Man versucht da alles mögliche, macht sich einen riesen Kopf und dann bleibt so ein Scheunentor sperrangelweit offen.
Andererseits scheint mir das wie beim Hidden OS auf dem Smartphone. Damit etwas anzustellen (aus Hacker oder Geheimdienstsicht) ist so aufwändig, dass man diese Liebe nur ausgewählten Personen zukommen läßt. Oder?
Ich habe ein Librem 13 Notebook wo die Intel ME soweit möglich deaktiviert ist. Es gibt auch andere Notebooks wo dies der Fall ist, wenn ich mich recht erinnere bei einigen Notebooks von den Machern der Nitrokeys.
Wird das einfach ignoriert?
…
Oder war schon jemand erfolgreich?
Hast Du mal das Wiki von me-cleaner gelesen, z.B. https://github.com/corna/me_cleaner/wiki/How-to-apply-me_cleaner? Das ist alles andere als trivial. Ja es hat schon mal jemand erfolgreich gemacht. Jemand, der die notwendige Hardware und genug Wissen und Erfahrung hat, um ein ROM zu flashen. Den flasher hätte ich, aber ich riskiere es trotzdem nicht, meinen aktuellen Laptop zu bricken. Mit nem alten Laptops ist das was anderes, aber den mag ich dann doch nicht benutzen … Das Leben ist ein Kompromiss.
Ein Librem zu kaufen ist die sinnvollere Variante. Allerdings nicht ganz billig.
Habe dem Titel „- schlimm oder zu vernachlässigen?“ hinzugefügt.
Anscheinend hat es bisher nirgends (sichtbar) raus gefunkt.
Also muss imho erst mal jemand rein funken, damit es raus funken kann.
Anscheinend weiß niemand was genaues, wäre aber schon spannend.
Danke für die bisherigen Antworten. Wenn man es schon nicht töten kann, sollte man versuchen es nicht zu füttern und verhindern dass es Eier legt. Weiß darüber jemand was? Ich finde nichts verwertbares dazu.
Die ganzen Talks, die ich bisher angesehen habe, haben neben den üblichen Schwachstellen, nur die Netzwerkkapazität festgestellt. In Kombination mit vPro wäre mMn etwas verschlüsseltes über Port 443 für potentiellen Schaden möglich.
Ich habs mal mit einem Projekt namens „Skulls“ probiert. Das ist eine vorkompilierte Version von Coreboot, mit ME-Cleaner integriert, die gibts aber nur für eine handvoll 2010er Thinkpads (Stichwort Intel Bootguard). Das erfordert wie der ME_Cleaner selbst, dass man den Laptop/Desktop zerlegt bis der BIOS-Chip sichtbar ist. Leider hat der Pomona-Leser nie gelesen und ich musste ranlöten. Hat aber am Ende funktioniert.
Für meine Laienkentnisse konnte beim T440p kein Windows-Treiber mehr für die ME installiert werden und unter Linux (x230 und t440p) spuckte das ME_cleaner-Script genau das aus was deren Wiki als „gut“ betrachtet.
Ich werde aber, sobald ich meinen neuen Desktop habe, mich an meinem jetzigen Z170 probieren, der EEPROM ist ja zum Glück nur aufgesteckt.
Wenn du aber etwas mit neuerer Hardware suchst würde ich mich eher an „Nitrokey“ (Deutschland) bzw „Novacustom“ (Niederlande) wenden, die verkaufen den NV41, der hat Coreboot, ist Qubes-zertifiziert und erhält im Laufe des Jahres sogar noch „HEADS“.
Ich persönlich würde nichts trauen was zuerst durch den amerikanischen und dann noch durch den deutschen Zoll gegangen ist (Librem).
Wenn man sich nur über (passwortgeschütztes) WLAN mit dem Internet verbindet und dazu noch Linux am Laufen hat - wie kann die Intel ME sich dann überhaupt selbstständig mit dem Internet verbinden? Ich halte es für unwahrscheinlich, dass das irgendwie das WLAN-Passwort von KWallet/Gnome-Keyring klaut oder aus dem RAM ausliest, um sich dann heimlich selbst mit dem Internet zu verbinden.
Bei Ethernet sieht’s natürlich anders aus - vorausgesetzt der NIC ist auch von Intel. Da ist die Sorge berechtigt.
Nebenbei: weiß jemand ob AMDs PSP sich auch mit dem Internet verbinden kann? Und was ist mit ARM-CPUs z.B. Snapdragon, haben die auch sowas?
Ich finde leider nichts mehr dazu aber ich habe vor längerer Zeit gelesen das auf jeder Intel und AMD CPU, oder auf dem Chipsatz, eine ARM(?) CPU integriert ist.
AMD hat ja eine eigene IME implementierung AMD Platform Security Processor.
Heute ja, in der CPU. Bei AMD ist es ARM, bei Intel aber ein eigener x86-Mikrocontroller (zu lesen in den ersten Zeilen). Etwas tiefere Infos dazu gibt’s bei Libreboot Intel & AMD.
Ich habe keine Hoffnung bei Intel und AMD mehr. Vielleicht gibt es zukünftig irgendwann mal einen Prozessor, vermutlich mit anderer Architektur, anderem Hersteller, ohne zuviele „Security“ & Management Funktionen.
So sehe Ich grundsätzlich keines der Systeme als (wirklich) sicher an. Da die Software die dort läuft nicht wirklich kontrolliert werden kann, bzw. weil sie überhaupt (zu großen Teilen) existent ist. Und jederzeit ausgetauscht werden kann, nur nicht von einem selbst.
Das Gerät einem also gar nicht gehört, da es nicht unter der eigenen Kontrolle steht/stehen kann.
Praktisch wird es aber für viele wohl eher zu vernachlässigen sein… noch, bisher. Nur schade für die Leute, mit sehr hohen Sicherheitsbedürfnissen oder -wünschen.