LINUX.ORG.RU

Посоветуйте ноубук без зондов

 , ,


2

4

Пытаюсь выбрать себе ноутбук. Требования следующие: полная, ну или почти полная поддержка Linux; масса не более 1,5 кг, экран от 13 дюймов, памяти от 6 Гб, SSD от 256 Гб, отсутствие Intel ME и прочих троянов, или хотя бы возможность их отключения. При этом, копаться в бинарниках биос с риском окирпичевания изделия у меня желания нет. Также хотелось бы, чтобы ноут прослужил не менее 5 лет.

Я слышал, что вроде как в биосе ноутов Dell есть опция для отключения Intel ME. Думаю, мне бы подошли Dell Latitude 7490 или XPS 13 9360. Однако, я в Москве(!) не могу найти магазин, где их можно было бы посмотреть вживую. В связи с этим следующие вопросы:

1) Где в Москве можно поглядеть вышеобозначенные ноуты?

2) Правда ли, что в них действительно штатно можно отключить Intel ME?

3) Какие ещё производители предоставляют штатную возможность отключения трояна от Intel (ну или от AMD) в ноутбуках? Желательно, чтобы их можно было посмотреть вживую перед покупкой.


вот для сравнения с процом librem 15 и i7-2760QM

https://ark.intel.com/ru/compare/88194,53474

да свистелок и перделок в виде usb3.0 нет но есть expresscard 34 usb 3.0 если сильно надо

anonymous
()
Ответ на: комментарий от SakuraKun

Имелось ввиду даже без разборки, и без програматора.

anonymous
()
Ответ на: комментарий от ioctl

Кстати: допустим ты купишь какой-нибудь новенький Dell, установишь там «ME-disabled» бит, урежешь прошивку ME и расслабишься. А тем временем в твоём закрытом UEFI сидит зонд Computrace или его аналог, который будет сливать все твои секреты! Можно конечно попытаться распаковать UEFI чтобы найти и выпилить Computrace/аналог, но современный UEFI состоит как минимум из 300 модулей заботливо перемешанных индусами... (ковырялся, знаю)

SakuraKun ★★★★★
()
Ответ на: Dell темнит или я слепой от anonymous

Тут я вижу только инструкцию как сделать так чтобы не высвечивалось какое-то AMT-шное сообщение. ни ME ни AMT по выполнению этих действий никуда не денутся

Это же должно быть у них официально заявлено?

Официально заявлено как выключить их бэкдор? Даже про «Me-disabled» бит нигде в документации не было, случайно нашли

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)

XPS 13 9360. Однако, я в Москве(!) не могу найти магазин, где их можно было бы посмотреть вживую.

Видел в магазине ДНС в ТЦ Мозайка, м. Дубровка.

exst ★★★★
()
Ответ на: комментарий от exst

К сожалению в этом ноуте и биос и даже ОС скорее всего закрыты, у нас вообще редко что опенсорсят; а так бы можно было взять если б его продавали в розницу

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

урежешь прошивку ME и расслабишься. А тем временем в твоём закрытом UEFI сидит зонд Computrace

Не знал о таком. Как я понял, возможностей у UEFI-шных зондов сильно меньше, чем у ME. Computrace, как пишут, требует Windows для нормальной работы.

Вообще, я исхожу из того, что любой нормальный зонд продвигается под видом каких-то якобы полезных функций, чтобы пользователи за него ещё и платили с удовольствием.

Хотя, конечно, это не обязательно.

Я правильно понимаю, что ноуты от System76 тоже могу содержать какую-то пакость в uefi, ну или получить её с обновлением прошивки (если оно будет разрешено)?

Учитывая ограниченный функционал таких троянов, достаточно ли будет шифровать диск с помощью Linux, чтобы не дать им возможности работать?

ioctl
() автор топика
Ответ на: комментарий от ioctl

Computrace, как пишут, требует Windows для нормальной работы

Пишут - ссылаясь на старую документацию и копипасты друг друга. Старый Computrace действительно поддерживал только Windows, а новый поддерживает и Linux - по крайней мере Ubuntu 16.04 и Debian 8, и Android если его линуксом назвать можно. Даже на их официальном сайте Absolute некоторые документы есть в открытом доступе, например - https://help.absolute.com/corporate/html5/Content/PDFs/EN/AbsoluteUG.en.pdf . Вывод: без опенсорсного биоса от зондов далеко не убежишь

Вообще, я исхожу из того, что любой нормальный зонд продвигается под видом каких-то якобы полезных функций, чтобы пользователи за него ещё и платили с удовольствием.

У всех этих зондовых функций есть двойное назначение. Удалённое управление компьютером - удобно для админов которым нужно администрировать много компов, например удалённо поменять настройки в UEFI или когда нужно продвинуть загрузку дальше если при перезагрузке комп застрял на экране BIOS'а «No keyboard present, Press F1 to continue». Или если комп с корпоративными секретами был украден: выяснить его местоположение, получить фотографию злоумышленника с вэбки + может быть скопировать какие-то новые файлы созданные злоумышленником, затем удалённо стереть всю конфиденциальную информацию и заблокировать процессор... Но эти же самые функции, которые в примерах выше использовались во благо, - можно применять и для шпионажа и, возможно, для окирпичивания большинства компьютеров в стране вероятного противника в случае весьма серьёзного обострения отношений или войны

Я правильно понимаю, что ноуты от System76 тоже могу содержать какую-то пакость в uefi, ну или получить её с обновлением прошивки (если оно будет разрешено)?

Ноуты от System76 не являются чем-нибудь особенным в плане прошивок или зондовости: обычные ноуты для тех, кто готов переплатить за гарантию работоспособности всех аппаратных функций в Linux из коробки. Хотя на большинстве ноутов и так почти всё работает если пользователь не криворук, разве что какой-нибудь дурацкий сканер отпечатков пальцев может не работать или прочая периферия без которой вполне можно прожить

я понимаю, что у тебя высокие требования к ноутбукам, но ты вряд ли найдёшь по-настоящему крутой по железу ноут который будет к тому же ещё и беззондовым. Поэтому можешь просто завести два ноута для разных задач: один - крутой но с зондами, а другой - «неочень» зато без зондов

Учитывая ограниченный функционал таких троянов, достаточно ли будет шифровать диск с помощью Linux, чтобы не дать им возможности работать?

Если я правильно понимаю, эти «агенты» как бы прицепляются к твоему ядру Linux, и соответственно после того как ты загрузился в Linux и примонтировал зашифрованный раздел - у них тоже будет доступ туда. То есть с таким железом возможно тебе придётся сидеть на каких-то странных дистрибутивах со странно сконфигурированными ядрами в надежде что у «агентов» что-то там не поддерживается и они не смогут работать, или вообще бежать на какое-нибудь BSD - по крайней мере в открытых источниках я пока не видел никакой информации о совместимости Computrace с BSD, правда это тоже ничего не гарантирует

SakuraKun ★★★★★
()
Ответ на: комментарий от exst

Видел в магазине ДНС в ТЦ Мозайка, м. Дубровка.

Спасибо. Съезжу посмотреть ради любопытства. Хотя после того, что я тут прочитал, новый ноут покупать расхотелось. Разве что буду в фоне следить за темой.

А пока наверно посижу ещё на стареньком Latitude 10-и летней давности; надо только новую батарею купить, чтобы можно было от розетки до розетки добежать. Computrace (оказывается, он у меня был!) и прочее в BIOS поотключал. Сам BIOS, если не путаю, собран в 2007 году, обновлять его не буду.

Надеюсь старые трояны с новым Linux окажутся не совместимы.

ioctl
() автор топика
Ответ на: комментарий от ioctl

Съезжу посмотреть ради любопытства.

Сходил. У них там модель XPS 13 на Core i7-7500U, стоит около 1E5 рублей. В ней такой опции нет. Говорят, есть в более новых, но они существенно дороже (казалось бы, куда уж?). Хотя могу предположить, что и в старых такая возможность появится после обновления BIOS.

Как-то так.

ioctl
() автор топика
22 июля 2018 г.
Ответ на: комментарий от anonymous

На хоботовском форуме ещё месяц назад про эти дыры писали.
Основные вендоры их уже залепили.

anonymous
()
Ответ на: комментарий от anonymous

Ну как бы да. Но старые камни оставили как есть. Наверно больше не дам денег интелу, амд меня пока так сильно не разочаровывал ещё. https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-001...

Как там RISC-V поживает? Бюджет 1000 у.е. Софт ещё не начали оптимизировать под него? Где графические ускорители брать?

anonymous
()
Ответ на: комментарий от anonymous

Как там RISC-V поживает? Бюджет 1000 у.е. Софт ещё не начали оптимизировать под него?

RISC-V находится на самом начальном этапе. И это, RISC-V это система команд (т.е. ISA).
В реальный кремний тоже могут зонды вставить, если что.

anonymous
()
3 января 2019 г.
Ответ на: комментарий от ioctl

Не знал о таком. Как я понял, возможностей у UEFI-шных зондов сильно меньше, чем у ME. Computrace, как пишут, требует Windows для нормальной работы.

Не выдумывай, виртуалка в нулевом ринге, ей пофик какая ось у тебя будет крутиться из списка уже поддерживаемых или поддерживаемых в будущем.

Вообще, я исхожу из того, что любой нормальный зонд продвигается под видом каких-то якобы полезных функций, чтобы пользователи за него ещё и платили с удовольствием.

Спонсоры самых зондированных зондов не нуждаются в подаяниях.

Хотя, конечно, это не обязательно.

Верно :)

Я правильно понимаю, что ноуты от System76 тоже могу содержать какую-то пакость в uefi, ну или получить её с обновлением прошивки (если оно будет разрешено)?

Даже в старинном BIOS может быть куча пакостей. С обновлением прошивки тобой или кем-нибудь пока тебя нет рядом с устройством, или для некоторых даже по сетке, функционал трояна может увеличиваться, да.

Учитывая ограниченный функционал таких троянов, достаточно ли будет шифровать диск с помощью Linux, чтобы не дать им возможности работать?

Конечно достаточно, потому что затрояненая прошивка HDD может похерить все его содержимое в час Х, даже при подключении просто к только питанию на совсем другом чистом (таких уже почти нету) компе. А до этого такая прошивка HDD может выдавать хорошие и разные бутсектора со ссылками на тело трояна, чтобы он попадал в нулевой ринг даже на либребутнутых или корбутнутых материнках.

anonymous
()
Ответ на: комментарий от anonymous

Наверно, поэтому как минимум загрузчик типа GRUB надо держать в ПЗУ,

стоит ли пихать в ПЗУ ядро с initrd мне пока непонятно.

anonymous
()
Ответ на: комментарий от anonymous

По этой же причине устройства с прошивкой внутри типа HDD не очень подходят для бэкапов.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.