web-dev-qa-db-ja.com

インテルMEを無効にする方法は?

シークレットバックドアを含むIntel MEについて読む の後、Intel MEを無効にできるかどうか知りたいのですが?

15
Marina Ala

まず、この人は真実を語っていないようです。彼は、公の知識だけではなく、インテルで働く人だけが知っていること、または少なくともアーキテクチャを深く理解している人が知っていることを述べるべきでした。彼は少なくともME v11のようなものをARCCompactからTinyIAに切り替えてJEFFモジュール形式(古い放棄されたJava標準))を取り除くことについて言及した可能性があります。次に、彼が言ったことのいくつかは実際には正しくない:

  • メモリに完全にアクセスするには、それを許可するBIOSのx86コンポーネントが必要です。これは、MEが神であるという一般的な信念に反して、常にシステムメモリにアクセスできるとは間違っています(ほとんどの構成がこれを許可します)。

  • 無効にすることもできますが、無効にする方法は、公開と非公開の両方で多数あります。無効にすることは不可能であるという彼の主張は正しくありません。この方法については後で説明します。

  • 彼は、想定されるバックドアにはCIAのWEEPING ANGELと同様の機能があり、コンピューターがオフまたはスリープ状態であってもMEが聞くことができると述べました。これは、ハードウェアの制約により、ほとんどのシステムでは不可能です。 vProをサポートするハイエンドサーバーのみが、システムがオフになっているように見えてもMEをオンに保つことができます。他のすべてのシステムでは、システム自体の電源がオンになっていない限り、MEの電源はオフのままです。

  • 彼が犯す明白な間違いは、「TCP/IPスタックへの完全なアクセス権」がないことです。私は彼がそれがownTCP/IPスタックを持っているというよく知られた事実を繰り返そうとしていると思いますが、これは本当です。 MEは、OSのネットワークスタックとは一切統合しません。

  • MEは、コンピュータに接続されているすべての周辺機器にアクセスすることはできません。少なくとも、すべてのPS/2キーストローク、ビデオメモリ、およびNIC通信を読み取ることができます。フルメモリへのアクセスが許可されている場合は、当然、さらに多くのことができます。ただし、物理的なx86アーキテクチャの制限により、すべての周辺機器にアクセスできるわけではありません。

彼はすでに短い投稿で、管理エンジンの基本を知らないことを示しました。複数のIntel従業員を知っている人物として、MEと直接仕事をした人もいるので、この人がIntelで働いているとは思いません。

主な質問に答えるために、一部の古いコンピューターでは、MEに付属していないLibrebootをインストールして無効にすることができます。互換性のあるコンピューターは、MEが実行されていないときに起動を拒否しないか、安定しているコンピューターのみです。一部のSandyBridge/IvyBridgeコンピュータでは、 here のように、最初のページ(4096バイト)を上書きすることにより、MEを無効にすることができます。 Freenodeの#librebootでMEを無効にする実験をしている一部の人々によると、ハードウェアとソフトウェアの変更の組み合わせを必要とする近い将来に可能になる他の方法は、おそらくジャンパーを含むだけです。

言うまでもありませんが、この人物が真実を語っていたとしても、3年前に新しい部門に異動し、その時点でセキュリティクリアランスを取得した15年以上にわたってIntelで働いているEEの数は、一人ではない。クリアランスのある人は誰でも、情報漏えいがどれほど危険であるかを知っているので、この方法で情報を提供することはありません...すべての場所の4chanで。

6
guest

一部のチップセットでは Intel MEは以下の手順に従って無効にすることができます (自己責任で)。

新しいチップセット(Haswellがオン)では、検証済みブートにIntel Boot Guardが設定されているため、上記のソリューションは使用できなくなります。

正確にはあなたのケースではありませんが、Intel MEがWindowsと通信できないようにするには、 Intel AMTを無効にする を使用します。お使いのマシンがWiFi経由でのみ接続している場合、イーサネット接続またはWindows経由でWiFiにアクセスする必要があるため、インテルMEが役に立たなくなることは私の理解です。

4
Gaia