вот для сравнения с процом librem 15 и i7-2760QM

https://ark.intel.com/ru/compare/88194,53474

да свистелок и перделок в виде usb3.0 нет но есть expresscard 34 usb 3.0 если сильно надо

без пайки можно прошить почти любой коребутовский ноут через прищепки на чип SOIC8 или SOIC16

Имелось ввиду даже без разборки, и без програматора.

Кстати: допустим ты купишь какой-нибудь новенький Dell, установишь там «ME-disabled» бит, урежешь прошивку ME и расслабишься. А тем временем в твоём закрытом UEFI сидит зонд Computrace или его аналог, который будет сливать все твои секреты! Можно конечно попытаться распаковать UEFI чтобы найти и выпилить Computrace/аналог, но современный UEFI состоит как минимум из 300 модулей заботливо перемешанных индусами... (ковырялся, знаю)

Dell темнит или я слепой

Может они про это?

http://www.dell.com/support/article/us/en/04/sln295179/disable-intel-amt-inte...

Это все что я нашел у них. Но это совсем не то. Это же должно быть у них официально заявлено?

Тут я вижу только инструкцию как сделать так чтобы не высвечивалось какое-то AMT-шное сообщение. ни ME ни AMT по выполнению этих действий никуда не денутся

Это же должно быть у них официально заявлено?

Официально заявлено как выключить их бэкдор? Даже про «Me-disabled» бит нигде в документации не было, случайно нашли

XPS 13 9360. Однако, я в Москве(!) не могу найти магазин, где их можно было бы посмотреть вживую.

Видел в магазине ДНС в ТЦ Мозайка, м. Дубровка.

Тут точно нет Intel ME, но немного тяжеловат. http://www.akvamarin-npc.ru/notebook.html

К сожалению в этом ноуте и биос и даже ОС скорее всего закрыты, у нас вообще редко что опенсорсят; а так бы можно было взять если б его продавали в розницу

урежешь прошивку ME и расслабишься. А тем временем в твоём закрытом UEFI сидит зонд Computrace

Не знал о таком. Как я понял, возможностей у UEFI-шных зондов сильно меньше, чем у ME. Computrace, как пишут, требует Windows для нормальной работы.

Вообще, я исхожу из того, что любой нормальный зонд продвигается под видом каких-то якобы полезных функций, чтобы пользователи за него ещё и платили с удовольствием.

Хотя, конечно, это не обязательно.

Я правильно понимаю, что ноуты от System76 тоже могу содержать какую-то пакость в uefi, ну или получить её с обновлением прошивки (если оно будет разрешено)?

Учитывая ограниченный функционал таких троянов, достаточно ли будет шифровать диск с помощью Linux, чтобы не дать им возможности работать?

Computrace, как пишут, требует Windows для нормальной работы

Пишут - ссылаясь на старую документацию и копипасты друг друга. Старый Computrace действительно поддерживал только Windows, а новый поддерживает и Linux - по крайней мере Ubuntu 16.04 и Debian 8, и Android если его линуксом назвать можно. Даже на их официальном сайте Absolute некоторые документы есть в открытом доступе, например - https://help.absolute.com/corporate/html5/Content/PDFs/EN/AbsoluteUG.en.pdf . Вывод: без опенсорсного биоса от зондов далеко не убежишь

Вообще, я исхожу из того, что любой нормальный зонд продвигается под видом каких-то якобы полезных функций, чтобы пользователи за него ещё и платили с удовольствием.

У всех этих зондовых функций есть двойное назначение. Удалённое управление компьютером - удобно для админов которым нужно администрировать много компов, например удалённо поменять настройки в UEFI или когда нужно продвинуть загрузку дальше если при перезагрузке комп застрял на экране BIOS'а «No keyboard present, Press F1 to continue». Или если комп с корпоративными секретами был украден: выяснить его местоположение, получить фотографию злоумышленника с вэбки + может быть скопировать какие-то новые файлы созданные злоумышленником, затем удалённо стереть всю конфиденциальную информацию и заблокировать процессор... Но эти же самые функции, которые в примерах выше использовались во благо, - можно применять и для шпионажа и, возможно, для окирпичивания большинства компьютеров в стране вероятного противника в случае весьма серьёзного обострения отношений или войны

Я правильно понимаю, что ноуты от System76 тоже могу содержать какую-то пакость в uefi, ну или получить её с обновлением прошивки (если оно будет разрешено)?

Ноуты от System76 не являются чем-нибудь особенным в плане прошивок или зондовости: обычные ноуты для тех, кто готов переплатить за гарантию работоспособности всех аппаратных функций в Linux из коробки. Хотя на большинстве ноутов и так почти всё работает если пользователь не криворук, разве что какой-нибудь дурацкий сканер отпечатков пальцев может не работать или прочая периферия без которой вполне можно прожить

я понимаю, что у тебя высокие требования к ноутбукам, но ты вряд ли найдёшь по-настоящему крутой по железу ноут который будет к тому же ещё и беззондовым. Поэтому можешь просто завести два ноута для разных задач: один - крутой но с зондами, а другой - «неочень» зато без зондов

Учитывая ограниченный функционал таких троянов, достаточно ли будет шифровать диск с помощью Linux, чтобы не дать им возможности работать?

Если я правильно понимаю, эти «агенты» как бы прицепляются к твоему ядру Linux, и соответственно после того как ты загрузился в Linux и примонтировал зашифрованный раздел - у них тоже будет доступ туда. То есть с таким железом возможно тебе придётся сидеть на каких-то странных дистрибутивах со странно сконфигурированными ядрами в надежде что у «агентов» что-то там не поддерживается и они не смогут работать, или вообще бежать на какое-нибудь BSD - по крайней мере в открытых источниках я пока не видел никакой информации о совместимости Computrace с BSD, правда это тоже ничего не гарантирует

Видел в магазине ДНС в ТЦ Мозайка, м. Дубровка.

Спасибо. Съезжу посмотреть ради любопытства. Хотя после того, что я тут прочитал, новый ноут покупать расхотелось. Разве что буду в фоне следить за темой.

А пока наверно посижу ещё на стареньком Latitude 10-и летней давности; надо только новую батарею купить, чтобы можно было от розетки до розетки добежать. Computrace (оказывается, он у меня был!) и прочее в BIOS поотключал. Сам BIOS, если не путаю, собран в 2007 году, обновлять его не буду.

Надеюсь старые трояны с новым Linux окажутся не совместимы.

Съезжу посмотреть ради любопытства.

Сходил. У них там модель XPS 13 на Core i7-7500U, стоит около 1E5 рублей. В ней такой опции нет. Говорят, есть в более новых, но они существенно дороже (казалось бы, куда уж?). Хотя могу предположить, что и в старых такая возможность появится после обновления BIOS.

Как-то так.

Пришла пора оживить топик http://blog.ptsecurity.com/2018/07/intel-patches-new-me-vulnerabilities.html

На хоботовском форуме ещё месяц назад про эти дыры писали.
Основные вендоры их уже залепили.

Ну как бы да. Но старые камни оставили как есть. Наверно больше не дам денег интелу, амд меня пока так сильно не разочаровывал ещё. https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-001...

Как там RISC-V поживает? Бюджет 1000 у.е. Софт ещё не начали оптимизировать под него? Где графические ускорители брать?

Как там RISC-V поживает? Бюджет 1000 у.е. Софт ещё не начали оптимизировать под него?

RISC-V находится на самом начальном этапе. И это, RISC-V это система команд (т.е. ISA).
В реальный кремний тоже могут зонды вставить, если что.

А что вы думаете по поводу open source hardware:

https://en.wikipedia.org/wiki/Open-source_hardware

Не знал о таком. Как я понял, возможностей у UEFI-шных зондов сильно меньше, чем у ME. Computrace, как пишут, требует Windows для нормальной работы.

Не выдумывай, виртуалка в нулевом ринге, ей пофик какая ось у тебя будет крутиться из списка уже поддерживаемых или поддерживаемых в будущем.

Вообще, я исхожу из того, что любой нормальный зонд продвигается под видом каких-то якобы полезных функций, чтобы пользователи за него ещё и платили с удовольствием.

Спонсоры самых зондированных зондов не нуждаются в подаяниях.

Хотя, конечно, это не обязательно.

Верно :)

Я правильно понимаю, что ноуты от System76 тоже могу содержать какую-то пакость в uefi, ну или получить её с обновлением прошивки (если оно будет разрешено)?

Даже в старинном BIOS может быть куча пакостей. С обновлением прошивки тобой или кем-нибудь пока тебя нет рядом с устройством, или для некоторых даже по сетке, функционал трояна может увеличиваться, да.

Учитывая ограниченный функционал таких троянов, достаточно ли будет шифровать диск с помощью Linux, чтобы не дать им возможности работать?

Конечно достаточно, потому что затрояненая прошивка HDD может похерить все его содержимое в час Х, даже при подключении просто к только питанию на совсем другом чистом (таких уже почти нету) компе. А до этого такая прошивка HDD может выдавать хорошие и разные бутсектора со ссылками на тело трояна, чтобы он попадал в нулевой ринг даже на либребутнутых или корбутнутых материнках.

Наверно, поэтому как минимум загрузчик типа GRUB надо держать в ПЗУ,

стоит ли пихать в ПЗУ ядро с initrd мне пока непонятно.

По этой же причине устройства с прошивкой внутри типа HDD не очень подходят для бэкапов.