Come disabilitare Intel ME?

Prima di tutto, sembra che questa persona non stia dicendo la verità. Avrebbe dovuto menzionare qualcosa che solo una persona che lavora in Intel avrebbe conosciuto, o almeno qualcosa che le persone che comprendono profondamente l'architettura saprebbero, piuttosto che solo cose che sono di dominio pubblico. Avrebbe potuto almeno menzionare qualcosa come ME v11 passare a TinyIA da ARCCompact e sbarazzarsi del formato del modulo JEFF (un vecchio standard Java abbandonato), presumibilmente. In secondo luogo, alcune delle cose che ha detto erano effettivamente errate:

• Per avere pieno accesso alla memoria, è necessario un componente x86 nel BIOS per consentirlo, contrariamente alla credenza popolare che il ME è un dio, quindi ha torto nel dire che ha sempre accesso a memoria di sistema (sebbene la maggior parte delle configurazioni gli consenta di farlo).

• Può essere disabilitato e ci sono molti modi per farlo, sia pubblici che non pubblici. La sua affermazione che è impossibile disabilitare è errata. Ti spiegherò come più avanti in questo post.

• Ha detto che le presunte backdoor hanno funzionalità simili all'ANGELO DI PIANURA della CIA, permettendo al ME di ascoltare anche se il computer è spento o sta dormendo. Questo non è possibile sulla maggior parte dei sistemi a causa di vincoli hardware. Solo i server di fascia alta con supporto vPro sono in grado di tenere acceso il ME mentre il sistema appare spento. Tutti gli altri sistemi mantengono spento ME a meno che il sistema stesso non sia acceso.

• Un errore lampante che fa è che non ha "pieno accesso allo stack TCP / IP". Immagino che stia cercando di ripetere il noto fatto che ha il suo proprio stack TCP / IP, che è vero. Il ME non si integra in alcun modo con lo stack di rete del sistema operativo.

• Il ME non ha accesso a tutte le periferiche collegate al computer. Come minimo, può leggere tutte le sequenze di tasti PS / 2, la memoria video e le comunicazioni NIC. Se viene dato l'accesso alla memoria completa, può fare di più, ovviamente. Ma a causa delle limitazioni fisiche dell'architettura x86, non può avere accesso a tutte le periferiche.

Già nel suo breve post, ha dimostrato di non conoscere le basi del motore di gestibilità. Come qualcuno che conosce più dipendenti Intel, alcuni dei quali hanno lavorato direttamente con la ME, non credo che questa persona funzioni per Intel.

Per rispondere alla tua domanda principale, su alcuni computer meno recenti, puoi disabilitarlo installando Libreboot, che non viene fornito con ME. Gli unici computer con cui è compatibile sono quelli che non si rifiutano di avviarsi o che sono altrimenti stabili quando ME non è in esecuzione. Su alcuni computer SandyBridge / IvyBridge, puoi paralizzare il ME sovrascrivendo la prima pagina (4096 byte), come mostrato qui . Altri metodi che potrebbero essere possibili nel prossimo futuro, che richiedono una combinazione di modifiche hardware e software, probabilmente implicano semplicemente ponticelli, secondo alcune persone che stanno sperimentando la disabilitazione del ME in #libreboot su Freenode.

Per non parlare del fatto che se questa persona diceva la verità, il numero di EE che lavorano in Intel da oltre 15 anni, trasferito in un nuovo dipartimento 3 anni fa e ottenuto un permesso di sicurezza in quel momento è probabilmente un piccolo manciata, se non una sola persona. Chiunque abbia un account sa quanto sia incredibilmente pericoloso perdere informazioni, quindi non distribuirà le informazioni in questo modo ... su 4chan di tutti i posti.

In alcuni chipset puoi disabilitare Intel ME seguendo queste istruzioni (a tua scelta rischio).

I chipset più recenti (Haswell on) hanno Intel Boot Guard impostato in Avvio verificato, che rende la soluzione sopra inutilizzabile.

Non esattamente il tuo caso, ma per impedire a Intel ME di parlare con Windows puoi disabilitare Intel AMT . È a mia conoscenza che se la tua macchina si connette solo tramite WiFi, questo rende Intel ME inutile, in quanto deve disporre di una connessione Ethernet o di un accesso WiFi tramite Windows.