The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)

02.05.2017 10:09

Компания Intel сообщила об устранении критической уязвимости, позволяющей непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием. Проблема затрагивает серверные системы с чипами, предоставляющими независимые интерфейсы Intel Active Management Technology (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology (SBT), применяемые для мониторинга и управления оборудованием. Утверждается, что уязвимость проявляется в версиях прошивок с 6 по 11.6 включительно. Персональные компьютеры на чипах Intel проблеме не подвержены.

Описывается два возможных вектора атаки - сетевой и локальный. При сетевой атаке злоумышленник может получить привилегии для управления системой через AMT и ISM (сетевые порты 16992 и 16993, проброс на которые осуществляется автоматически без обработчика на уровне ОС), а при локальной атаке доступ можно получить через локальное обращение к интерфейсам AMT, ISM и SBT. В обычных условиях вход в интерфейс AMT защищён паролем, но рассматриваемая уязвимость позволяет получить доступ без пароля. Атака возможна только при явном включении AMT, а для локальной атаки непривилегированным пользователем в системе должны быть активированы специальные драйверы. Детали о методе эксплуатации пока остаются неопубликованными.

Интерфейс AMT позволяет получить доступ к функциям управления питанием, мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д. Предоставляемых интерфейсов достаточно для проведения атак, применяемых при наличии физического доступа к системе, например, можно загрузить Live-систему и внести из неё изменения в основную систему. В настоящее время сервис Shodan находит около 7 тысяч хостов с открытыми сетевыми портами 16992 и 16993, что относительно немного.

Для пользователей, которые не имеют возможность установить обновление прошивки подготовлено руководство с описанием обходных путей решения проблемы. В частности для блокирования удалённых атак рассказано как отключить обработку сетевых запросов (перевод в состояние UnConfigure), а для защиты от проведения локальных атак указано как отключить сервисы LMS (Local Manageability Service, применяются на серверах под управлением Windows). Определить наличие поддержки AMT из Linux можно командной 'lspci| grep -E "MEI|HECI"', если один из данных контроллеров присутствует, то следует убедиться в BIOS (ctrl+p при загрузке), что он не активирован.

Напомним, что современные чипсеты Intel оснащены отдельным микропроцессором Management Engine, работающим независимо от CPU и операционной системы. На Management Engine вынесено выполнение задач, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM), реализации модулей TPM (Trusted Platform Module) и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Примечательно, что Фонд СПО несколько лет назад предупреждал о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям обеспечения приватности и свободы пользователей. Кроме того, Йоанна Рутковская (Joanna Rutkowska) развивала проект по созданию ноутбука, не сохраняющего состояние (stateless), для обеспечения блокировки скрытого доступа к информации пользователя из аппаратных компонентов, подобных Management Engine.

Дополнение от 5 мая: Раскрыты детали эксплуатации уязвимости. Из-за ошибки в коде проверки маски при аутентификации методом HTTP Digest, вход в интерфейс AMT возможен при указании пользователя "admin" и любого пароля, если в браузере настроена работа через прокси (например, "127.0.0.1:16992"). Суть проблемы в том, что для проверки корректности параметров аутентификации используется функция strncmp(), в которой по ошибке в поле размера сравниваемой строки, указана длина переданного пользователем параметра "response=", а не исходных данных аутентификации. Таким образом, если пользователем не переданы данные, то осуществляется выполнение операции вида strncmp(a,b,0), которая вернёт значение TRUE.

Например:


   Authorization: Digest username="admin",
      realm="Digest:048A0000000000000000000000000000",
      nonce="qTILAAUFAAAjY7rDwLSmxFCq5EJ3pH/n", uri="/index.htm", response="",
      qop=auth, nc=00000001, cnonce="60513ab58858482c"


  1. Главная ссылка к новости (http://mjg59.dreamwidth.org/48...)
  2. OpenNews: Уязвимость в UEFI-прошивках, позволяющая выполнить код в режиме SMM
  3. OpenNews: Концепция stateless-ноутбука, защищённого от аппаратных бэкдоров
  4. OpenNews: Оценка возможности создания аппаратных бэкдоров, работающих на транзисторном уровне
  5. OpenNews: Семь уязвимостей в IPMI-прошивках Supermicro
  6. OpenNews: CoreBoot не сможет работать с новыми чипами Haswell и Broadwell от Intel
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/46482-intel
Ключевые слова: intel, amt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (132) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:44, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    дождались)
     
     
  • 2.37, Аноним (-), 14:18, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    а ведь "Примечательно, что Фонд СПО несколько лет назад предупреждал о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям обеспечения приватности и свободы пользователей" ..
     

  • 1.2, Аноним (-), 11:00, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +35 +/
    > низкоуровневые интерфейсы для мониторинга и управления

    Это называется бэкдор.

     
     
  • 2.90, Джо (?), 21:04, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну так-то это довольно прикольная вещь, если ли б не несколько недостатков, вроде проприетарности и довольно непростой настройки (из-за требований безопасности). Это похоже на такой способ подсадить пользователей на свое чуть более дорогое железо. Я работал с этим API где-то до версии 5.
     

  • 1.3, Hellraiser (??), 11:08, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +40 +/
    наверно правильнее так - "Intel перепрятал удалённую уязвимость в технологии AMT"
     
     
  • 2.6, Анонимус_б6_выпуск_3 (?), 11:24, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    читаешь мысли
     
  • 2.11, Andrey Mitrofanov (?), 12:15, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > наверно правильнее так - "Intel перепрятал удалённую уязвимость в технологии AMT"

    " Мы знаем, что вы любите искать ^W неожиданно находить удалённые уязвимости в Технологии Удалённой Уязвимости(tm) Intel(r)! Поэтому мы переплятали засвеченную удалённую уязвимость в Технологии Удалённой Уязвимости(tm) Intel(r) -- для вашего удовольствия. "

     
     
  • 3.26, Аноним (-), 13:22, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо, Intel! Уже 10 лет ищу вашу уязвимость! Где же вы спрятали её на этот раз? Это так весело искать уязвимости в железе!
     

  • 1.4, Гость (??), 11:18, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Epic Fail - уязвимость в технологии, которая призвана защищать компьютер на "железном" уровне.
     
     
  • 2.5, Аноним (-), 11:21, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Intel
    > призвана защищать компьютер

    Ты правда в это веришь? А ты наивный.

     
     
  • 3.7, Аноним (-), 11:38, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    конечно же он призван защитить компьютер.

    только не от всех.

     
     
  • 4.9, Аноним (-), 12:09, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > только не от всех.

    Он призван следить за пользователем. Когда вы это уже поймёте? Оглянитесь вокруг и поймите, где вы живёте.

     
     
  • 5.59, прохожий (?), 17:30, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    оглянулся, живу в сарае, езжу на лифте 37 лет отроду, но боюсь конечно только исключительно за слежку за собой через комп
     
     
  • 6.78, Аноним (-), 19:22, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > оглянулся, живу в сарае, езжу на лифте 37 лет отроду, но боюсь
    > конечно только исключительно за слежку за собой через комп

    Лол, наивный  как чукотский мальчик. Ты думаешь, если у тебя нет электроники за тобой не следят? Не беспокойся, скоро всех обязуют иметь интернет для оплаты каких-нибудь коммунальных услуг. Вот тогда заживёшь! /s

     
     
  • 7.85, Аноним (-), 20:47, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не беспокойся, скоро всех обязуют иметь интернет для оплаты каких-нибудь коммунальных услуг.

    Они - это мы.

     
  • 4.22, dimqua (ok), 13:09, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гарантировано защищает компьютер от его пользователя.
     
  • 3.8, Гость (??), 11:51, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это https://habrahabr.ru/company/dsec/blog/278549/#comment_8804945 для тебя - посмейся еще.
     
     
  • 4.10, Аноним (-), 12:10, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это https://habrahabr.ru/company/dsec/blog/278549/#comment_8804945 для тебя - посмейся
    > еще.

    Да я знаю всё это, и мне не смешно. Правда у меня процик до 2008 выпущен и IME там нет. Так что мимо.

     
     
  • 5.29, Гость (??), 13:34, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.wikipedia.org/wiki/Active_Management_Technology - "Технология доступна в настольных ПК на базе процессоров Intel Core 2 и ноутбуках на базе процессоров Intel Centrino с технологией Intel vPro". Скорее всего и вы тоже "под колпаком".
     
     
  • 6.51, Аноним (-), 16:31, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Скорее всего и вы тоже "под колпаком".

    На 4 пне? Нет. :D Шучу, конечно.
    К тому же моего чипсета нет в списке, и AMT и IME нет у меня. У меня довольно древний кор и старая материнка, на которой даже разгон не поддерживается, не говоря уж о всяких других ненужных технологиях интел.

     
  • 4.15, Аноним (-), 12:31, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ух ты. Это фатальная угроза для котиков и блекджека с секретутками на компьютере школьника.
     
     
  • 5.17, Аноним (-), 12:33, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ух ты. Это фатальная угроза для котиков и блекджека с секретутками на
    > компьютере школьника.

    А, то есть тебе нравится, когда за тобой следят? Так давай тебе камеры в квартире повесим, тебя чипуем. Хочешь сказать, нормально?

     
     
  • 6.19, Аноним (-), 12:52, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А, то есть тебе нравится, когда за тобой следят? Так давай тебе
    > камеры в квартире повесим, тебя чипуем. Хочешь сказать, нормально?

    может быть этот человек эксгибиционист?
    тогда от ваших примеров у него фантазия только разыграется

     
  • 5.30, Гость (??), 13:37, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну если тебе нечего скрывать, то сделай копии своих ключей от квартиры и отнеси участковому, а логины и пароли - в местную ФСБ. Также держи открытыми двери, а летом и окна. Можешь стены стеклянные сделать и камеры везде повесить с прямой трансляцией в YouTube.
     
     
  • 6.39, YetAnotherOnanym (ok), 14:24, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > с прямой трансляцией в YouTube

    В "Перископ" же!

     
  • 6.46, Аноним (-), 15:54, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Из

    "Мне безразлично если кто-то получит несанкционированный доступ к моему компьютеру"

    не следует

    "поэтому я выложил всё содержимое компьютера на торренты"

    Но да, мне действительно безразлично. Для конфиденциальных данных у меня мини-ПК без доступа в сеть (даже локальную), где зашифрованные документы заархивированы в запароленные архивы и хранятся на криптодисках. Моя паранойя довольна. Домашний бюджет за несколько лет, планы на лето, пароли от домашнего WiFi - они под надёжной защитой.

     
     
  • 7.50, _ (??), 16:15, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком красиво чтобы быть правдой.
    Люди - ленивые. тчк. И того что ты написал - в реале никто не делает, если это не работа :)
    Да и поздно пить боржоми! Со смартфоном ты что сделаешь? С умным теликом?
    Скоро появятся умные холодильники и унитазы. И весь их "ум" пойдёт на то чтобы "ктонада" знал что ты ешь, чем ты ср**ь, с кем и как ты спишь, что смотришь\слушаешь, маршруты движения, круг друзей ... Прозрачная золотая клетка :(
     
     
  • 8.138, count0krsk (ok), 11:45, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так не подключайте их к инету Мои телефоны в инет не ходят, не положено Соотве... текст свёрнут, показать
     
  • 7.54, Гость (??), 16:50, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Изначально подразумевалось, что человек в принципе ничего не скрывает о себе, а не именно содержимое ПК.
     
     
  • 8.139, count0krsk (ok), 11:46, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Какой человек Тот, что яйца прибил на Кремлевской площади ... текст свёрнут, показать
     
  • 2.13, Anonplus (?), 12:23, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    AMT это удалённое управление, а не зашита.

    Причём, подозреваю, что для домашнего юзера уязвимость не актуальна, поскольку никакого AMT у него нет (MEI есть, но AMT работает только на Q-чипсетах).

     
     
  • 3.14, Аноним (-), 12:29, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вот не факт, не факт. Кто-то на ноуте AMT отключал на реддите. Причём успешно. Но это был единичный случай.
     
     
  • 4.16, Аноним (-), 12:32, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Таки не только Q-чипсеты:

    GM45 / PM45
    GM965 / GME965 / GL960 / GLE960 / PM965

     
     
  • 5.73, Anonplus (?), 19:12, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, это старые, ещё до разделения на B/Q/H/Z-ветки
     
  • 3.40, Аноним (-), 14:28, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > ls /dev/mei0 -al
    > crw------- 1 root root 246, 0 May  2  2017 /dev/mei0
     
     
  • 4.52, Аноним (-), 16:32, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    $ ls /dev/mei0 -al
    ls: невозможно получить доступ к '/dev/mei0': Нет такого файла или каталога

    Он может как-то по другому называться?

     
  • 4.140, count0krsk (ok), 11:49, 26/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> ls /dev/mei0 -al
    >> crw------- 1 root root 246, 0 May  2  2017 /dev/mei0
     
  • 2.83, Oinari (ok), 20:27, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >призвана защищать компьютер

    От пользователя?

     

  • 1.12, Allin (??), 12:23, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Начиная примерно с 2010 года люди не хозяева своим машинам. Management Engine - причина считать всю криптографию по умолчанию скомпрометированной.
     
     
  • 2.21, Аноним (-), 13:03, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    троянская установка через микрофон, генерация видеокартой шума коррелирующего после дешифровки и дискретизации с состояниями фреймбуфера, что там еще из современного киберпанка?
     
     
  • 3.31, Гость (??), 13:41, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Только пакет "intel-microcode" или "amd-microcode" все же должен быть установлен.
     
     
  • 4.48, Аноним (-), 15:59, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Узнай наконец что такое RISC, CISC, ошибка Pentium FDIV, и как микрокод с ними всеми связан.
     
     
  • 5.55, Гость (??), 16:52, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты наверное и комп покупал не для работы, а чтобы что-то доказать окружающим.
     
     
  • 6.56, Аноним (-), 16:57, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это написано в инструкции по эксплуатации, которую большинство выбрасывает не читая. Они же ведь такие "умные"...
     
     
  • 7.62, Гость (??), 17:46, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Узнай наконец что такое RISC, CISC, ошибка Pentium FDIV, и как микрокод с ними всеми связан.

    Об этом написано в инструкции? Что употребляешь?

     

  • 1.18, manster (ok), 12:38, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что там про AMD слышно?
     
     
  • 2.20, Аноним (-), 13:03, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что там про AMD слышно?

    там те же 'яйца', только называются по другому

     
     
  • 3.34, h31 (ok), 14:09, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там всё немного сложнее. В Bulldozer этот компонент открыт и его можно отключить (ЕМНИП). В Ryzen - уже нет. Знаю несколько людей, которые купили себе Оптероны (в десктопы!) именно из-за возможности отключить всю эту хрень.
     
     
  • 4.134, IY (?), 16:19, 09/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да, я тоже. И это среди специалистов уже вполне приемлемая практика.
    К сожалению, про бэкдоры в новых процессорах молчит даже вики и 90% официальных материалов как у интела, так и у АМД.
     
  • 4.136, Anonymo (?), 12:29, 10/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Каой бульдозер и райзен? PSP только для arm
     
  • 2.27, ryoken (ok), 13:24, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что там про AMD слышно?

    PSP в их диалекте.

     

  • 1.23, Аноним (-), 13:15, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Как отключить эту сатанинскую шнягу?
     
     
  • 2.28, ryoken (ok), 13:25, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Как отключить эту сатанинскую шнягу?

    А никак. Если оно не работает, то ящик самостоятельно заворачивается примерно через полчаса.

     
     
  • 3.33, Аноним (-), 14:00, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И это очень плохо. Вот пацаны год назад пытались бороться с этой шнягой, ничего не вышло.

    https://habrahabr.ru/company/pt/blog/302292/

     
     
  • 4.53, Аноним (-), 16:45, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    http://vpro.by/intel-management-engine

    Ну и какой смысл её отключать? Отключу назло всем и останусь без энергосбережения и переферии (вкл. PCI-X, SATA, USB, встроенный видеоадаптер и пр)?

    Процессор, понятное дело, офигевает от таких желаний и ставит палки в колёса "исследователям".

     
     
  • 5.57, Аноним (-), 17:06, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и какой смысл её отключать?

    Новость не читай, на камменты отвечай!?

    > Отключу назло всем

    Интель и АНБ еще далеко не все.
    > и останусь без энергосбережения и переферии (вкл. PCI-X, SATA, USB, встроенный видеоадаптер и пр)?

    Вполне естественно, что залочили сразу хорошо и глубоко. Как раз, чтобы не отключали кто попало. А то ишь ты, решили запретить доступ интелю к собственной машинке!

     
     
  • 6.63, Аноним (-), 17:55, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Связь Intel AMT и АНБ не доказана Почему залочили изложено по ссылке Дополню... большой текст свёрнут, показать
     
     
  • 7.66, YetAnotherOnanym (ok), 18:33, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > которые (из-за крайнего нежелания коммерческих компаний идти на компромисс с  авторами) были вынужденя вслепую, методом научного тыка разбираться с аппаратными ошибками, чтобы прописать в своих драйверах программное исправление.

    Fixed

     
  • 7.67, пох (?), 18:36, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    теперь расскажите, зачем подобному софту быть наглухо закрытым и недокументирова... большой текст свёрнут, показать
     
     
  • 8.117, ненужноруб (?), 12:58, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если я ничего не путаю, secure boot рекламировали как раз для защиты от такого ... текст свёрнут, показать
     
     
  • 9.128, пох (?), 17:47, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    путаешь - secure boot это защита от подмены загружаемого uefi бинарника К IM ... текст свёрнут, показать
     
  • 7.69, Гость (??), 18:49, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Связь Intel AMT и АНБ не доказана

    Вы ждете книгу об этом?

    > нужно сказать "спасибо" опенсорсным драйверам

    А это-то тут причем?

    > из-за крайнего нежелания авторов идти на компромисс с коммерческой компанией

    В "винде" эта "защита" от Intel тоже работает.

     
  • 7.135, IY (?), 16:20, 09/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Связь Intel AMT и АНБ не доказана.

    Вообще-то она никогда и не требовала быть доказанной. Просто она есть.

     
  • 6.65, пох (?), 17:58, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вполне естественно, что залочили сразу хорошо и глубоко.

    сразу - не очень и неглубоко. Иначе бы автоперезагрузка была не нужна.
    Но сейчас там, как я понимаю, уже знатный кусок acpi, и, скорее всего, скоро будет действительно в принципе невозможно обойтись без этого функционала.

    забавно, что, судя по интеловской инструкции, amt тоже неотключаем - "unconfigured" это как-то плохо похоже на отключение.

     
  • 2.86, NoOn3 (?), 20:49, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://hardenedlinux.github.io/firmware/2016/11/17/neutralize_ME_firmware_on_
     
  • 2.94, Аноним (-), 22:11, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Полностью думаю никак нельзя, но вот тут пробуют выключить некоторые части, что-бы вся система не работала - https://github.com/corna/me_cleaner
     
  • 2.110, Andrey Mitrofanov (?), 07:48, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Как отключить эту сатанинскую шнягу?

    https://puri.sm/learn/intel-me/

    Некоторые пробуют...

     

  • 1.25, ненужноруб (?), 13:18, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >уязвимости

    Они делают вид, что это не by design.

     
  • 1.35, Аноним (-), 14:12, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот тут разговор был тоже. даже вроде добились чего-то:
    https://news.ycombinator.com/item?id=13056997
     
  • 1.36, Аноним (-), 14:14, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Осатанеть Открыл https software intel com sites manageability AMT_Implementat... большой текст свёрнут, показать
     
     
  • 2.43, ryoken (ok), 15:03, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Так что внутри любого современного x86 проца работает

    ThreadX
    > с прошивкой, написанной

    ХЗ вообще кем.

     
     
  • 3.98, rob pike (?), 22:31, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> с прошивкой, написанной
    > ХЗ вообще кем.

    Наверное все-таки известно кем, вряд ли АНБ и подобные организации не проводили для себя аудита этого кода.

     
  • 2.44, Гость (??), 15:34, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Многие дистрибутивы поставляющиеся с включённым драйвером в конфиге ядра

    "intel-microcode" все-таки должен быть установлен.

     
  • 2.74, Anonplus (?), 19:13, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я вам больше скажу, начиная с чипсетов 1xx (H110 и выше) ME умеет в NFC (!).
     
     
  • 3.97, rob pike (?), 22:27, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вам больше скажу, начиная с чипсетов 1xx (H110 и выше) ME
    > умеет в NFC (!).

    Можно подробностей? Они хотя бы антенну внутрь чипа не встроили еще?

     

  • 1.38, Аноним (-), 14:21, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    помню когда-то я ломал голову, почему на роутере в таблице arp у моего компа 2 ип адреса, про один из которых ос не знала вообще.
    оказалось это амт работает. поменял мать на нормальную :)
     
     
  • 2.68, ryoken (ok), 18:49, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > оказалось это амт работает. поменял мать на нормальную :)

    А "нормальная" это что? (Я вот тут сильно начинаю думать, что ширпотребные платы под Ынтель\АМД  в данном смысле все поголовно ненормальны. А на рекламируемую Power-овскую копить как-то долговато :) ).

     
     
  • 3.79, Аноним (-), 20:07, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    взял какую-то геймерскую без сабжевой штуки. то что там МЕ тоже есть - это да. но оно хотябы теперь в сеть само по себе не лезет (хотя кто его знает, что за нагромождения индусокода там крутятся в чипсете).
     
     
  • 4.81, пох (?), 20:16, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > взял какую-то геймерскую без сабжевой штуки. то что там МЕ тоже есть - это да. но оно
    > хотябы теперь в сеть само по себе не лезет

    засада именно в том, что лезет - ну, в смысле, "аппарат есть".

    То есть AMT у тебя нету (которая для того чтобы _ты_ _из_сети_ мог к ней прилезть, если что-то пошло не так, и это-то, само по себе, было бы неплохой фишкой...слишком неплохой, думает интел, чтобы дать ее тебе забесплатно), а доступ MEшной механики к сетевым интерфейсам вполне себе есть - захочет, поднимет скрытый туннель куда-нибудь.

    > (хотя кто его знает, что за нагромождения индусокода там крутятся в чипсете).

    конкретно этот факт никто и не скрывает.
    То есть глазик ты себе выколол, чтоб у тещи зять кривой был, но интелу с того не особо жарко или холодно.


     

  • 1.45, Аноним (45), 15:45, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я тут один чтоль сижу на Libreboot X200 и Libreboot T400?
     
     
  • 2.47, Гость (??), 15:57, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Только что-то ценник http://savepic.ru/13774956.jpg за "свободу" негуманный.
     
     
  • 3.119, Аноним (-), 13:50, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    за свободу нужно платить
    особенно много приходится платить в тех случаях, когда остальным на нее наплевать
     
     
  • 4.124, Дима (??), 21:18, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хрен с ним с ценой, эти либребуты имеют ужасное железо. Ну где это видано такое разрешения монитора, к примеру?
     
     
  • 5.131, JL2001 (ok), 08:19, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Хрен с ним с ценой, эти либребуты имеют ужасное железо. Ну где
    > это видано такое разрешения монитора, к примеру?

    реально не понятно - очень часто в устройствах "для (открытого) линукса" не только всякие проц/видяха хреновые (это то объяснимо если эти вариации "без загрузки через гпу"), но и оперативки полметра и остальное - как с помойки 20летней давности но с ценами как за винтаж

     
     
  • 6.132, JL2001 (ok), 08:21, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Хрен с ним с ценой, эти либребуты имеют ужасное железо. Ну где
    >> это видано такое разрешения монитора, к примеру?
    > реально не понятно - очень часто в устройствах "для (открытого) линукса" не
    > только всякие проц/видяха хреновые (это то объяснимо если эти вариации "без
    > загрузки через гпу"), но и оперативки полметра и остальное - как
    > с помойки 20летней давности но с ценами как за винтаж

    тоесть и денег заплатить готов, но не за калькулятор если не счёты без костяшек же ?!!! а нету нихрена, и то что есть - делают на отыись

     
  • 2.89, Аноним (-), 20:57, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я тут один чтоль сижу на Libreboot X200 и Libreboot T400?

    Как минимум еще один есть... :-)

     

  • 1.58, Аноним (-), 17:21, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    из оффсайта пишут,что уязвимости подвержены прошивки начиная с 6 версии тоесть все что выше Q45 чипсета.
     
     
  • 2.120, Аноним (-), 13:51, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > из оффсайта

    на оф. сайте

     

  • 1.60, Аноним (-), 17:38, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Больше, больше паранойи! А была ли вообще уязвимость? Может интелу понадобилось задеплоить новый бекдор, и вот таким образом стимулируют юзеров обновиться? Информации-то подробной об "уязвимости" нет, одни общие слова.
     
     
  • 2.70, Аноним (-), 18:52, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Прям как у windows
     
     
  • 3.109, ryoken (ok), 07:41, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Прям как у windows

    Слово такое есть ругательное, "wintel", слыхали? :)

     
  • 2.87, Аноним (-), 20:50, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Информации-то подробной об "уязвимости" нет, одни общие слова.

    Агент Intel, залогиньтесь. /s

    Полно инфы, и даже есть инфа как отключить это дело, но работает это только на некоторых моделях ноутов.


     

  • 1.61, Аноним (-), 17:41, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На ноуте Lenovo G780:
    $ lspci| grep -E "MEI|HECI"
    00:16.0 Communication controller: Intel Corporation 7 Series/C216 Chipset Family MEI Controller #1 (rev 04)
    $ ls /dev/mei0 -al
    crw------- 1 root root 245, 0 апр 23 17:34 /dev/mei0

    "Уже установлен пакет intel-microcode самой новой версии (3.20161104.1)"

    Еду в Магадан?

     
     
  • 2.84, Аноним (-), 20:44, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    $ lspci| grep -E "MEI|HECI"
    $ ls /dev/mei0 -al
    ls: невозможно получить доступ к '/dev/mei0': Нет такого файла или каталога
    $ apt policy intel-microcode
    intel-microcode:
      Установлен: (отсутствует)
      Кандидат:   3.20161104.1
      Таблица версий:
         3.20161104.1 500
            500 http://mirror.yandex.ru/debian stretch/non-free amd64 Packages


    > Еду в Магадан?

    Получается, что да.

     
     
  • 3.114, Аноним (-), 11:54, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Отсутствие /dev/mei0 означает только то, что у вас нет доступа к (ограниченному) интерфейсу управлению этой дрянью. AMT всё также доступен из ring 0, а до тех пор пока используется интегрированная интеловская сетевуха, - то и извне.
     

  • 1.71, Grahamberdg (ok), 18:57, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Класс
     
  • 1.72, Аноним (-), 19:07, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если внешнюю сетевую карту воткнуть, оно будет доступно?
     
     
  • 2.75, Anonplus (?), 19:15, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А если внешнюю сетевую карту воткнуть, оно будет доступно?

    https://habrahabr.ru/company/dsec/blog/282546/#comment_8872178

     
     
  • 3.77, Anonplus (?), 19:18, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Проще говоря, если у вас сетевой чип, распаянный на материнке (физически он сидит на PCI-E x1), но не интеловский, то, вероятно (но не точно) ME не имеет к нему внеполосный доступ.

    Забавно, что все "типа-про-геймеры" хают реалтековские чипы и дрочат как раз на интеловские.

     
     
  • 4.80, пох (?), 20:07, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Забавно, что все "типа-про-геймеры" хают реалтековские чипы и дрочат как раз на

    просто "про" - что характерно, тоже.
    > интеловские.

    а что, другие есть?

    Вам [гига]битики передавать или бороться за все хорошее против всей х..ни? Если первое, то увы - кроме рылотыков, хуже и уродливее которых не найти за всю историю, когда выбор еще был, их выбирали те кто "чтоб денег вообще не платить", остались broadcom (вы его не хотите, а захотите так не купите, oem-only), интел, китайский интел и куча устаревшего хлама.

    Это примерно как героическая борьба за libreboot - за миллион денег, по факту, получаем древний-древний ленововский ноут, который я и от леновы, за нормальную цену, на свои деньги покупать бы побрезговал. Причем часть начинки в нем не работает.

     
     
  • 5.82, Аноним (45), 20:26, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не понял последнюю цитату...
    А что плохого в X60/T60/X200/T400/T500/X220 ?
    Да, после установки libreboot нужно поставить совместимый wi-fi-модуль... И всё. Камера, сканер отпечатка пальца, bluetooth и всё остальное работает с linux-libre.
    И зачем покупать за миллион денег? Хотите поддержать проект - покупаете. Если же просто хотите для себя сделать, покупаете программатор, прищепку на чип, провода, блок на 3.3Вольта и вперед...
     
     
  • 6.95, rob pike (?), 22:14, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А что плохого в X60/T60/X200/T400/T500/X220 ?

    Не макбук, видимо. Товарищ, возможно, в душе немного вейпер и может быть даже чуть-чуть веган-велосипедист.

    С х230 libreboot так пока что и не работает как следует? На них научились ставить человеческие клавиатуры от 220, спасибо упорству отдельных людей, https://linux.conf.au/schedule/presentation/48/
    С экранами тоже есть варианты, но пока не с tablet-версией.
    Хотя такого экрана как 1400х1050 у x61t уже наверное не будет.

    > Да, после установки libreboot нужно поставить совместимый wi-fi-модуль.

    Модуль wi-fi, работающий без закрытого блоба, существует в природе практически один.

     
     
  • 7.102, пох (?), 23:46, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Модуль wi-fi, работающий без закрытого блоба, существует в природе практически один.

    и, дайте угадаю, даже младшего 'n' толком не умеет, сидите на своих 54mb ?

    (еще один плевок в сторону леновы с ее интелом 2010го года)

     
     
  • 8.105, rob pike (?), 00:08, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Мало ли что там в комплекте идёт Не макбук, не припаяно ... текст свёрнут, показать
     
     
  • 9.127, Аноним (-), 15:16, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    я пытался поменять вифи в ленововском ноуте - биос сказал фигня какая-то непод... текст свёрнут, показать
     
     
  • 10.130, Анином (?), 05:25, 05/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Надо в антимонопольный комитет подать жалобу ... текст свёрнут, показать
     
  • 8.106, Аноним (-), 00:56, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Речь видимо о модуле ядра ath9k Он поддерживает практически всю линейку wifi-мо... текст свёрнут, показать
     
  • 6.100, пох (?), 23:35, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что плохого в X60/T60/X200/T400/T500/X220

    ну, могу только за T60 и x220 - остальными мало пользовался.
    Первый у меня был прикован цепью к столу, и я довольно быстро забыл от нее код - все равно использовать ЭТО в качестве носимого устройства не было ни малейшего желания.
    То есть как десктопная машинка он был бы относительно ничего, если бы имел дырку для внешнего дисплея, отличную от vga, памяти больше 4G (все это было актуально уже в том 2007м когда эта штука еще производилась, ага) и процессор повеселее (но для тех лет приемлемо). Первая проблема, наверное, решалась через док (с неприятными лимитами на число точек), но я не хочу видеть этот ужас-ужас и знать о его цене тем более. К тому же либребутом он вряд ли поддерживаетсо.
    Зато там был fireGL, это последняя модель, где такое(+нормальная матрица) есть.

    Последний - это уже типичнейший китай. Причем это китай 2011го года. Все на соплях, лампочку подсветки кнопок в моей модели пожабились поставить, клавиатура...как у всех, в общем, можно, наверное, привыкнуть, но ну его нафиг. И интеловское видео второго поколения (то которое 3000), ну то есть вот на работе пофиг, а дома я такое не хочу точно. Оно уже оборудовано display port (отдельное фе), но с 4k монитором "почему-то" рисует черный экран.

    а, да - у обоих любимый ебеме тачпад, за который хочется убить отдельно (как и за то что штатный виндодрайвер эмулирует не трехкнопочную мышь, а непонятное уродство)

    не, ну вы правда такую херню за килоевру собрались купить?

    > Если же просто хотите для себя сделать, покупаете программатор, прищепку на чип,
    > провода, блок на 3.3Вольта и вперед...

    куда вперед - где я зимой негра-то достану? В смысле - где вы брать T60 будете, и во что он обойдется со своей ddr2 памятью по цене золотого слитка того же размера и уникальными процессорами T-серии?

     
     
  • 7.103, rob pike (?), 23:57, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > забыл от нее код - все равно использовать ЭТО в качестве
    > носимого устройства не было ни малейшего желания.

    А что именно мешало? Возможность захватить с собой столько сколько нужно аккумуляторов, и таких каких нужно? Недостаточно скользкие поверхности? Слишком высокая прочность?

    > Первая проблема, наверное, решалась через док (с неприятными лимитами на число
    > точек), но я не хочу видеть этот ужас-ужас и знать о
    > его цене тем более.

    В чем же проблема с доком? В чем именно "ужас"? Вас расстраивает само его существование? Вы предпочли бы ноутбук, который не умеет в док-станции вообще? Вы любите постоянно перетыкать провода?

    > К тому же либребутом он вряд ли поддерживаетсо.

    Чему же там не поддерживаться?

    > Последний - это уже типичнейший китай. Причем это китай 2011го года.

    Прогресс не стоит на месте. У всех производителей.

    > клавиатура...как у всех, в общем

    Oh really? Перечислите пожалуйста этих "всех" у кого такая же клавиатура.

    > И интеловское видео второго поколения (то которое 3000), ну то есть
    > вот на работе пофиг, а дома я такое не хочу точно.

    Внешняя видеокарта, если Вам зачем-то это нужно, решает проблему.

    > Оно уже оборудовано display port (отдельное фе)

    Вы предпочли бы что именно вместо него?

    > но с 4k монитором "почему-то" рисует черный экран.

    2560x1600 на 60Hz, выше - меньше.

    > а, да - у обоих любимый ебеме тачпад, за который хочется убить

    Отключается в BIOS. Совсем. Один раз.
    Раньше была опция "совсем не устанавливать это в мой ноутбук" прямо на сайте в выборе конфигурации, но ко времени 220 уже убрали.

    > куда вперед - где я зимой негра-то достану? В смысле - где
    > вы брать T60 будете

    На eBay, например.

    > и во что он обойдется со своей ddr2 памятью по цене золотого слитка того же размера и уникальными процессорами T-серии?

    Всё доступно, Гугл в одном нажатии клавиши от Вас.

     
     
  • 8.121, пох (?), 14:21, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отсутствие у этого чемодана ручки и колесиков вы 60-чный док видели вообще А п... большой текст свёрнут, показать
     
  • 5.118, Anonplus (?), 13:20, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вам [гига]битики передавать или бороться за все хорошее против всей х..ни?

    Мне котиков на ютубе смотреть через 20-мегабитный канал и в онлайн-игры шпилить.
    Для этих целей у интела есть какое-то различимое преимущество перед реалтеком?
    А броадком у меня был (Atheros, если точнее), на старой плате.

     
     
  • 6.122, пох (?), 14:31, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне котиков на ютубе смотреть через 20-мегабитный канал и в онлайн-игры шпилить.

    мля, ну и дайте вы NSA посмотреть ваших котиков, и поглядеть на шмот в онлайн игре, жалко вам, что-ле? (опять же - хороших пацанов в этом мусоре сложнее будет разглядеть)

    > Для этих целей у интела есть какое-то различимое преимущество перед реалтеком?

    ни малейших. Но если на плате для таких целей интел - так и хрен бы с ним.
    (у меня вон вообще юкон, глюк на глюке и баг на баге - но котикам-то что с тех проблем?)

    проблема-то, что делать если оно для работы, и даже регулярно и всерьез хочется 10G... На выбор остаются интел, интел и интел, ага.

     
  • 4.92, rob pike (?), 22:04, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Забавно, что все "типа-про-геймеры" хают реалтековские чипы и дрочат как раз на
    > интеловские.

    Не только "типа-про-геймеры". Если посмотреть, например, на Хетцнеровский аукцион серверов, то "iNIC" встречается достаточно часто. Это обычно означает что предыдущие арендаторы этого сервера заплатили дополнительные деньги за то что бы им поставили эту интеловскую сетевую карту. Может быть Реалтек и научился наконец делать сетевые адаптеры уже, но мало кому интересно это выяснять.


     
     
  • 5.101, пох (?), 23:39, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Не только "типа-про-геймеры". Если посмотреть, например, на Хетцнеровский аукцион
    > серверов,

    там есть один ньюанс: на рылотыковскую хетзнерскую машину очень, очень неудобно ставить esxi (а шестой, кажется, уже и невозможно)

    > эту интеловскую сетевую карту. Может быть Реалтек и научился наконец делать
    > сетевые адаптеры уже, но мало кому интересно это выяснять.

    не, не научился (а научится - обратно интел выйдет. Чудес-то не бывает). Но вроде как для cheap hosting это не должно быть проблемой, он же не по сетевой дохнет первым.

     
     
  • 6.104, rob pike (?), 00:03, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не только "типа-про-геймеры". Если посмотреть, например, на Хетцнеровский аукцион
    >> серверов,
    > там есть один ньюанс: на рылотыковскую хетзнерскую машину очень, очень неудобно ставить
    > esxi (а шестой, кажется, уже и невозможно)

    Вы думаете дело именно в этом? Хетцнеру можно прислать флэшку, это гораздо дешевле чем платить каждый месяц за опциональное оборудоание в виде интеловской карты.

    > не, не научился (а научится - обратно интел выйдет. Чудес-то не бывает).

    Интел этот рынок почти утерял. Мелланоксу с компанией. LTE - квалкому.

    > Но вроде как для cheap hosting это не должно быть проблемой,
    > он же не по сетевой дохнет первым.

    Дело не в том кто дохнет, дело в том кто как работает пока не сдох.


     
     
  • 7.123, пох (?), 14:42, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы думаете дело именно в этом? Хетцнеру можно прислать флэшку, это гораздо

    там проблема в том, что это неподдерживаемая конфигурация в принципе.
    Драйвер выковыривается откуда-то из древней версии и какими-то ненатуральными телодвижениями впихивается в рабочую. Полагаю, многим достаточно изучить инструкцию, чтобы пойти за апгрейдом.

    > дешевле чем платить каждый месяц за опциональное оборудоание в виде интеловской
    > карты.

    ну если сервер не для красоты, то платишь ты не свои деньги, их гораздо меньше жалко.

    > Интел этот рынок почти утерял. Мелланоксу с компанией. LTE - квалкому.

    ой, не надо - альтернативного сексования с меланоксой тоже никому не пожелаю.
    Оно потом в конце-концов даже работает, но любить ты его за это не будешь. А LTE им, полагаю, не жалко - один геморрой, и все равно на другом конце будет интел - в EPC ;-)

    >> Но вроде как для cheap hosting это не должно быть проблемой,
    >> он же не по сетевой дохнет первым.
    > Дело не в том кто дохнет, дело в том кто как работает
    > пока не сдох.

    ну, у меня их разных есть и было - как-то вот ни разу не доходило до замены риалтека - гораздо раньше по сумме факторов приходилось перетаскивать все в родной московский датацентр на правильную коробку заподорого.
    Потому что правильный рейд плюс правильные диски и желательно еще и на правильной матери в случае хетзнера резко перестают быть дешевым решением, и становится непонятно, зачем эти сложности.

     

  • 1.76, Аноним (-), 19:17, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. Делаем три бэкдора
    2. Даже при обнаружии одного и подозрении на второй - у нас остаётся в запасе третий
    3. ????
    4. Profit
     
  • 1.88, 111 (??), 20:54, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    $ lspci| grep -E "MEI|HECI" && sudo dmidecode | grep 'Family:'

    00:16.0 Communication controller: Intel Corporation 8 Series/C220 Series Chipset

    Family MEI Controller #1 (rev 04)
    Family: Core i7
    Family: ThinkPad W541

     
  • 1.93, Аноним (-), 22:05, 02/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А быть может кто-нибудь знает, где нарыть список процессоров без этой красоты?
    (странно, что такое шикарное достоинство, как наличие security processor'a, нигде не упоминается в спецификациях CPU и его нужно искать по всяким пресс-релизам, рассылкам, форумам и т.д.)
     
     
  • 2.96, rob pike (?), 22:24, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А быть может кто-нибудь знает, где нарыть список процессоров без этой красоты?

    Так берите всё что не от Intel, AMD, и ARM.
    Или старенькое что-нибудь. В наше странное время процессорная мощность локально всё равно совершенно недостаточна для каких-либо серьезных задач, так что опять вернулись к терминалам, только мейнфрейм теперь называется AWS. А для несерьезных наоборот, избыточна, так что хватит и Core2Duo, особенно если памяти побольше для браузера поставить.

     
     
  • 3.99, Аноним (-), 22:35, 02/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Разве что-то сейчас есть не от Intel, AMD, и ARM?

    На старые АМД смотрю, но вот какое дело: старое железо может различаться на пару поколений, а разница в цене будет 10-15 баксов. Поэтому хочется взять максимально свежее, но при этом достаточно старое :) Собрать, так сказать, машинку на следующие 5-7 лет. Там все равно, то-нибудь да произойдет, или падишах сдохнет, или я или ишак.

    А инфы в спецификациях нет...

     
     
  • 4.107, Аноним (-), 03:34, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В интелах есть уязвимость (может эта, может другая) которая работает на процах с 2008-го года по наше время.
    Пысы: Сижу под вин10 на новеньком интеле с уязвимостью, чего и вам желаю)
     
  • 3.111, ryoken (ok), 07:49, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Так берите всё что не от Intel, AMD, и ARM.

    В голову приходит только Power, SPARC & MIPS. Благородный дон случаем не подскажет, где бы на эти вещи хотя бы посмотреть в виде десктопов, на которые современный (7 или 8) Debian можно водрузить?

     
     
  • 4.125, Михрютка (ok), 23:48, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > В голову приходит только Power, SPARC & MIPS. Благородный дон случаем не
    > подскажет, где бы на эти вещи хотя бы посмотреть в виде
    > десктопов, на которые современный (7 или 8) Debian можно водрузить?

    craigslist в разделе "Отдам самовывозом в связи с разводом и выбрасыванием барахла из подвала"


     
  • 4.126, anonim (ok), 00:27, 04/05/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Amiga (PPC 460ex), вполне приличный десктоп по нынешним меркам. На консольку с сериальником хватит.
     
  • 4.133, sakra (ok), 08:43, 07/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > где бы на эти вещи хотя бы посмотреть в виде десктопов, на которые современный (7 или 8) Debian можно водрузить?

    Непонятно троллите (гуглили) ли, но вот MIPS FuLoong Mini-PC с MIPS Longson CPU наверное будет похлеще Амиги, $190:
    http://www.fodomart.com/Mini-PC/Fuloong-Mini-pc-Linux-thin-Client-_75820_p201
    http://www.hamiltone.co.uk/pcs.html

     
  • 3.112, JL2001 (ok), 08:10, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А быть может кто-нибудь знает, где нарыть список процессоров без этой красоты?
    > Так берите всё что не от Intel, AMD, и ARM.

    а у arm эта шняга как называется ? и тоже во всех моделях поголовно ?

    зы: а вообще как я понимаю можно попробовать бороться расставляя программно метки на ЛЮБОЙ И ВЕСЬ трафик генерённый компом и на роутере дропая вообще всё что без метки ?

     
     
  • 4.113, Аноним (-), 10:09, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По-моему надежнее подключаться к роутеру через VPN и запретить на роутере форвардинг в WAN для всего кроме пришедшего с VPN-интерфейса.
     
  • 4.115, Аноним (-), 12:04, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В ARM она называется по разному, но хорошо задокументирована, и как правило не используется. Исключение - самсунговские лопатофоны со своей мега-системой защиты и китайские трояны (там, где китайцам не влом было их встроить).

    Единственная причина, почему ARM считается "надёжнее" x86-based в этом плане - схемы ARM лицензируются, т.е. гораздо больше людей могут быть "в теме", и меньше шанс, что явные закладки вроде сабжа останутся незамеченными.

    Впрочем ARM недавно купили с потрохами китайцы, так что теперь это похоже просто вопрос выбора хозяина.

     
     
  • 5.116, ryoken (ok), 12:27, 03/05/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Впрочем ARM недавно купили с потрохами

    японцы жи!

     

  • 1.129, Аноним (-), 18:35, 04/05/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно, что в статье никак не упомянуто о том, что на странице

    https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languag

    упоминается обнаруживший, зарепортивший и помогающий Intel вероятно русский парень Максим Малютин

    [quote]
    Acknowledgements:

    Intel would like to thank Maksim Malyutin from Embedi for reporting this issue and working with us on coordinated disclosure.
    [/quote]

     
  • 1.141, Иван (??), 01:28, 15/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я же правильно понял, что для удалённого подключения дополнительный, недоступный для ОС, сетевой интерфейс, с отдельным MAC-адресом, должен быть сконфигурирован со статическим или полученным по DHCP IP-адресом? Т. е. подключаться надо на порты не IP-адреса сервера, а на порты IP-адреса его интерфейса управления out-of-band?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру