Removing the ME ● We don’t want ME at all; not an option ● If you remove ME firmware, your node ○ May never work again ○ May not power on (as in OCP nodes) ○ May power on, but will turn off in thirty minutes ● Good news: ME firmware has components ● And most are removable ○ Thanks Trammell Hudson
フットプリント (スコア:1)
フットプリントを小さくできるという主張は立証されたということかな?
だからどうなんだと言われるとアレだけど…
ChromebookみたいにLinuxカーネルでも瞬間起動、アップデート確認ができるから
メインOSが軽ければこんなの必要ないよね
WindowsやMacでもやればできると思うんだけど…
カーネルはマイクロじゃないにしてもモノリシックでもないんだから…
Re:フットプリント (スコア:3, 興味深い)
ちがう。全然分かってない。メインCPUが停止されている時にOSを改変したり、動作中に直接叩くために別のCPUが乗ってるの。
CPUの中にアウトオブバンド管理用のCPUが載っていて、CPUに対する全権を持っていて、最近それがx86になったの。止められないの。
なんで積んでるの? とかなんで止められるようにしないの? ってずーっと言われてるけど絶対無効化させないの。
なんで? って、こんなんNSAと契約か法律で義務付けか何か話があって必須仕様になってるからに決まってんの。
だから破壊して止めないといけないの。
AMDにも最近同じものが入ってる。ARM系で少しだけ違うけど、止められないしプロプラだし全てのCPUに入ってるところは同じ。
逆に中華スマホとか富士通のスパコンとか、管理用CPUが付いてなかったり自分でコントロールできたりする奴なら大丈夫だけど。
Re: (スコア:0)
本当か知らんが本当なら頭おかしいな。
大規模に何かやればバレるにしても標的型攻撃には使えそうだし。
一応建前としては管理用よね。
無効化できればとやかく言われないんだから無効化するべき。
そしてこういうセキュリティ的なことをいちゃもんにして、メインフレームやスパコンの貿易障壁にしてしまうべきだと思う。自業自得だし。
まぁ、PC用CPUが作れないのが残念…とか言ってる内にARMが日本企業の手に落ちたから、ARM誘導に使うのはありね。
Re: (スコア:0)
無効化できないように何重かの対策がされてるの。ファームウェアを改変すると署名チェックで落ちるし、
全部消すと電源管理を失って起動しなくなるし、管理タスクを止めるとウォッチドッグで電源カットされるの。
いちゃもんじゃなくて本当に設計がおかしいからGoogleまで出てきてるんだよ。
これはDual_EC_DRBGと同じ種類の問題だよ。
Re: (スコア:0)
無効化はできなくても外部からのアクセスは遮断できますよ?と言うか、そもそもセットアップしないと外部からアクセスできませんが。
IP振らないと通信でないわけで、DHCP無いネットワークなら手動で振らないとどうやってもMEが勝手に通信とか無理ですが。当たり前ですが、WindowsからIPを勝手に取ってきたりはしませんよ。
> 無効化できないように何重かの対策がされてる
これ、どこの情報ですか?ソースとしてるGoogleの文章の中で削除方法が書かれてますが。
あと、セキュアブートとごっちゃになってません?
Re:フットプリント (スコア:2, 興味深い)
これ、どこの情報ですか?ソースとしてるGoogleの文章の中で削除方法が書かれてますが。
ソースとしてるGoogleの文章の中にも同じことが書いてあるよ。無力化と削除は違うよ。ちゃんとニュースを追ってね。
Removing the ME
● We don’t want ME at all; not an option
● If you remove ME firmware, your node
○ May never work again
○ May not power on (as in OCP nodes)
○ May power on, but will turn off in thirty minutes
● Good news: ME firmware has components
● And most are removable
○ Thanks Trammell Hudson
Re: (スコア:0)
この文脈で無効化(いつの間にか無力化に変えてるみたいですが)と削除を使い分ける意味は無いでしょう?
脆弱性の原因になるコンポーネントを一通り削除出来れば、問題ないでしょう。
自分の言ってる矛盾を理解していますか?
あなたが引っ張ってきたソース位読みましょう。「Removing the ME」削除についてです。
削除と無効化が違うなら、そのソースは上記これのソースにはなりません。
削除したらPCが動かなくなるのは無効化対策ではなく、
MEがPCの動作に必須として書かれているからです。
単に削除を想定してシステムが作られていないと言うだけの事です。
無効化を妨害する為に何重にも対策がされている訳ではありません。
なので、本当にそう言う証拠があるのならソースをお願いします。
# まあ、いつもの人なら言うだけ無駄でしょうけど
Re: (スコア:0)
建前上、Intel Management Engine Interface Driverはファンの制御をするためにWindowsにインストールされてることになってますね。
Re: (スコア:0)
https://www.mangaz.com/book/detail/147071 [mangaz.com]
星の女王様かな…
Re: (スコア:0)
建前ではなく、セールスポイントです
http://www.atmarkit.co.jp/ad/intel/at1007/at1007.html [atmarkit.co.jp]
> インテルATを使うと、紛失や盗難時にPCを無効化することができる。従来からPC起動時の認証で繰り返し失敗するとロックするというソリューションは存在したが、これをハードウェアで行うことで「OSを再インストールしようと、ハードディスクを差し替えようと、PCが起動しなくなります。チップセット内のマイクロコントローラーによって、システムそのものが無効化されているからです」(坂本氏)という。
Re: (スコア:0)
確かMEとかAMT経由の操作って
有線LAN内からじゃないと受け付けなかった気がしたんだけど
今はルーター越えや無線で叩けるんです?
/*
ルーターハックして有線LANで電源オフのPCをハックとか
リア凸して有線LAN内に機器仕込んでハック電源オフのPCをハックとか
そこまで入られた時点で終わっているような気がします
*/
Re: (スコア:0)
陰謀論なのは認めるけど、おれはNSAに狙われているんだ!という人以外にはまず関係ない話でもある
Googleの場合は恐らく本当に狙われている
Re: (スコア:0)
googleほどじゃなくても、大企業なら狙われる可能性はあるだろう。
Re: (スコア:0)
NSAが不特定多数を踏み台その他として利用することができます。
それにその手の組織は個人をどうこうするっていうよりも、
どこぞの国家なり何なり、影響の大きな何かをするために行動するわけで、
大きな枠としては、多数の人へ影響があるんじゃないんですかね。
フットプリントよりもライセンスの方が重要 (スコア:1)
フットプリントよりもライセンスの問題が大きいと思います
IntelはMEコンポーネントの仕様を公開していません
セキュリティ上の懸念から今後も非公開を貫くでしょう
このような仕様が公開できない製品ではGPLのソースコードは利用できません
GPLを使うとソースコード公開が必須となり
公開されたソースコードからプロセッサの仕様が解読されてしまうからです
ですからGPLのLinuxなんて採用できません
非GPLでソースコードが公開されているOSとなると,MINIXは手頃な選択肢の一つだと思います
MINIXはいまだに大学などで教材として採用されていますし
Linuxを作った Linus も最初はMINIXを使ってOSを勉強し,MINIX上でLinuxの開発を始めたぐらいのですから
それなりの歴史と実績があります
Re: (スコア:0)
国産UNI+(ユニックロス)を忘れるな
Re: (スコア:0)
そういうジジイにしか通用しないボケはいらないから…
Re:フットプリント (スコア:1)
そしてMINIXベースと言う情報自体、攻撃のとっかかりになりますからね。。
全く不明のとこからやるよりどれだけ楽か。
※この情報自体が罠だったら感心する。