Librem-Notebooks neutralisieren Intel Management Engine

Librem-Notebooks können jetzt Intels Management Engine (ME) neutralisieren. Das erweitert auch die Freiheit des Librem 13 v1, das seit kurzem per Coreboot startet.

Purism Librem 13 v1 startet per Coreboot

Intels ME ist ein Computer-Subsystem mit eigenem Prozessor und kann unter anderem den Rechner starten und herunterfahren, alle Dateien lesen sowie Mausbewegungen und Tastaturanschläge überwachen. Sie ist beim Booten, zur Laufzeit und im Schlafmodus aktiv. Zum Monatsbeginn berichteten wir über das Librem 13 v1 , das sich gerade in die Liste der Notebooks eingetragen hatte, die mit Coreboot anstatt mit herkömmlichem BIOS starten. Jetzt hat es laut einem Blogeintrag ein Entwickler beim Librem-Hersteller Purism geschafft, Intels ME zu neutralisieren.

In der Vergangenheit war es Purism bereits gelungen, für die Librem-Notebooks einen Teil von ME, die Intel Active Management Technology, (AMT) abzuschalten. Sie dient dem Remote-Zugriff zur Überwachung, Aktualisierung und Reparatur von PCs. Jetzt ist es gelungen, die ME zu neutralisieren. Dies gelingt mit Hilfe des Tools me_cleaner. Dieses Werkzeug entfernt die für den Rechnerstart nicht benötigten Module der ME.

Ein limitierender Faktor dabei war bisher ein Zeitschalter, der bei Abwesenheit von ME das Gerät nach 30 Minuten ausschaltet. Die Module BUP (bring it up) und ROMP (ROM bypass) sind jetzt die einzig verbleibenden Module. BUP findet nach seiner Ausführung keine weiteren Module zum Starten und beendet sich. Zu diesem Zeitpunkt ist der 30-Minuten-Watchdog bereits beendet worden, da ja BUP korrekt durchlaufen wurde.

Coreboot bringt zwei weitere Werkzeuge mit, um den Zustand von ME darzustellen. Nach der Eliminierung der meisten Module durch me_cleaner zeigt intelmetool, das ME größtenteils nicht ansprechbar ist, während cbmem protokolliert, ME hänge im BUP-Modul und sei im Recovery-Modus.

Von insgesamt 23 Modulen im rund 2 MByte großen ME wurden 21 ohne negative Folgen entfernt. Darunter befinden sich auch der ME Kernel und das oft als unsicher kritisierte Netzwerk-Modul. Die beiden verbleibenden Module sollen nun einem Reverse-Enginiering unterzogen werden, damit sie ihre Geheimnisse preisgeben. Die einzigen bisher bekannten Probleme betreffen Wayland und werden derzeit untersucht. Weiterhin arbeiten die Entwickler bei Purism an einem Mechanismus, der es dem Anwender erlaubt, auf Updates des Microcodes der CPU zu verzichten. Hier sind die Auswirkungen aber noch nicht ausreichend erforscht, wie Purism-Gründer Todd Weaver im Firmenblog schreibt.