Názory k článku
Google důvěřuje pouze Linuxu, zbaví se UEFI a Intel ME

Konecne firmware od nejake duveryhodne firmy.

Bez spolupráce Intelu je prakticky nemožné se ME zbavit....procesor jde bez jeho zavedení do resetu v řádu několika minut.

to u spousty úloh vlastně ani není problém

Intel není jediný výrobce procesorů ;)

NERF to ale řeší i pro Intel tak, že z ME odstraní IP stack, takže se nedá ovládat vzdáleně, zatímco core komponenty, bez kterých procesor nenaběhne, tam nechá.

Zajímavostí je, že Intel ME je zdá se založen na MINIXu.

o tom teď všichni mluví, přitom to Intel prozradil už dávno a visí to pár let na wiki.

Zajímavá je třeba několik let stará prezentace https://www.slideshare.net/codeblue_jp/igor-skochinsky-enpub, Intel ME je probíraný na velké části sec conf v posledních letech a na slideshare, githubu a potažmo google se dá najít hodně zajímavých informací. Tím neřikám, že to je už staré téma, zaslouží si to určitě pořád pozornost.

Jinak hodně chování CPU je možné ovlivnit updatem microcodu, což je mimochodem zatím velice neprobádaná věc a další kus SW, který tam něco dělá.

Díky snaze lépe a rychleji provázat HW komponenty mezi sebou, jsou najednou všechny hodně důležité a jakmile se "očistí" cpu, budeme řešit stejné problémy u síťovek, grafik, akcelerátorů, sběrnic a vším co je uvnitř, a že toho je. Ani bych se tolik nedivil, kdyby bylo možné napadnout server přes větrák...

Jeste zajimavejsi je tahle prezentace:
https://schd.ws/hosted_files/osseu17/84/Replace%20UEFI%20with%20Linux.pdf

Zatim sem jen tak prolitl tech 70 slajdu, a je to horsi nez sem se domnival...

vlastně podobná složitost a magie těhle systémů je důvod proč řada stěžejních systémů pořád funguje na technologiích z 90. let, proč zakládat infrastrukturu na jediné platformě je dost rizikové, proč OSS komunita dlouhodobě se snaží budovat alternativu.

Ve výsledku to ale není tak velký průser, prakticky řada systémů je uzavřena v bezpečných sítích, provoz na sítích je monitorován různými nástroji na několika úrovních a situace, kdy by tady prolétly data, o kterých nikdo neví a která přišla odněkud z venku je hodně raritní. Aneb systémy jsou zatím příliš různorodé pro podobné masivní zneužití.

Každopádně to není radno podceňovat a pokud nějaká možnost existuje, musí se počítat s tím, že se již využívá či využívat bude. Intel by měl postupně vydávat procesory bez ME, resp. to slíbil korporátním zákazníkům.

I z uzavřené sítě se dají odesílat data, třeba blikáním kontrolky harddisku ;-)

Přes větrák se teoreticky útočit dá, viz https://www.wired.com/2016/06/clever-attack-uses-sound-computers-fan-steal-data/

myslel jsem spíše přes elektroniku větráku, kontrolní mechanismy pro tak marginální komponentu mohly být nedůsledné. Vtipné je, že mechanismy jak tyhle upravené věcičky odhalit defacto neexistují ani u HW vendorů.