт системы и работу контроллера Intel ME. Недавно произошла утечка в паблик набора утилит, которые фирма Intel поставляет вендорам платформ для окончательной настройки этих самых параметров при подготовке к серийному производству материнских плат. Не все из этих параметров просто так внаглую настраиваются из командной строки, но вместе с набором настроечных утилит в паблик утекли сопровождающие XML-файлы, описывающие уже полную схему настраиваемых параметров и все детали относительно их бинарного представления в флеш-памяти.
Эти машинночитаемые XML-файлы схем настроек ME-контроллера примечательны тем, что они упоминают некую опционально включаемую фичу под названием HAP (High Assurance Platform). Достаточно одного запроса в Гугл, чтобы понять, что эта самая аббревиатура HAP как-то связана с программой по созданию высокодоверенной платформы, которую курирует U.S. National Security Agency.
Ребята, которые всё это раскопали, первым делом с помощью SPI-программатора для флеш-памяти (напомню, у основного процессора и ME-контроллера общая флеш-память) установили соответствующий бит, чтобы посмотреть, что из этого будет. После загрузки платформы, интеловская утилита MEInfo начала показывать странный статус "контроллер ME был отключён альтернативным способом", а дальнейшая проверка показала, что устройство перестало отвечать на команды и запросы операционной системы. При этом платформа стартует нормально и нормально работает (то есть не перезагружается по watchdog-таймеру спустя 30 минут, как при "грубом" отключении Intel ME путём удаления его разделов из флеш-памяти).
http://blog.ptsecurity.com/2017/08/disabling-intel-me.html
Интел в официальном ответе довольно обтекаемо подтверждает, что у компании есть высокопрофильные заказчики с узкоспециализированными требованиями, например подрядчики правительства США, и что иногда в платформу могут вноситься модификации, нужные этим заказчикам для их внутренних целей, и что для всех остальных пользователей по этим модификациям официальная техническая поддержка не предоставляется.
UPD (2017-10-11): Гентушники написали пошаговое руководство по полному выковыриванию Intel ME из прошивки материнской платы: https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Disabling_the_Intel_Management_Engine
