Removing the ME ● We don’t want ME at all; not an option ● If you remove ME firmware, your node ○ May never work again ○ May not power on (as in OCP nodes) ○ May power on, but will turn off in thirty minutes ● Good news: ME firmware has components ● And most are removable ○ Thanks Trammell Hudson
フットプリント (スコア:1)
フットプリントを小さくできるという主張は立証されたということかな?
だからどうなんだと言われるとアレだけど…
ChromebookみたいにLinuxカーネルでも瞬間起動、アップデート確認ができるから
メインOSが軽ければこんなの必要ないよね
WindowsやMacでもやればできると思うんだけど…
カーネルはマイクロじゃないにしてもモノリシックでもないんだから…
Re: (スコア:3, 興味深い)
ちがう。全然分かってない。メインCPUが停止されている時にOSを改変したり、動作中に直接叩くために別のCPUが乗ってるの。
CPUの中にアウトオブバンド管理用のCPUが載っていて、CPUに対する全権を持っていて、最近それがx86になったの。止められないの。
なんで積んでるの? とかなんで止められるようにしないの? ってずーっと言われてるけど絶対無効化させないの。
なんで? って、こんなんNSAと契約か法律で義務付けか何か話があって必須仕様になってるからに決まってんの。
だから破壊して止めないといけないの。
AMDにも最近同じものが入ってる。ARM系で少しだけ違うけど、止められないしプロプラだし全てのCPUに入ってるところは同じ。
逆に中華スマホとか富士通のスパコンとか、管理用CPUが付いてなかったり自分でコントロールできたりする奴なら大丈夫だけど。
Re: (スコア:0)
本当か知らんが本当なら頭おかしいな。
大規模に何かやればバレるにしても標的型攻撃には使えそうだし。
一応建前としては管理用よね。
無効化できればとやかく言われないんだから無効化するべき。
そしてこういうセキュリティ的なことをいちゃもんにして、メインフレームやスパコンの貿易障壁にしてしまうべきだと思う。自業自得だし。
まぁ、PC用CPUが作れないのが残念…とか言ってる内にARMが日本企業の手に落ちたから、ARM誘導に使うのはありね。
Re: (スコア:0)
無効化できないように何重かの対策がされてるの。ファームウェアを改変すると署名チェックで落ちるし、
全部消すと電源管理を失って起動しなくなるし、管理タスクを止めるとウォッチドッグで電源カットされるの。
いちゃもんじゃなくて本当に設計がおかしいからGoogleまで出てきてるんだよ。
これはDual_EC_DRBGと同じ種類の問題だよ。
Re: (スコア:0)
無効化はできなくても外部からのアクセスは遮断できますよ?と言うか、そもそもセットアップしないと外部からアクセスできませんが。
IP振らないと通信でないわけで、DHCP無いネットワークなら手動で振らないとどうやってもMEが勝手に通信とか無理ですが。当たり前ですが、WindowsからIPを勝手に取ってきたりはしませんよ。
> 無効化できないように何重かの対策がされてる
これ、どこの情報ですか?ソースとしてるGoogleの文章の中で削除方法が書かれてますが。
あと、セキュアブートとごっちゃになってません?
Re:フットプリント (スコア:2, 興味深い)
これ、どこの情報ですか?ソースとしてるGoogleの文章の中で削除方法が書かれてますが。
ソースとしてるGoogleの文章の中にも同じことが書いてあるよ。無力化と削除は違うよ。ちゃんとニュースを追ってね。
Removing the ME
● We don’t want ME at all; not an option
● If you remove ME firmware, your node
○ May never work again
○ May not power on (as in OCP nodes)
○ May power on, but will turn off in thirty minutes
● Good news: ME firmware has components
● And most are removable
○ Thanks Trammell Hudson
Re: (スコア:0)
この文脈で無効化(いつの間にか無力化に変えてるみたいですが)と削除を使い分ける意味は無いでしょう?
脆弱性の原因になるコンポーネントを一通り削除出来れば、問題ないでしょう。
自分の言ってる矛盾を理解していますか?
あなたが引っ張ってきたソース位読みましょう。「Removing the ME」削除についてです。
削除と無効化が違うなら、そのソースは上記これのソースにはなりません。
削除したらPCが動かなくなるのは無効化対策ではなく、
MEがPCの動作に必須として書かれているからです。
単に削除を想定してシステムが作られていないと言うだけの事です。
無効化を妨害する為に何重にも対策がされている訳ではありません。
なので、本当にそう言う証拠があるのならソースをお願いします。
# まあ、いつもの人なら言うだけ無駄でしょうけど