Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Librem-Notebooks neutralisieren Intel Management Engine

16 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Kein Geld am Di, 14. März 2017 um 10:44 #

Schade, dass es so teuer ist ($1,499.00) und Maustasten wären gut. de Keyboard kommt ja vielleicht noch.

Aber sonst, gutes Projekt.

1
Von HeinzPeter am Di, 14. März 2017 um 10:54 #

Unabhängig davon ob es anderswo eingesetzt werden kann, es ist eine gute Sache dieses nebulöse Teil weiter zu durchleuchten. Auch wenn bis jetzt nichts Negatives gefunden wurde, oder es beim nach-hause-telefonieren erwischt wurde, ein ungutes Gefühl bleibt doch immer bei solchen Komponenten.

HP

  • 1
    Von Willibald am Di, 14. März 2017 um 22:51 #

    Wenn 21 von 23 Modulen ohne negative Folgen entfernt werden können, heißt das, dass 21 proprietäre Module ohne Nutzen für den Computerbetreiber entfernt wurden.
    Das ist für mich durchaus der Fund etwas Negativen.

1
Von santaclause am Di, 14. März 2017 um 11:32 #

Ich traue dem Braten noch nicht ganz. Die IME ist ein kleiner autarker universeller Rechner, u.a. mit einem internen ROM das unzugänglich ist und Firmware beinhaltet. Lediglich der Teil der Firmware im Flash Speicher des Systems (daraus kann die ME Apps wie z.B. AMT nachladen) wird weitgehend von ME Code befreit. D.h. die IME läuft nach wie vor mit maximalen Privilegien auf dem System und führt unbekannten Code aus. Niemand kann garantieren, dass sie nicht eine Hintertür beinhaltet und z.B. Code aus anderer Quelle nachlädt und ausführt. Bis auf das minimale Interface das die IME bietet, welches ein paar Statusinformationen ausspuckt, gibt es keine Möglichkeit festzustellen was die IME gerade auf dem System macht. Auch der Autor des me_cleaners gibt das zu.

https://github.com/corna/me_cleaner/wiki/How-does-it-work%3F

"How can I be sure that all the bad stuff is not in a ROM inside the CPU?
We can never be sure about this, but, thanks to the Igor's 2014 presentation (slide 18), we can suppose that the code inside the internal ROM is just the code responsible for the very basic initialization of Intel ME."

Dies ist nicht mehr als eine Annahme. Unter "neutralisieren" der IME würde ich etwas anderes verstehen. Ich würde befürchten, dass man so Nutzer in falscher Sicherheit wiegt.

Anbei sei das kostenlose Buch zur IME empfohlen:

https://link.springer.com/book/10.1007%2F978-1-4302-6572-6

  • 1
    Von schmidicom am Di, 14. März 2017 um 11:42 #

    Das selbe predige ich auch schon lange aber kaum einer will es wahrhaben, immer wieder gibt es welche die das ganze mit Sprüchen wie "kann man ja abschalten" völlig verharmlosen.

    Es braucht wohl auch hier erst mal wieder einen Leak im Snowden-Style...

    • 1
      Von Trux am Di, 14. März 2017 um 12:31 #

      Solche Sachen sollten erst gar nicht verbaut werden.
      Gibt es bei AMD auch so eine potentielle Abhöreinrichtung?
      Hat man beim Einkauf eine echte Alternative?

      Wenn ja , solle man hier Aufklärungsarbeit leisten, damit Intel einen spürbaren kommerziellen Verlust erleidet.

      • 2
        Von santaclause am Di, 14. März 2017 um 12:38 #

        Bei AMD nennt es sich Platform Security Processor oder PSP. Für x86 Rechner gibt es praktisch keine Alternativen...

        https://mail.fsfeurope.org/pipermail/discussion/2016-April/010912.html

        • 0
          Von schmidicom am Di, 14. März 2017 um 12:48 #

          Und bei ARM ist es die "TrustZone"...

          EDIT:
          Ich will schwer hoffen das wenigstens die neue RISC-V Architektur von diesem Unfug verschont bleibt, aber vermutlich eher nicht.

          Dieser Beitrag wurde 1 mal editiert. Zuletzt am 14. Mär 2017 um 12:49.
          1
          Von Trux am Di, 14. März 2017 um 12:59 #

          Danke, auch für den Link.

          2
          Von ... am Di, 14. März 2017 um 13:11 #

          Für PSP gibt es gerade eine Petition, damit der Sourcecode freigelegt wird. AMD hat wohl (Gerücht) auch angekündigt sich das zumindest anschauen zu wollen. Ich vermute, die haben vielleicht Third-Party-Code da drin, was die Sache wieder schwierig macht.

          Andererseits wurde eine Spezifikation der Schnittstellen ja ausreichen.

          • 1
            Von santaclause am Di, 14. März 2017 um 13:40 #

            Ja, stimmt, das war ein Reddit AMA...

            AMD Reddit AMA

            Die AMD Antwort ist aber bestenfalls als vage zu bezeichnen:

            "Thanks for the inquiry. Currently we do not have plans to release source code but you make a good argument for reasons to do so. We will evaluate and find a way to work with security vendors and the community to everyone's benefit."

            Während es gut ist, dass AMD spürt dass sich Leute dafür interessieren, so ist die Forderung meiner Meinung nach aber nur begrenzt sinnvoll und etwas naiv.

            Denn selbst wenn der Source Code freigelegt würde, so bringt das herzlich wenig. Die PSP bleibt was sie ist, nämlich der Boss auf dem System und unter der Kontrolle von AMD. Es ist nicht ein einfacher Chip der einen bestimmten Code ausführt, sondern eben ein universeller Rechner der maximale Privilegien auf dem System hat und potentiell beliebig Software nachladen und ausführen kann. Zudem sind kryptographische Schlüssel in die PSP eingebrannt die nur dem Hersteller bekannt sind. Nur mit diesen Schlüsseln kann man die PSP unter Kontrolle bekommen, es wird nur signierter Code ausgeführt. Die Schnittstellen alleine nutzen also wenig.

            Und zu guter letzt ließe sich niemals verifizieren, dass sich tatsächlich dieser Quellcode in der PSP befindet. Das interne ROM ist unzugänglich.

1
Von Rome am Di, 14. März 2017 um 11:53 #

Wie sieht es denn bei AMD-Mainboards aus? Mit Ryzen ist man da ja endlich wieder konkurrenzfähig.

  • 2
    Von santaclause am Di, 14. März 2017 um 12:08 #

    Dasselbe in grün, dort nennt es sich Platform Security Processor oder PSP.

    1
    Von TheEndIsNear am Di, 14. März 2017 um 18:43 #

    Bei AMD befindet sich PSP wohl in CPUs mit family id >= 16h.

    Du kannst dir ja noch schnell einen Vishera FX kaufen (15h). Oder zwei bis drei. Und ein paar Boards, gibt sogar noch welche ohne UEFI. Und die dann benutzen bis zum St. Nimmerleinstag.

    Ist halt nicht ganz so performant und energieeffizient. Aber hey, einen Tod muss man sterben. :huh:

mehr ARM
0
Von nifker am Di, 21. März 2017 um 18:18 #

Warum machen die sich die Arbeit dort die proprietären Module zu entfernen wenn man doch in die Entwicklung von ARM-Notebooks besser investieren könnte.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung