Esaminiamo tutto questo.
But they are basically talking about the vulnerabilities of the vPro technology, specifically the AMT bug (sorry I can't link more here, search for CVE-2017-5689), where a lot of people have panicked to disable the AMT system due to the massive bug that has been discovered earlier this year
Probabilmente non hai AMT in quanto solitamente è disponibile solo su chip di architettura Xeon, ma ci sono stati rapporti che potrebbero essere sfruttati anche su alcune architetture desktop. La disattivazione è possibile, vedi questa discussione sui forum di Intel per i dettagli. Se il tuo sistema non offre questa opzione in UEFI / BIOS, ne avrai bisogno di uno personalizzato (vedi più avanti in questa risposta) o dovrai pulire il tuo firmware IME per rimuovere completamente la funzionalità (anche discusso più avanti) .
Anti-Theft Technology, which can basically lock your computer, even via remote access (huge security vulnerability)
Ordina. È necessario registrare il dispositivo con un fornitore (ad es. Intel, McAffee o gli amministratori della propria organizzazione) per renderlo funzionale. A questo punto il provider può bloccare il BIOS da remoto se lo denunciate rubato. Il thread collegato sopra spiega anche come disattivarlo, ma il commutatore abilita / disabilita è facilmente reperibile nella maggior parte dei menu UEFI / BIOS.
Execute Disable Bit, I am not sure what this does, but it sounds kind of invasive
Non essere spaventato da cose che non capisci! Essere curioso. Execute Disable Bit è una funzionalità di sicurezza molto importante: è la funzionalità hardware alla base di No-Execute (NX), altrimenti noto come DEP (Data Execution Prevention) su Windows.
Identity Protection Technology, sounds like a huge privacy invasion
No. IPT è progettato per l'utilizzo in ambienti aziendali in cui si desidera l'integrazione 2FA o PKI supportata dall'hardware. Non fa nulla se non lo configuri e ti registri.
Intel VT-x, which creates a subsystem that does have full privileges, but allegedly doesn't have access to the main system
Non so dove hai letto questo, ma è un'assurdità. VT-x è il supporto per la virtualizzazione dell'hardware. Include istruzioni speciali che accelerano il processo di virtualizzazione di un sistema operativo secondario (una VM) sul sistema host. Software come Hyper-V, VMWare e VirtualBox utilizzano queste estensioni per migliorare le prestazioni e la sicurezza.
Disattivare IME è probabilmente una buona idea in generale se si apprezza l'apertura del proprio stack hardware. Sfortunatamente non è possibile disabilitarlo completamente al momento. Ci sono, tuttavia, degli sforzi per aiutarti a ridurre pesantemente la quantità di codice in esecuzione sotto ME. Lo strumento me_cleaner ti consente di rimuovere la maggior parte delle sezioni del firmware dal motore di gestione senza attivare un errore di convalida della firma o uno spegnimento di 30 minuti Timer. Un nuovo trucco rilasciato abbastanza recentemente (in realtà solo pochi giorni prima di scriverlo) ti consente di disabilitare ME molto presto e rimuovere ancora più codice, utilizzando una funzione non documentata denominata HAP . Gli sviluppatori di me_cleaner stanno implementando il supporto per questo. Nota che entrambi questi trucchi richiedono generalmente una modifica dell'hardware (riprogrammazione dell'elettronica EEPROM a 8 pin che contiene il firmware) e sono completamente non supportati: è possibile installare l'hardware, sebbene sia sempre possibile ripristinare il firmware originale utilizzando un programmatore EEPROM.
Puoi anche cercare in coreboot e libreboot se vuoi sostituire UEFI / BIOS con un'opzione open source. Sfortunatamente questi progetti sono generalmente limitati a un piccolo numero di vecchi laptop e schede madri.