Можно ли отключить блобы в Coreboot?

Фигню какую-то написал.

Блобы требует (если требует) платформа, а не coreboot. Если есть альтернатива (например, libgfxinit вместо VGA ROM), ее можно использовать вместо блоба.

Прошивку ME загружает не coreboot. Если тебе не хочется иметь ME, даже почищенный me_cleaner-ом, придётся остаться в 2008.

libreboot это и есть coreboot, только уже собранный для платформ, где либо нет ME, либо он полностью выпиливается, с другим логотипом и названием, застрявший в 2016. Ты точно также можешь собрать себе актуальный coreboot без блобов, ещё лучше получится.

сначала настроить загрузку с включенными блобами

Какими блобами? Какая плата то хоть?

загружать headless

Поясни.

А то этот ваш Coreboot выглядит похожим на autoexec.bat внутри которого запускается run_blobs.exe.

Ты явно не понимаешь, о чем пишешь.

Ты явно не понимаешь, о чем пишешь.

Ну образно же, про пользу от coreboot с точки зрения безопасности без выпиливания IntelME.

libreboot это и есть coreboot,

В coreboot поддержка второй дубовой коры тоже только на G41M ES2L?

пользу от coreboot с точки зрения безопасности без выпиливания IntelME

В coreboot очень маленькая потенциальная поверхность атаки, в отличие от типичного вендорского биоса с UEFI. А me_cleaner выпиливает ME до вполне приемлимого уровня.

В coreboot поддержка второй дубовой коры тоже только на G41M ES2L?

Нет вроде, посмотри тут https://coreboot.org/status/board-status.html

Нет вроде

Почему тогда этих плат нет в Libreboot?

Отсутствуют сорцы для видео и сетевухи?

https://web.archive.org/web/20200101144832/https://www.coreboot.org/Binary_situation

Libreboot - это полумертвый проект, я бы не стал на него ориентироваться.

Не знаю почему нет. Может, просто некому переносить платы из coreboot. А главное, зачем?

Отсутствуют сорцы для видео и сетевухи?

У меня этих конкретно плат нет и я сходу не могу ответить. Попробуй узнать на IRC-канале #coreboot на freenode, еще посмотри, есть ли дока на интересующие тебя платы на doc.coreboot.org (раздел Mainboard).

https://www.coreboot.org/Binary_situation

И кстати, вики тоже мертва, когда-нибудь оттуда перенесут все, что можно, и закроют.

А me_cleaner выпиливает ME до вполне приемлимого уровня.

Где-то есть список плат, на которых me_cleaner успешно выполняет свою задачу по избавлению от ME?

А кстати для чего модуль ядра типа meixxx ? Это же что-то про IntelME? На что влияет отключение этого модуля без me_cleaner ?

Мне показалось, что отключение лишних модулей ядра, замена клавы на PS2 и включение DDOS защиты firehol помогло остановить различные атаки на наш почтовый сервер.

Можешь обратить внимание на AMD-шные платы: там Intel ME нет и в помине, а AMD PSP (AMD-шный аналог ME) есть только в PC Engines APU2 и в каких-то редких дорогих девелоперских.

Можешь обратить внимание на AMD-шные платы: там Intel ME нет и в помине

Ходят слухи, что в феномах есть что-то другое, впрочем оно есть и в других вариантах тоже - виртуализирующий буткит. Выпиливание IntelME и BIOS - хорошее начало для удаления пары точек возможного его старта.

Наверно, древние microSD карточки объемом 64-128Мб не могут быть прошиты на незаметную подмену загрузчика?

Интересно, есть ли хорошие платы AMD с поддержкой Coreboot и объемом оперативки больше или равно 16 гиг DDR3?

Наверно, что-то на на процах FMx?

Где-то есть список плат, на которых me_cleaner успешно выполняет свою задачу по избавлению от ME?

Если ты хочешь прямо список конкретных плат - есть вот этот тред, там пишут люди, которые попробовали на своем устройстве. https://github.com/corna/me_cleaner/issues/3

Если в целом, то ориентируйся на поколения ME.

есть вот этот тред

это я уже видел :)

чипсет B85 уже все, не подлежит очистке от дъявольщины?

Ходят слухи, что в феномах есть что-то другое, впрочем оно есть и в других вариантах тоже - виртуализирующий буткит.

Можешь скинуть ссылку, почитать?

Наверно, древние microSD карточки объемом 64-128Мб не могут быть прошиты на незаметную подмену загрузчика?

У карточек MicroSD вообще непонятно как обращаться к контроллеру, в отличие от USB-флешек. Поэтому если с MicroSD проблемы, обычно приходится их выбрасывать, в то время как у USB-флешки можно ресетнуть контроллер и она ещё будет работать.

Интересно, есть ли хорошие платы AMD с поддержкой Coreboot и объемом оперативки больше или равно 16 гиг DDR3?

Lenovo G505S - отлично работает 16GB 1600MHz CL9 и IOMMU

ASUS AM1I-A - 16GB 1333MHz CL9, почему-то даже если поставить 1866MHz CL9 оно даунклочится до 1333MHz CL9 и решить эту проблему пока не получилось, к тому же не работает IOMMU

ASUS A88XM-E - 16GB точно можно поставить, но на какой частоте она сможет работать, пока неизвестно; надеюсь что на родной без даунклока, ведь семейство 15h как и G505S. Подозреваю что у ASUS AM1I-A не получается потому что она 16h и исходники немного сырые. IOMMU пока не работает, но в теории починить можно. Плату вот-вот смёржат - https://review.coreboot.org/c/coreboot/+/30987 . Легче найти A88XM-E чем F2A85-M на коде которой она основана, потому что F2A85-M есть куча вариантов (всякие там PRO,LE,…) и не все из них совместимы по всей видимости, а A88XM-E - без USB3,1 - она одна модель.

Ещё недавно были серваки на одном-двух AMD оптеронах, в которые можно было хоть 192GB оперативки поставить, но к сожалению их попёрли из коребута потому что их код не соответствовал определённым требованиям. Но это случилось недавно, и coreboot 4.11 (ноябрь 2019) на них работает прекрасно, может быть возможно бэкпортировать и более свежие версии коребута туда без изменения кода серваков.

Не припомню, но встречал на разных форумах упоминания.

Lenovo G505S - отлично работает 16GB 1600MHz CL9 и IOMMU

А эту платку можно запустить отдельно от корпуса? Кнопка включения на плате?

Можешь скинуть ссылку, почитать?

https://web.archive.org/web/20181226033711/https://www.sql.ru/forum/1307124-a/kak-vyyti-iz-pod-kontrolya-nevidimogo-butkita-specsluzhb?14

Просто я не знаю более ранних аналогов AMD PSP. Возможно, ты имел ввиду https://fahrplan.events.ccc.de/congress/2014/Fahrplan/system/attachments/2503/original/ccc-final.pdf - но это не бэкдор, а дырка в прошивке SMU; но её можно заменить на опенсорсный либо пропатченный аналог. К тому же удалённого контроля - как в случае Intel ME / AMD PSP - эта дырка не предоставляет.

Lenovo G505S А эту платку можно запустить отдельно от корпуса? Кнопка включения на плате?

Да, можно. На плату ноута есть схематик - http://www.s-manuals.com/pdf/motherboard/compal/compal_la-a091p_r1.0_schematics.pdf - можно сделать кастомную кнопку включения, закорачивающую два контакта на 6-pin шлейфе с зазором 1.0mm между контактами, ну или закорачивать два контакта вручную. Правда тебе ещё понадобится процессор A10-5750M, система охлаждения, переходник от матплаты к адаптеру питания и сам адаптер питания, другие маленькие платы вроде доп. USB порта с правой стороны ноута… Чем покупать всё по отдельности, будет проще и дешевле купить б/у ноут с побитым экраном и сделать кастомный корпус. Есть даже MiniPCIe x1 - в порт, предназначенный для WiFi-модуля, можно воткнуть нечто вроде десктопной видеокарты при помощи переходников.

Забавно там на 42-ой странице :)

Интересно, откуда берутся схемы матплат? Это какие-то утечки из лабораторий разработчиков?

Получается, coreboot не может стартануть без блоба:

Panic level: 8999 Memory Reference Code: (Sandybridge and newer). BEL).

Наверно, это главное отличие от Libreboot?

Panic level: small CPU microcode

А без апдейта микрокода может?

А без апдейта микрокода может?

Зависит от конкретной платы. Если архитектура достаточно проработана - т.е. не принципиально новая, а эволюция старой (как AMD 15h например), то может работать без апдейта. Lenovo G505S почти работает, разве что в IOMMU баг который может приводить к жёстким зависаниям при намеренном использовании этой аппаратной функции; апдейтом микрокода он исправляется.

Да, утечка от разработчиков матплаты, Compal в данном случае. Схема есть только на LA-A091P rev1.0 ; нету на LA-A091P rev1A (G505S с обычно чуть более новой дискреткой) и на LA-A092P (G505S без дискретки) - другие платы встречающиеся в G505S, но эти платы достаточно похожи. В сообщениях вроде этого https://www.reddit.com/r/coreboot/comments/c6f9zn/is_there_any_a10_5750m_laptop_supported_by/es93ul6 подробно расписано про разновидности Lenovo G505S.

А про инициализатор оперативки что?

Panic level: 8999 Memory Reference Code: (Sandybridge and newer). BEL).

Его никак не выпилить на coreboot? В смысле, может быть можно заменить на какой-нибудь опен сорс аналог? Или это как раз те секретные цифирки для чипсетов, про которые упоминал Stanson?

https://web.archive.org/web/20200102033237/https://www.linux.org.ru/forum/general/15437335?lastmod=1577902924331

Вообщем можно сделать вывод, что Coreboot безопаснее только от хаков третьих лиц, а трояны производителей процов и оперативки в нем живут и здравствуют в отличии от Libreboot.

Кстати что там про виртуализацию под Coreboot?

Под Libreboot ее вроде бы нет аппаратной?

Что за трояны оперативки ? Проблема с процами к коребуту не имеет отношения, микрокоды можно не использовать где без них будет работать, но хз что там будет со стабильностью.

Даже если в блобе есть троян, он 99% не сможет выполнять свою функцию с коребутом, в блобе жестко захардкожены алгоритмы слива, или вы думаете что вендоры предусмотрели все варианты и версии коребута, в т.ч. наперед, которые еще не вышли ? Имхо это нереалистичный сценарий атаки. Кроме того в корбуте есть всякие дополнительные ограничения для работы блобов не предусмотренные в обычном биосе.

По виртуализации QEMU/KVM работает, Virtualbox тоже.

Что за трояны оперативки ?

В отрицательных рингах CPU. Блобы инициализации оперативки могут быть одной из возможных точек аткивации трояна, наряду так же с IntelME.

В Libreboot ведь таких блобов не требуется?

Речь не про микрокоды, хотя и они тоже могут быть задействованы в этой схеме активации трояна. Проблема с полупринудительным обновлением блобных прошивок устройств как раз в том, что невозможно предугадать, что туда нового зальют завтра.

Трояну ненужно быть суперуниверсальным, достаточно уметь дружить с осью, например, через systemD.

Что за трояны оперативки ?

или вы думаете что вендоры предусмотрели все варианты и версии коребута, в т.ч. наперед, которые еще не вышли ? Имхо это нереалистичный сценарий атаки.

FYI, это давний на ЛОРе шиз, которого облучают соседи и ходят к нему удалять файлы с системы видеонаблюдения.

Ох, вижу, а меня шизом зовут когда пытаюсь иногда объяснить кому то не ИТ что гугл с фейкбуком записывают и продают данные, для тех кто не шарит персонализованная реклама основанная на слежке и сигналы из космоса примерно одно и тоже(

Если это к вопросу анонимизации, то мне пока некогда.

шестеро ученых

хотели все понять

один из них все понял

и их осталось пять

совершенно верно, когда посещают подобные мысли я просто говорю себе что в любом случае мы все там будет, так что спешить не нужно)

Некропост, но AMD PSP как бы есть в каждом процессоре старше сокета FM2, то есть от 2014 года по сути. А вообще поговаривают, например на coreboot wiki подобная информация есть, что мол на старых AMD процессорах есть AMD PSP, но он якобы не активирован. Фиг его знает, что надёжнее, me_cleaner использовать или сидеть на AMD процессорах до 2014 года, короче.

https://www-coreboot-org.translate.goog/Binary_situation Вот собственно статья в вики где об этом говорится. Раздел «recent AMD», последние строчки. Цитирую: «PSP is AMD’s analog of Intel’s ME with a few implementation differences, in laymans terms the panic level is the same and it is present on newer AMD processors (see above) including FM2+ and Zen (AM4), it is also present on the die but supposedly not activated on various older models as well.» Выделил жирным то, о чём я говорил ранее.

сидеть на AMD процессорах до 2014 года

пока придерживаемся такого варианта

on various older models

еще бы список этих моделей где найти

Думаю, здесь имелись ввиду некоторые до-райзеновские процессоры. Ведь AMD начали пихать себе зонд PSP не с Ryzen 17h а раньше, начиная с позднего семейства 16h Puma (late 16h). То есть ранний Jaguar 16h и тем более Richland 15h - на интересующем нас коребутовском железе - в себе его не содержат

зачем тебе это тормозные говнопечки. не позорься и купи уже хоть полноценный riscv или что там, что хоть на самом деле швабодное

сидеть на AMD процессорах до 2014 года

Это условное разграничение по годам - недостаточно точное, тут нужно знать про семейства (см. мой коммент выше), и я могу привести примеры процессоров «не до 2014 года» которые не содержат PSP - просто потому что они на старой архитектуре. Например, Athlon 5370 - на архитектуре Jaguar (early 16h) - не содержит PSP, пусть и был выпущен в феврале 2016, ведь он - ускоренная версия на базе старого 5350. А вот чуть более поздняя архитектура Puma (late 16h) его уже содержит.

Среди коребутовского железа с AMD PSP очень мало железа, из более-менее распространённого могу припомнить лишь APU2. Так что тут всё нормально

да в этой вашей поделке один интел с me, сразу ясно, кто бабосы заносит…

Но ничто не мешает выбирать то коребутовское железо, где есть AMD и без PSP.

убогие его характеристики мешают

полноценный riscv или что там, что хоть на самом деле швабодное

Приведи примеры что сейчас есть годного.

Среди коребутовского железа вообще почти нет железа с AMD. По крайней мере ноутбуков. Только вышеупомянутый g505s, больше приемлимых по мощности по крайней мере нет. Вообще я сейчас выбираю между g505s и Thinkpad W541. Раз уж поднялось обсуждение свободного железа здесь, то за любую информацию которая поможет в этом выборе буду премного благодарен. И возможно не только я, но и любой с той же проблемой кто натолкнётся на архив этого треда позже.

По идее w541 куда более производителен, чем g505s. У него в пару раз мощнее процессор, возможно закинуть больше ОЗУ, лучше видеокарта(хотя она от Nvidia), есть слот Thunderbird или как там для внешней видеокарты, есть свободный M.2 слот в который можно вставить переходник M.2 to PCIe и вставить туда либо переходник-разъём для MXM видеокарты, выведя его на место DVD-привода, либо что-то ещё по желанию. Такое же в принципе можно провернуть и с g505s, но тогда придётся вытаскивать wifi модуль из материнки и освобождать его слот для этого. Можно использовать usb-wifi модуль, конечно, но это менее удобно выходит.

Но он существенно дороже. Я умудрился найти на ebay предложение за 300 долларов, что по нынешнему курсу где то обойдётся мне в 21500. Предложение в США, так что доставка будет стоить где-то 3500 ещё. Причём в этом ноутбуке нет своего жёсткого диска, так что мне придётся докупать SSD, что я бы и так сделал если бы там стоял HDD. Но тогда я мог бы продать стоящий там HDD за деньги или вставить его на место ДВД-привода.

В РФ есть предложения только от перекупов за 30-40 тысяч. В тоже время, g505s можно найти без особых проблем на авито за 10-15 тысяч, а порой попадаются объявления за 5-10 тысяч, но большинство ноутбуком там повреждённые. Возможно, заказывая на том же ebay g505s можно ухватить ещё дешевле, но не факт.

Но ладно, я готов заплатить за производительность и дождаться доставки из США, если мне придётся заплатить всего 25000. Но тут всплывает вопрос, а какой из этих двух буков таки пошвабоднее? Даже воспользовавшись me cleaner'ом остаётся ещё загрузочный код в intel ME. А работает ли вообще этот me cleaner? Где гарантии, что код в самом деле изменяется и что это всё не фикция? С другой стороны, непонятно про какие всё таки старые модели AMD процессоров говорится на сайте coreboot. Так же ИТТ видел в посте от SakaraKun слова про IOMMU и что он прекрасно работает на g505s. Не понимаю, работает он на w541 и чем он поможет вообще, т.к. в этом деле я ньюфаг. Пока что пытаюсь разобраться во всех этих вопросах, и даже если никто не поможет(хехехе), то просто заархивирую результат здесь для потомков.

Ещё у w541 док-станция есть. Но это зависит от продавца, т.к. покупать приходится б/у, то не всегда продаётся вместе с ноутбуком. Хотя это мобильная рабочая станция скорее.

Читаю щас тред «поиск свободного ноутбука» прямиком с 2018 года, в этом поиск свободного ноутбука (комментарий) посту говорится, что ты свои усилия направлял на разработку опенсорс альтернатив оставшимся закрытым прошивкам. Как успехи? Такое возможно сделать в одиночку вообще или ты делал(делаешь) это не один?

В дополнение скажу про бюджетные, но всё же более производительные модели чем g505s. T440P и T530. ЧСХ, не смотря на то что вроде как почти все модели гуглил где-то месяц назад, их не заметил, заметил только w541. Возможно, их только что добавили, но это маловероятно. Что самое главное, T530 можно найти за 15к на авито, а T440P за 20-30к. На ebay они ещё дешевле. Например, есть объявление с T440P за 12к. А за T530 просят 8-10к. Правда, в обоях случаях большинство ноутов на двухядернике, но там съёмный сокет и никто не мешает заменить процессор на мощный i7 четырёхядерник. 16ГБ ОЗУ, процессор в пару раз мощнее A-10 5750M из G505s. Если правильно понял, можно докупить док-станцию. Возможно, в док-станции есть разъём для внешней видеокарты. Получше корпус и внешний вид. Есть версии с матрицей получше, чем у G505S. Вообщем, производительность в разы лучше и есть ещё куча мелких плюсов - вопрос в том, можно ли доверять ME Cleaner и тому, что он после очистки оставляет. А так же вопрос в блобах, которые находятся в прошивке coreboot и соответственно непонятно, где их меньше, а где больше. В G505s или тех зинкпадах.

Лучший компромис в свободности/производительности у g505s, если не принципиально AMD, с коребутом и выпиленной прошивкой ME есть пару компаний которые вычищают зонды:

https://www.tuxedocomputers.com/en/Linux-Hardware/Linux-Notebooks.tuxedo

https://system76.com/laptops

аж до 11 поколения штеуда можно вставить, но и стоит это соответственно.

По поводу Intel ME, сносится сетевой модуль и всё остальное, остается только то что необходимо для инициализации и проставляется недокументированный бит на отключение после инициализации, но 100% гарантий понятное дело нет, можно организовать самому себе mitm на роутере и пробовать чего нибудь интересное поймать.

Лучший компромис в свободности/производительности у g505s, если не принципиально AMD, с коребутом и выпиленной прошивкой ME есть пару компаний которые вычищают зонды:

Про них знаю, но стоят эти буки под 100к рублей. Б/у найти тоже сложно, особенно за приемлимую цену. В целом есть ещё третий вариант который я написал выше. Даже у буков за 10-15к есть возможность поставить процессор в два раза мощнее A-10 5750M, плюсом у этих зинкпадов за 10-15к есть разъём ExpressCard, который позволяет воткнуть без особых проблем внешнюю видеокарту. Ещё к ним тоже есть док-станции с дополнительными разъёмами и охладом. В более дорогом w541 вообще есть Thunderbird, fullhd экран, возможность докинуть ОЗУ до 32гигов, неплохая видюха(но от нвидии, так что можно использовать разве что для второго монитора без использования 3D.

По поводу Intel ME, сносится сетевой модуль и всё остальное, остается только то что необходимо для инициализации и проставляется недокументированный бит на отключение после инициализации, но 100% гарантий понятное дело нет, можно организовать самому себе mitm на роутере и пробовать чего нибудь интересное поймать.

Ну вот в этом то и проблема, что как-то подозрительно легко всё для me_cleaner'а вышло, ибо все разделы там удобно размечены. Да и наверняка штуед заранее озаботился и засунул зонд в загрузочный код. Он может по крайней мере отсылать местоположение пингуя сервер интела, думаю код подобного размера уместился бы там.

Если по цене накладно w541 вполне вариант, разделы в ME удобно размечены потому что обычно всё так делается, но лучше чем мониторить на роутере ничего не придумать.

Если по цене накладно w541 вполне вариант

Должно быть, ты имел ввиду «не накладно»? Вот тут хз на самом деле. Но T530 или T440P по цене от G505S не сильно отличаются, за 15к есть, как я уже сказал.

разделы в ME удобно размечены потому что обычно всё так делается

Я понимаю, но в ME запутан код для усложнения декомпиляции, так что интел специально ставил палки в колёса тем, кто будет в нём ковыряться. И тут - на те! Всё удобно размечено и разбито на части, хотя логичнее было бы всё это смешать чтобы удаление было в разы сложнее. К тому же, какой прок интелу вообще оставлять возможность перезаписать что-то в intel me? Обновления? Какие гарантии что код действительно перезаписывается вообще?

но лучше чем мониторить на роутере ничего не придумать.

Это да, но гарантии что он не умеет определять, безопасный роутер или нет тоже никаких. Что если он отправляет телеметрию даже в обрезанном виде только в зашифрованных пакетах на мой любимый сайт, который с большой вероятностью хостится на железе с intel me и без coreboot? Кое-какие гарантии даёт разве что малый размер кода, но тут мы возращаемся к вопросу «Какие гарантии что код действительно перезаписывается вообще?».

К тому же, какой прок интелу вообще оставлять возможность перезаписать что-то в intel me? Обновления? Какие гарантии что код действительно перезаписывается вообще?

Усложнение декомпиляции не редкость в любой проприетарщине. Про перезапись - например Вася нашел дыру в intel me и начинает нагибать корпорации через нее, дыру нужно закрыть, придется как то обновлять, если код не перезапишется дыра останется и нагибать будут дальше, тогда репутация штеуда упадет не только в красных глазах, но и в глазах тех кто подписывает с ними миллиардные контракты.

Что если он отправляет телеметрию даже в обрезанном виде только в зашифрованных пакетах на мой любимый сайт, который с большой вероятностью хостится на железе с intel me и без coreboot?

Как то это слишком) Получается каждый сайт должен уметь принимать пакеты от Intel ME ведь невозможно никак узнать зараннее что у тебя за любимый сайт. Роутер можно взять который работает на 100% открытой прошивке LibreCMC

Усложнение декомпиляции не редкость в любой проприетарщине. Про перезапись - например Вася нашел дыру в intel me и начинает нагибать корпорации через нее, дыру нужно закрыть, придется как то обновлять, если код не перезапишется дыра останется и нагибать будут дальше, тогда репутация штеуда упадет не только в красных глазах, но и в глазах тех кто подписывает с ними миллиардные контракты.

В итоге штуеда нагнул не Вася, а Никола Корна и ко. Как-то это глупо. К тому же, тут вопрос в другом: зачем оставлять физический доступ, если все обновления один фиг идут из интернета?

me_cleaner же перепрошивается при помощи программатора. Либо usb, либо прищепочного. Зачем было оставлять прищепку и usb-доступ?

Получается каждый сайт должен уметь принимать пакеты от Intel ME ведь невозможно никак узнать зараннее что у тебя за любимый сайт Не каждый сайт базируется на железе с Intel Me/AMD PSP, есть старые сервера и есть сервера на ARM(хотя там тоже есть TrustZone), но надо признать, что базируются на них большинство сайтов. Получается, нужно либо отказаться от использования всех таких сайтов, а это невозможно, ибо далеко не все пишут список железа на котором хостится сайт, либо отказаться от железа с Intel ME.

Ещё в чём фишка: предположим, мне скрывать нечего и я просто очередной Неуловимый Джо который хочет чтобы за ним не следили. Me_cleaner это мой вариант, ибо я по всяким стрёмным сайтам не лажу.

Но что если я например кулхацкер Вася(на самом деле я всё тот же Неуловимый Джо, просто с зогачерскими замашками, лажу по стрёмным сайтам и не хочу чтобы меня взяли на карандаш и следили через intel ME вручную). Для избавления от бэкдора кулхацкеру Васе поможет me_cleaner. После его использования врядли спецслужбы смогут получить контроль над его компьютером.

Но остаётся маленький блоб на где-то 80кб.

И он может делать многое. Он может отправить уникальный идентификатор компьютера Васи спецслужбам, когда Вася зайдёт на сайт с жаваскриптом который выполняет какую-то редкую алгебраическую задачу, которая активирует код в этом блобе который и отошлёт идентификатор на этот сайт. Всё, Вася сдеанонен, несмотря на то что он обмазался проксями, заходил через виртуалку и т.д.

Или он может загрузить intel ME обратно из интернета, в любой момент. Это может происходить запланировано раз в 5 лет, чтобы заметить это было сложно.

Он может просто регулярно пинговать нужный сервер позволяя отслеживать местоположение Васи. Он может не делать это дома у Васи, у которого стоит роутер с прошивкой LibreCMC, но любое незащищённое подключение будет отслеживаться.

Причём это может быть всё последовательно: Вася заходит на сайт-ловушку, он активирует ему этот код, он сразу же отправляет на сайт уникальный идентификатор и загружает с сайта прошивку Intel ME всего в пару гигабайт. Intel ME восстановлен, так что куратор может подключиться к Васе. Вася на карандаше и все его действия с его компьютера отслеживаются, всё, Васе капец.

Вообщем-то, в чём вывод. Нужно либо декомпилировать этот остаток, что затруднено штуедом изначально, либо найти способ удалить прошивку полностью.

И тут кстати всплывает ещё один факт: судя по всему, рядом с intel ME имеется контроллер который следит за целостностью кода intel ME, потому как если его удалить полностью, то компьютер будет раз в полчаса выключаться. И его очистить никак нельзя. И нет гарантий, что он не может сделать вышеописанное: для этого нужна довольно простая логика и довольно мало вычислительных мощностей, по идее.

Я думаю, что вполне вероятно что способ отключения уже есть, просто он не особо распространяется. Надо либо самому искать способ, либо забить фиг и сидеть на g505s с амудешным процессором. Что конечно вовсе не гарантирует что и в нём нет зондов, учитывая то, что писали в вики коребута.

Как-то сложно это всё.