Management Engine и слежка за пользователем
Интересной особенностью Management Engine является способность работать при выключенном компьютере, при условии сохранения питания от сети. Спящий или выключенный компьютер может продолжать сетевой обмен. По этой причине первые версии Management Engine были интегрированы в сетевой контроллер, но потом аппаратную составляющую ME перенесли в более укромное место.
Вторая интригующая особенность ME — абсолютная независимость от центрального процессора. Это дает спецслужбам сразу 2 очень-очень приятные возможности: Во-первых, можно перевести сетевой интерфейс в режим прослушки и ни одна программа даже теоретически не способна это обнаружить и предупредить пользователя.
Весь спецсофт, вычищающий трояны и руткиты, первым делом просматривает доступные интерфейсы и проверяет их на активацию режима promiscuous. Если режим активен, а пользователь об этом явно не просил, то данный факт будет рассматриваться как свидетельство присутствия вредоносного софта. Management Engine учитывает этот нюанс и все операции выполняются без привлечения CPU. Получается идеальный троян-невидимка. Во-вторых, пользователь гарантированно не сможет деактивировать Management Engine, ведь троян представляет собой почти автономную систему.
Слово «почти» употреблено потому, что общее ОЗУ всё же используется на определенном этапе инициализации ME. Но инженеры Intel позаботились о том, чтобы скрыть свой аппаратный троян самым надежным образом. ME через BIOS запрашивает выделение оперативной памяти. BIOS выделяет указанный объем и. помечает этот фрагмент специальным флагом. После этого процессор не может получить доступ к выделенной памяти даже работая с наивысшим уровнем полномочий. Таким образом, пользователь не только не может удалить ME, но не в состоянии даже временно нарушить его работу, модифицировав данные в ОЗУ.
Как деактивировать Management Engine.
Сделать это трудно. Хомячки с Windows на этом месте могут закончить чтение. Линуксоиды без глубоких познаний в аппаратной части тоже могут идти лесом. Остававшиеся приглашаются посетить сайт с замечательным чудо-пакетом Libreboot.
Libreboot — это целый комплекс программ, предназначенных, как следует из названия, для освобождения аппаратной составляющей загрузки от всякой шпионящей дряни. Как было сказано выше, троян от Intel не использует в своей работе CPU. Следовательно, запуск Libreboot на основном компьютере ничего не даст. Любителю свободы потребуется специальный внешний программатор. К счастью, стоит он копейки и продается с сайта. Наиболее популярная модель — BeagleBone Black. Заполучив данный девайс, нужно вскрыть компьютер и найти троянскую микросхему. Выглядит она так:
И подключить к ней программатор:
На этом сложная часть завершается и остается скопипастить несколько команд. Заходим на чудо-девайс по ssh и печатаем:
root@beaglebone:/dev/shm# /opt/flashrom/flashrom -p linux_spi:dev=/dev/spidev1.0,spispeed=4096
Так мы узнаем версию и модель чипа. Теперь делаем дамп прошивки:
root@beaglebone:/dev/shm# /opt/flashrom/flashrom -p linux_spi:dev=/dev/spidev1.0,spispeed=4096 [-c ] -r factory_x220.bin
Извлечем из дампа код BIOS. Поможет в этом утилита ifdtool из комплекта coreboot.
ifdtool -x factory_x220.bin
Теперь самый ответственный момент: деактивация трояна от Intel с помощью чудо-утилиты с говорящим названием me_cleaner от большого любителя линуксов Николя Корнера:
Запилим модифицированный BIOS обратно в образ прошивки:
ifdtool -i ME:intel_me.bin factory_x220.bin
Передадим по scp модифицированную прошивку обратно на BeagleBone Black и перепрошьем чип-шпион модифицированной прошивкой с деактивированным ME.
scp -C factory_x220.bin.new root@beaglebone.local:/dev/shm root@beaglebone:/dev/shm# /opt/flashrom/flashrom -VVp linux_spi:dev=/dev/spidev1.0,spispeed=4096 [-c ] -w factory_x220.bin.new
Готово. Вот теперь компьютер может считаться действительно свободным от слежки. И помните: аппаратный троян Intel Management Engine превращает любой компьютер в инструмент слежки и контроля. Используемая вами ОС значения не имеет — ME работает полностью в автономном режиме.
Описанная выше процедура сложна и грозит поломками при неумелом использовании представленных инструментов. Но других способов получить защищенный от прослушки компьютер нет.
Добавленно из комментов:
Кстати, бывает так, что SPI программатор не может найти чип.
В этом случае помогает сбавить spispeed с 4096 на 128.
Шиться будет медленнее, но надёжнее.
Ещё нужно помнить что сначала подключается все контакты для данных и земля, и в последнюю очередь питание.
Они знают мои тайные пристрастия на порнохабе. Как неудобно.
Вам шапочка из фольги не жмёт?
Я всегда с тобой , хозяин
ШпиЁн.
Блог параноика #2 [компьютер]
Я РАДОСТНО приветствую своих новых подписчиков Вас друзья уже 17, и Вы умудряетесь прочитать этот бред до конца 🙂 Привет !
Я учел всю Вашу критику в предыдущих постах, и теперь полностью переписал свои наброски в обычную форму общения, с простыми не заумными терминами , развернутыми пояснениями и правильной орфографией.
Изначально хочу добавить что безопасность и анонимность в сети это две невозможные вещи, так что все приведенное ниже это возможность создать Ваш личный маленький островок безопасности в океане интернета.
Начну с идентификатора личности email – сейчас уже неотъемлемый атрибут каждого человека, если телефонный номер выступает на первый план , то за ним всегда будет идти Ваш email адрес.
У Вас должно быть минимум три. И вход в эти почты совершать не совместно, а поочередно каждый раз не забывая жать кнопку выхода, и чистить cookies перед входом в следующую.
[1]. Один который Вы используете как аккаунт для устройств и браузера ну и естественно использования для поиска и серфинга в сети.
[2]. Второй как почту для общения с проверенным кругом людей (и как резервный для восстановления первой и третьей почты) – то есть Ваш главный E-mail.
[3]. Третий это мусорный E-mail для общего общения и регистрации на сайтах которые попадают под ваше сомнение или временное использование.
Так как Ваш основной E-mail будет второй, то с остальных можно настроить переадресации для того что бы реже посещать их для проверки на свежие письма.
Временная почта, это онлайн сервис предоставляющий эмейл на время. Для чего нужны такие сервисы решать уже Вам. Напишу только что если не использовать временную почту в связке с VPN или прокси тогда смысл от их анонимности пропадает. Сервисов в интернете множество советую использовать зарубежные сервисы.
Даже если анонимность в сети сможет скрыть Ваши местоположение то компьютер или устройство, которое входит в интернет будет иметь свои уникальные данные, которые можно отследить. Начнем с того что нас встречает. Это операционная система. Откину теорию, перейду к практике. Операционная система должна быть карманная- то есть запускаться с флешки или CD диска можно и карты памяти. Портативные (portable) версии уже появились даже на Windows 10. Но желание использовать её для анонимности у меня точно отпадает, думаю тут даже объяснений не нужно.
«Linux – наш друг , и сложный враг.» Я не буду сейчас описывать каждые за и против. Скажу просто, что в интернете существует множество уже готовых образов систем сделанных с упором в анонимность. Я напишу лишь портативные и которые лично были протестированные. По схеме: Вышел с основной ОС \перегрузил компьютер с вставленной флешкой и записанным образом Линукс \ добро пожаловать в сеть.
JonDo — Разработанный специально для анонимного серфинга в сети. JonDo предоставляет анонимный прокси-сервер. Live-версия предлагает пользователям использовать JonDo или Tor прокси для защиты конфиденциальности онлайн. Установка проста, так как Вам потребуется только программа для записи скаченного образа на флешку Допустим Rufus.
Tails — (The Amnesic Incognito Live System) — операционная система на ядре Linux с акцентом на приватность и анонимность в Интернете. Система использует технологии Tor. Она предлагает конечному пользователю углубленную документацию на разных языках с общей информацией, первыми шагами, часто задаваемыми вопросами и подробными объяснениями, чтобы выбыли в курсе всех общих вопросов, относящихся к конфиденциальности и важности шифрования. Её как-бы использует Едвард Сноуден. Установка такова же, как и с JonDo, только флешка и образ Tails.
Whonix – Это уже будет посложнее но описал я его сюда потому- что его можно развернуть (установить временно) на флешку но потребуется Virtual Box и знание как работать с ним. Он эксплуатирует концепцию безопасности через изоляцию и поставляется в виде двух виртуальных машин. Смысл подобной формы в том, чтобы изолировать среду, в которой вы работаете, от точки доступа к Интернету. Whonix состоит из двух виртуальных машин, одна виртуальная машина Whonix- Шлюз действует как шлюз и на ней выполняется TOR. Другая машина, которую мы называем Whonix-Рабочую Станция, находится в полностью изолированной сети. Выход в интернет будет выполнятся только через Whonix-Шлюз, так сказать карантин. Таким образом ваш IP и DNS будут надежно скрыты. Даже вредоносное программное обеспечение с root правами не сможет узнать реальный IP или расположение пользователя. Установка такова: 1. Скачайте два образа, 2. Смонтируйте их в Virtual Box, 3. Запустите Whonix-Gateway, 4. Запустите Whonix-Workstation. Установка сложная. если Вы не работали с Virtual Box и его аналогами, за вами не следит «цензурное сообщество» и вы сейчас не в шапочке из фольги, то советую остановиться на Tails или JonDo.
Whonix система- очень сильный инструмент, это и его слабость, потому что из-за малоактивного использования такого инструмента сокращается круг поиска по его уникальному признаку.
Браузер / интернет
Если вы используете приведенные выше операционные системы или их аналоги, то пункт a. и b. можно пропустить. Так — как в этих сборках уже изначально идут все нужные программы для анонимности.
a) Пункт браузер. Он должен быть иностранным. Это я имею в виду не «Ябраузеры» и прочие «Амигосы». Допустим если Вам не нравится ТОР (который сейчас очень часто обвиняют в его уязвимости). Хотя я пока уверен, что этот парень будет актуален ещё долгое время. Тому пример попытки властей контролировать VPN соединения рунета и запрет использования Тор в Республике Беларусь. Но все же, если он Вам не нравится, есть ещё расширения: Advanced Onion Router, Foxyproxy и прочие VPNгейты. Но тогда от Вас потребуется использовать одноименные браузеры хром или моззилу для установки этих расширений.
И главное браузер должен быть портативный (portable), и по возможности без сторонних дополнительных расширений которые смогут фиксировать или сохранять вашу активность в сети.
b) Поиск осуществлять в поисковиках с минимальным сбором личной информации, если Вас устроит DuckDuckGo, то можете на нём и остановиться, но лично я иногда использую encrypted.google.com – но в последнем я полностью не уверен.
* кстати с помощью DuckDuckGo вы можете шифровать поисковые запросы в Google, добавив в начале запроса слово !google.
Так же в самом браузере Тор есть поисковик на их наработке «not Evil» — который точно ничего о вас не знает 🙂
с) Java Flash и Cookies – Контроль за flash уже используется почти во всех браузерах. По умолчанию flash выключен. Java и cookies – можно отключить в настройках браузера или с помощью расширений. Не думайте что это не важный параметр, в основном эти 3 вещи и являются предметом атаки для хищения ваших данных.
Сети коннект и роутер
Роутер, он должен быть вашим первым эшелоном защиты. Обычно они по умолчанию держат удар и натиск, но как мы знаем это дело времени и рук нападающего. Поэтому старайтесь следить за обновлениями ПО Вашего роутера тем самым повышать его безопасность, не забывая про сложный пароль для входа в само устройство. Почти все материнские платы сейчас имеют режим wake on lan а так же включение по активности USB портов. Это конечно удобно, если Вам это нужно. Но так же это ещё одна уязвимость вашего компьютера. По ненадобности обязательно отключайте их в панели BIOS. Если у Вас есть добрый сосед с бесплатным\не закрытым Wifi не наглейте, а используйте только иногда для анонимности. Это увеличивает возможность подольше получать манну в виде WiFi от соседа. Допустим как это делаю я. Но не забывайте ваш персональный МАС адрес тогда будет записан в устройстве вашего соседа.
Что не вошло в статью, это шифрование жестких дисков, шифрование операционной системы при запуске\входе\работе и linux аналоги bit локеров, ключей входа в ОС. Почему не вошло – я ограничился описанием анонимности а не безопасности, хотя эти два пункта должны дополнять друг-друга. И если Вам будет интересно могу описать поподробнее.
И на конец закончу все, цитатой с одноимённого фильма «Сноуден»:
что это за драйвер? Intel Management Engine Driver
Intel® Management Engine (Intel® ME) — подсистема, встроенная в чипсет, предназначенная для различных задач связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы. Для корректной работы Intel ME потребуется драйвер, отсутствие которого приведёт к восклицательным знакам в «Диспетчере Устройств». Требуется ME для старта и первоначальной настройки материнской платы. Выход из строя Intel Management Engine (если плата/ноутбук при этом живы) чаще всего приводит к тому, что вентиляторы работают на полную катушку (без регулировки оборотов, чем в том числе и занимается Intel ME).
Кроме того, на базе ME реализованы другие технологии:
Intel AMT (удалённое администрирование/управление компьютером)
Intel AT (противоугонный модуль)
Intel SMB (урезанный/модифицированный вариант AMT для малого бизнеса)
Этот процессор «никак не связан» с Intel — это лицензированный у фирмы ARC International (многократно перекупленной, сейчас ею владеет фирма Synopsis на которую, в частности, и стоит перенаправленные с уже бывшего официального сайта www.arc.com) RISC-процессор (т. е. не x86-архитектура). 32-битный, характерный представитель семейства IP-процессоров — специально конфигурируемых «под заказчика», возможности/фичи которых можно задать самостоятельно. Прямой конкурент ставших так популярными в связи с развитием смартфонов-планшетов-андроидов, ARM-процессоров. Имеет все плюсы последних — крайне малое потребление, при этом достаточные для большинства «нужных задач» возможности, среди которых в том числе своя постоянная и оперативная память.
На базе этого процессора и работает Management Engine (просто ME дальше для краткости). Для взаимодействия ОС с ME имеется MEI — Management Engine Interface. А для настройки ME в BIOS Setup есть MEBx (ME BIOS Extensions) — отдельный модуль, поставляемый для OEM-производителей либо встроенный в BIOS Setup подпункт (у случае EFI/BIOS от Intel). Для корректной работы MEI с ОС соответственно потребуется драйвер.
Intel ME driver что это за программа?
Intel ME driver — не программа, а драйвер для работы аппаратных датчиков. Например скорость вращения вентилятора. Также возможно необходим для разгона процессора — у некоторых пользователей выскакивала ошибка Please install intel ME driver to enable CPU overclock, что означает установите драйвер Intel ME для включения опции разгона процессора.
На заметку. Как правило, подобные драйвера устанавливаются автоматически при помощи центра обновлений Windows. Вручную стоит устанавливать только при возникновении проблем. Отсутствие драйвера не вызовет критических ошибок, однако Интел рекомендует все таки устанавливать.
Полное название — Intel Management Engine
Удалось выяснить — драйвер нужен для подсистемы, которая встроенная почти во все чипсеты процессоров Intel с 2008 года. Подсистема состоит из:
- Прошивки. Микропрограмма, в которой заложен принцип работы устройства. При необходимости прошивку можно обновить.
- Микропроцессор. Само устройство, работающее только при наличии прошивки.
Management Engine функционирует всегда, даже когда ПК выключен — в таком случае источником энергии служит:
- Батарейка CMOS.
- В ноутбуке дополнительно — аккумулятор.
Сама компания Интел заявляет — подсистема ME необходима для максимальной производительности. При этом принцип работы нигде не описан, а исходный код закодирован.
Компания AMD также создала свою технологию в 2013 году — AMD Secure Technology (ранее называлась Platform Security Proccessor).
Не стоит путать технологию ME с AMT, которая хоть и основана на ME, но доступна только для процессоров с технологией vPro. При помощи AMT можно удаленно включать ПК или выключать, и даже устанавливать операционку.
Интересно — ME отключить никак нельзя в отличии AMT.
В теории, возможно что отказ от установки драйверов ME может отключить технологию, либо ограничить ее работу.
Оказывается, что ME отключить нельзя. Без этой технологии процессор НЕ сможет загрузиться. Все существующие методы отключения максимум что могут сделать — заставить технологию неправильно работать после включения. В таком состоянии функции не выполняются, однако встроенный микропроцессор дальше продолжает работать.
Все способы отключения не приветствуются и являются потенциально опасными.
Некоторые производители ноутбуков решили попробовать отключить ME. Так как корректного отключения все равно нет, то все это несет сомнительную пользу.
Интересно, но в некоторых современных биосах под материнки AMD уже есть опция отключения AMD Secure Technology (аналог Intel ME).
Intel Management Engine Components (IMEC)
Данное ПО устанавливает необходимые для корректной работы компоненты:
Компонент | Краткое описание |
---|---|
Management Engine Interface | Для работы интерфейса ME. |
Dynamic Application Loader | Предположительно работает под процессом jhi_service.exe. Вроде технология защиты, представляет базовые службы связи. Необходима для обеспечения аппаратного решения безопасности. |
Identity Protection Technology (IPT) | Комплект технологий для проверки подлинности онлайн-доступа. Обеспечивает надежный уровень безопасности на предприятиях и веб-сайтах. В некотором смысле является альтернативной SMS аутентификации. Также включает в себя Intel Authenticate и Protected Transaction Display (PTD). |
Manageability Engine Firmware Recovery Agent | Работает предположительно под процессом updateui.exe, который запускается из: |
C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\
Настройка в биосе — ME General Settings
Настройка ME General Settings предположительно может находиться в разделе MEBx Login. Содержит главные настройки ME, одна из которых — Change ME Password, служит для смены пароля удаленного управления (по умолчанию пароль admin).
Возможно данная настройка находится не в биосе, а в меню конфигурации Intel vPro.
На заметку. vPro — технология, позволяющая удаленно управлять ПК. Подразумевается в том числе и выключение, включение, открытие настроек биоса. В основе vPro выступают две технологии — удаленное управление мониторинга (Intel Active Management Technology, AMT) и виртуализация (Intel Virtualization Technology, VT)
Вывод
Исходя из всей вышеприведенной информации можно сделать вывод — пытаться отключить Intel ME нет смысла, официальных способов нет.
Отсутствие драйвера скорее всего не вызовет никаких критических проблем в работе Windows. Однако установить его все таки стоит, хотя бы из-за рекомендации Intel.
Учтите, что без ME у вас могут быть проблем с автоматической регулировкой оборотов вентилятора. В разгоне процессора также могут быть проблемы. Возможно драйвер имеет отношение к автоматическому сбросу частоты процессора в простое.