LINUX.ORG.RU

Ответ на: комментарий от Serge10

автор утверждает, что произведенные в Канаде платы закладок не имеют

Опытные образцы были из китая

Тогда откуда у них доступ к криптографическим ключам?

Если бы я заливал по, то был бы мой ключ. Я бы сам его создал

NextGenenration ★★
()
Ответ на: комментарий от NextGenenration

Что мешает повешать обработчик прерывания и в случае обнаружения новой сетевой карты работать уже с ней?

Каким образом? Нужно прописать MAC-адрес внешней карты (как я понимаю, он жестко в IntelME прописан), а его еще и узнать надо, организовать туннелирование через внешнюю карту, все это помимо OS. Да даже драйверы для всех возможных карт в BIOS не запихаешь...

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

Опытные образцы были из китая

Я, конечно, по диагонали читал, но там явно написано, что предсерийные образцы (без закладок) из Канады, серийные, на которых авторский гипердрайвер отказался работать - из Китая.

Если бы я заливал по, то был бы мой ключ. Я бы сам его создал

Для этого надо иметь доступ к незашифрованному ПО, которое, по идее, есть только у Intel. Откуда оно у китайцев появилось?

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

Как видишь не всё так хорошо

Вопрос исключительно в мотивации ;). В конце концов, никто не мешает выложить файлы на своем облаке/сервере. Другое дело, когда твои файлы удаляют у тебя на машине, как в случае с Apple.

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

Надо запихивать драйверы для конкретных осей, а не карт

Причем тут оси? Карта должна помимо осей работать, даже если они вообще не установлены. Вспомните, как IPMI/iLO работают...

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Нет.

Если человек лицемерный кусок говна, то я готов сказать ему это прямо.

Он не первый и не второй раз прибегает в лор размазывая сопли «Тут кто-то со мной не согласен, это вразрез ко-ко-ко-ко, давайте его забаним!»

dk-
()
Ответ на: комментарий от Serge10

А мне, например, функции IPMI очень нужны,

Serge10, я ничего не имею против того, что вы для своих нужд покупаете то, что вам нужно.
Мне не нравится то, что системы с таким функционалом являются единственным вариантом.
Так же как для вас могут производить компьютеры с DPMI, так же и для тех кто не хочет этого ДОЛЖНЫ делаться компьютеры без этой сомнительной системы.

Каким образом IntelME влияет на Realtime?

Не знаю intel me именно или ещё что лезет куда ни будь и для этого приостанавливает работу ОС, что приводит к недопустимо долгим провалам в работе реалтайм программ(7 мс).
Именно по этому ЧПУшники любят ранние Атомы как системы таких вещей не содержащие.

слежки достаточно воспользоваться внешней сетевой картой.

В общем виде нет, хотябы по тому что в каждой карте есть стандартный режим в котором происходит сетевая загрузка по dhcp-tftp протоколу.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

Мне не нравится то, что системы с таким функционалом являются единственным вариантом.

Так смотри какая ниша пропадает! Займись! С Петром напару.

ДОЛЖНЫ делаться компьютеры без этой сомнительной системы.

Нет. Не должны.

dk-
()
Ответ на: комментарий от Serge10

Другой вопрос, что если, скажем, завтра в BIOS новых плат появится такой пункт, то поверите ли Вы Intel?


Я поверю только лоровцам которые скажут что посмотрели чип через электронный микроскоп и не нашли НИ КАКИХ блоков «с неясной» функциональностью.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

Мне не нравится то, что системы с таким функционалом являются единственным вариантом.

Я уже согласился с Вами по этому вопросу. Тоже считаю, что система должна быть отключаема владельцем. Также как, например, в BIOS можно отключить USB, или встроенный звук.

Не знаю intel me именно или ещё что лезет куда ни будь и для этого приостанавливает работу ОС, что приводит к недопустимо долгим провалам в работе реалтайм программ(7 мс).

Угу, уже разобрался - фактически, это следствие виртуализации. Получается, что на современных машинах OS работает на гипервизоре, реализуемом средствами IntelME, а не на самом железе.

Именно по этому ЧПУшники любят ранние Атомы как системы таких вещей не содержащие.

Я правильно понял, что Вы лично столкнулись с проблемами, обусловленными такими задержками?

В общем виде нет, хотябы по тому что в каждой карте есть стандартный режим в котором происходит сетевая загрузка по dhcp-tftp протоколу.

И как этот режим поможет? Да и есть он не в каждой карте. А еще USB-карты бывают.

Serge10 ★★★★★
()

Ладно, времени уже много, пора мне домой ехать ;). Всем еще раз большое спасибо за интересную дискуссию.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Я уже согласился с Вами по этому вопросу. Тоже считаю, что система должна быть отключаема владельцем.

Нет, должны быть платы в которых она либо отсутствует либо является физически удаляемым отдельным блоком, всяким галочкам в БИОС веры нет.

Я правильно понял, что Вы лично столкнулись с проблемами, обусловленными такими задержками?

И лично я столкнулся с этим в том числе тоже.

И как этот режим поможет?
Раз он работает как первичный загрузчик то значит может использоваться и для чего либо ещё.

Да и есть он не в каждой карте. А еще USB-карты бывают.

Опять вы занялись агитацией, типа если ты купишь вазелину, то жопе будет не так больно.
Наличие средств обхода и блокировки не оправдывает существования зонда.

torvn77 ★★★★★
()

The Intel Management Engine ('IME' or 'ME') is an out-of-band co-processor integrated in all post-2006 Intel-CPU-based PCs.

Значит мои DualCore E6500 из 2009 и i7 3770 из 2012 с были с IME. Так что пофиг.

The process involved will require re-flashing your system's BIOS-chip firmware image, and will almost certainly void your system warranty. It may result in your machine becoming 'bricked'.

Дальше не читал.

Deleted
()
Ответ на: комментарий от TheAnonymous

Няшный ровно до того момента, когда вместо списка обновлений показывает белый квадрат. В недавних билдах инсайдера добавили отображение состояния для каждого обновления (грузится, ставится и т.д.).

Radjah ★★★★★
()
Ответ на: комментарий от Serge10

Я, конечно, по диагонали читал, но там явно написано, что предсерийные образцы (без закладок) из Канады, серийные, на которых авторский гипердрайвер отказался работать - из Китая.

Это не принципиально. К тому же me сейчас есть на всех современных чипах

Для этого надо иметь доступ к незашифрованному ПО

К какому по? Сам написал, сам зашифровал, сам залил.

Откуда оно у китайцев появилось?

Американци скинули

NextGenenration ★★
()
Ответ на: комментарий от Serge10

В конце концов, никто не мешает выложить файлы на своем облаке/сервере

А отсутствие сервера? А то что он не выдержит такую нагрузку?

NextGenenration ★★
()
Ответ на: комментарий от Serge10

Карта должна помимо осей работать, даже если они вообще не установлены

Это для удалённого администрирования. А для трояна и так сойдёт. Кроме того, после подключения к сети можно скачать обновления и уже будет работать и без оси

Вспомните, как IPMI/iLO работают...

Так что, достаточно подключить устройство через wifi и IPMI поломается? Ну и зачем такая неработоспособная технология нужна?

Кстати да. Живой образ большинства дистров влезает на 2 Гб. При том что они имеют дрова для всяких разных сетевых карт. Так что не так та уж и много места надо

NextGenenration ★★
()
Последнее исправление: NextGenenration (всего исправлений: 1)
Ответ на: комментарий от dk-

Так смотри какая ниша пропадает! Займись!

Ты так говоришь, как будто это так просто - взять и выпустить новый процессор

С Петром напару.

Это ещё кто?

Нет. Не должны.

Если люди будут делать только то что должны - жизнь будет не столь уж и прекрасной

NextGenenration ★★
()
Ответ на: комментарий от NextGenenration

Кстати да. Живой образ большинства дистров влезает на 2 Гб.

Папка с модулями ядра весит 30~40 мегабайт.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

Флешка на 2 Гб не будет такой уж и дорогой, чтобы кто-то всполошился после её добавления на матернискую плату + оставляет кучу свободного места для установки достаточно удобных инструментов(типа рантайма явы). А так, да размер носителя можно серьёзно уменьшить, так как в me не нужны большинство програм из типичного linux дистрибутива

NextGenenration ★★
()
Ответ на: комментарий от NextGenenration

Да и ОЗУ в 512 МБ теперь одна единственная микросхема.

torvn77 ★★★★★
()

отличная у генты вики
видно, что обстоятельно подходят к заботе о безопасности пользователей

anonymous
()
Ответ на: комментарий от Serge10

я вроде предельно ясно озвучил свое отношение к рекламе

У вас получилось «Мне реклама не мешает, поэтому надо запретить всем её блокировать».

DRM - это тоже реализация свободы. Свободы автора

Вы занимаетесь подменой понятий. И говорите про автора, а защищаете правоторговца. Если будете продложать в том же духе, вам вымажут лицо белым, покрасят нос в красный, повесят на грудь табличку «клоун» и прогонят через весь ЛОР под свист и похабные выкрики.

LittleKawaiiNeko ★★
()
Последнее исправление: LittleKawaiiNeko (всего исправлений: 1)
Ответ на: комментарий от LittleKawaiiNeko

Вы занимаетесь подменой понятий

К сожалению некоторые люди, например Serge10 чисто физически не способны придти к некоторым выводам, по крайней мере до тех пор пока их это не коснётся. Примерно так же как i386 не очень будет выполнять amd64 код. И то, даже если его это и коснётся, то может развится стокгольмский синдром. Говорят, для этого нужно аппаратное расширение «критическое мышление»

Если будете пробложать в том же духе, вам вымажут лицо белым, покрасят нос в красный, повесят на грудь табличку «клоун» и прогонят через весь ЛОР под свист и похабный выкрики.

К сожалению тут пол лора похожие. Троян не видят, а не троян принимают за троян.

NextGenenration ★★
()
Ответ на: комментарий от Radjah

добавили отображение состояния для каждого обновления (грузится, ставится и т.д.).

А нормальный человеческий интерфейс, чтобы можно было проверить обновления, и после этого они не начали автоматически качаться и ставиться, а чтобы посмотреть, галочками отметить нужные, и поставить, не запилили? И разделение на обновления безопасности и прочее ненужно?

TheAnonymous ★★★★★
()
Ответ на: комментарий от NextGenenration

вообще китайские товарищи не первый раз на бэкдорах в электронике ловятся. voip-шлюзы еще были. прячут но прячут криво и косо. я бы предположил, что им не нужен wifi, а рассчитывают они на протрояненые сделаные в китае роутеры.

ckotinko ☆☆☆
()
Ответ на: комментарий от ckotinko

вообще китайские товарищи не первый раз на бэкдорах в электронике ловятся

Рискну предположить, что если бы электронику делали в рф или украине, то ловили бы уже украинцев или россиян.

прячут но прячут криво и косо

Зачем стараться, если и так берут?

NextGenenration ★★
()
Ответ на: комментарий от NextGenenration

ловили бы. соблазн сунуть лапу он такой, провоцирует. а пока по компам и роутерам шарится волосатая лапа китайского товарища майора.

ckotinko ☆☆☆
()
Ответ на: комментарий от torvn77

Нет, должны быть платы в которых она либо отсутствует либо является физически удаляемым отдельным блоком

IMHO, это чрезмерное требование. Фактически, оно означает, что производитель должен выпускать отдельную линейку плат, число потенциальных потребителей которых явно невелико (подавляющему большинству потребителей глубоко фиолетово на потенциальные угрозы, связанные с IntelME). Иными словами, это просто нерентабельно. А вот сделать функциональность IntelME отключаемой довольно просто...

всяким галочкам в БИОС веры нет.

Хм, Вы же ниже пишете, что у Вас есть способ увидеть, активна IntelME, или нет. По уровню задержек. Это во-первых. А во-вторых, если Вы не доверяете производителю, то откуда уверенность, что IntelME просто не перепрятали на плате, заявив, что физически удалили?

Раз он работает как первичный загрузчик то значит может использоваться и для чего либо ещё.

Для начала нужно, чтобы карта распознавалась BIOS. Что довольно проблематично, учитывая огромное разнообразие карт.

Опять вы занялись агитацией

Видимо, у нас с Вами разные представления об агитации ;).

Наличие средств обхода и блокировки не оправдывает существования зонда.

Конечно, не оправдывает. Но позволяет свести к минимуму неприятные последствия ;).

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

К какому по? Сам написал, сам зашифровал, сам залил.

Вы можете залить свое ПО вместо IntelME? Насколько я понял, модификации поддаются только отдельные куски, часть кода зашита намертво. Да еще и зашифрована. Вот и удивляюсь, как китайцы получили доступ к этой части кода...

Американцы скинули

Вот это и странно. Остальным они просто так этот код не показывают. Более того, специально шифруют, чтобы избежать дисассемблирования.

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

А отсутствие сервера?

Поднять сервер - дело нехитрое.

А то что он не выдержит такую нагрузку?

Какую такую нагрузку? Просмотры/прослушивания со стороны нескольких десятков друзей и знакомых? Вряд ли кому-нибудь кроме них интересны Ваши композиции ;).

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Вы можете залить свое ПО вместо IntelME?

Если бы я с нуля разрабатывал это по + железо, то смог бы. Там на каком-то уровне стоит проверка на коректность подписи. Изменяя эту часть можно заставить признать любую подпись верной. Правда я не знаю где именно эта проверка

NextGenenration ★★
()
Ответ на: комментарий от Serge10

Видимо, у нас с Вами разные представления об агитации ;).

А что это как не агитация если вот весь этот пост снисходительным тоном убеждаете согласиться на покупку компа с этим Intel Me, перебирая самые различные предлоги?
Почему вы меня так убеждаете отказаться от борьбы за выпуск компа без этого зонда?

Это нисколько не походит на попытку разобраться, тем долее что конкретно моё мнение в треде я уже изложил, это именно похоже на попытку меня переубедить или приставать ко мне до тех пор, пока не ошибусь с аргументацией или простотоставлю за вами последнее слово.

Хотя может аы обычный троль.

torvn77 ★★★★★
()
Ответ на: комментарий от Serge10

Поднять сервер - дело нехитрое.

Хитрое. Нужна либо аренда либо своё железо. Вероятность того что домашняя страничка одного энтузиаста будет работать всё же меньше чем серверы ютуба. Кроме того, ютуб позволяет монетизировать просмотры. Ютуб может предлагать похожие видео, сам выступая в качестве рекламы. И так далее. Я понимаю, что проще оправдывать сильных(google://стокгольмский синдром), но ты уже сменил направление беседы с «мою музыку не удалят» до «подумаешь, подниму сервер». Не факт что твоя точка зрения не поменяется ещё раз десять, когда ты уже на своём опыте столкнёшься с этим или тебе приведут очередной аргумент. Блокировка рекламы, нелюбовь к drm и ненужным гипервизорам появилась не на пустом месте.

NextGenenration ★★
()
Последнее исправление: NextGenenration (всего исправлений: 1)
Ответ на: комментарий от NextGenenration

А для трояна и так сойдёт.

Не, не сойдет - вся фишка IntelME и заключается в том, что передавать данные можно OS-независимо. Избегая при этом любых программных блокировок и учета. Если пустить трафик через OS, бороться с ним можно будет на уровне netfilter, как и в случае обычного трояна.

Так что, достаточно подключить устройство через wifi и IPMI поломается?

Вам не удастся получить доступ к IPMI-функциям через WiFi-интерфейс. Только через определенный сетевой разъем, иногда изолированный, иногда совмещенный с одним из интегрированных сетевых интерфейсов.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Если пустить трафик через OS

Нет. У оси выяснить настройки прокси(если имеются)

Вам не удастся получить доступ к IPMI-функциям через WiFi-интерфейс

Безполезнофункция

NextGenenration ★★
()
Ответ на: комментарий от LittleKawaiiNeko

У вас получилось «Мне реклама не мешает, поэтому надо запретить всем её блокировать».

По-моему, у Вас проблемы с чтением ;). Я писал совершенно по-другому - мне (и только мне) аргументы по поводу невозможности блокирования рекламы на машинах с IntelME неактуальны...

Вы занимаетесь подменой понятий.

Это где же?

И говорите про автора, а защищаете правоторговца.

Хм, авторские права исходно всегда принадлежат автору. Если он (автор) кому-либо их передает, это тоже реализация его свободы, разве нет? И это решение автора нужно уважать.

Так что для меня непринципиально, кому именно принадлежат права - самому автору, его наследникам, представителям, или коммерческим партнерам. Это выбор самого автора, и я обязан уважать этот выбор.

Если будете продложать в том же духе, вам вымажут лицо белым, покрасят нос в красный, повесят на грудь табличку «клоун» и прогонят через весь ЛОР под свист и похабные выкрики.

Извините, оставлю это без комментариев.

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

Рискну предположить, что если бы электронику делали в рф или украине, то ловили бы уже украинцев или россиян.

Я бы согласился с Вами, если бы речь шла о собственной китайской разработке. Но ведь это не так - в Китае только производят платы, разрабатывают их в Штатах.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Ключевое слово здесь - «громко». Т. е. Вы обязательно узнаете о появлении новой угрозы.

Ok, узнал. Какие дальнейшие действия? Выкидывать проц за $350 и мат. плату за $300 на помойку? Срочно покупать AMD FX?

А вот конкретно Вашим данным сосед-школьник, вооруженный эксплойтом, гораздо более опасен, чем преступная группировка ;).


шифровальщики атаковали все машины, до которых могли дотянуться

атакующие могут не знать что они атакуют, они просто атакуют всё, что можно атаковать, пока есть время

Ford_Focus ★★★★★
()
Ответ на: комментарий от NextGenenration

Если бы я с нуля разрабатывал это по + железо, то смог бы.

Вот именно - если бы разрабатывали с нуля.

Поэтому и непонятно, как доступ китайцы получили, притом, что разрабатывались платы в США.

Правда я не знаю где именно эта проверка

А китайцы, судя по всему, знают. Напрашивается вопрос - откуда?

Serge10 ★★★★★
()
Ответ на: комментарий от NextGenenration

Нет. У оси выяснить настройки прокси(если имеются)

Чтобы работать OS-независимо, надо самостоятельно управлять картой. Т. е. в BIOS должен быть помимо всего прочего вшит и драйвер карты. Учитывая огромное разнообразие карт на рынке, предположение, что драйверы для каждой из них будут доступны в BIOS, представляется крайне маловероятным.

Безполезнофункция

Это почему? У Вас есть специально выделенный, или зарезервированный сетевой разъем, вот через него и рулите IPMI-функциями. WiFi нужен несколько для другого ;).

Serge10 ★★★★★
()
Ответ на: комментарий от Ford_Focus

Ok, узнал. Какие дальнейшие действия? Выкидывать проц за $350 и мат. плату за $300 на помойку? Срочно покупать AMD FX?

См. выше - варианты есть. Поставить роутер с файрволлом, подключиться к сети не через встроенные сетевые разъемы, а через внешнюю сетевую карту.

атакующие могут не знать что они атакуют, они просто атакуют всё, что можно атаковать, пока есть время

Конечно. Но вот практика показывает, что есть корреляция между физическим расстоянием между местом первичной атаки вируса и машиной жертвы с одной стороны и временем заражения с другой.

Достаточно вспомнить эпидемию, вызванную последним шифровальщиком - думаете, просто так больше всех пострадало украинских компьютеров?

Serge10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.