Компания Intel сообщила (https://security-center.intel.com/advisory.aspx?intelid=INTE... об устранении критической уязвимости, позволяющей непривилегированному атакующему получить доступ к функциям удалённого управления оборудованием. Проблема затрагивает серверные системы с чипами, предоставляющими независимые интерфейсы Intel Active Management Technology (https://en.wikipedia.org/wiki/Intel_Active_Management_Techno... (AMT), Intel Standard Manageability (ISM) и Intel Small Business Technology, применяемые для мониторинга и управления оборудованием. Утверждается, что уязвимость проявляется в версиях прошивок с 6 по 11.6 включительно, персональные компьютеры на чипах Intel проблеме не подвержены.
Описывается два возможных вектора атаки - сетевой и локальный. При сетевой атаке злоумышленник может получить системные привилегии для управления системой через AMT и ISM (сетевые порты 16992 и 16993), а при локальной атаке непривилегированный пользователь системы может получить доступ через локальное обращение к интерфейсам AMT, ISM и SBT. В обычных условиях вход в интерфейс AMT защищён паролем, но рассматриваемая уязвимость позволяет получить доступ без пароля. Указанные интерфейсы позволяют получить доступ к функциям управления питанием, мониторингу трафика, изменению настроек BIOS, обновлению прошивок, очистке дисков, удалённой загрузке новой ОС (эмулируется USB-накопитель с которого можно загрузиться), перенаправлению консоли (Serial Over LAN и KVM по сети) и т.д. Предоставляемых интерфейсов достаточно для получения атакующим полного контроля за системой (самый простой способ - загрузить Live-систему и внести из неё изменения в основную систему).Для пользователей, которые не имеют возможность установить обновление прошивки подготовлено руководство (https://downloadmirror.intel.com/26754/eng/INTEL-SA-00075�... с описанием обходных путей решения проблемы. В частности для блокирования удалённых атак рассказано как отключить отслеживание в трафике управляющих пакетов (перевод в состояние UnConfigure), а для защиты от проведения локальных атак указано как отключить сервисы LMS (Local Manageability Service). Из внешних сетей (по TCP/IP) уязвимость может быть эксплуатирована (https://arstechnica.com/security/2017/05/intel-patches-remot... при активации в системе сервиса LMS (Local Manageability Service, применяется только на серверах под управлением Windows), который инициирует проброс на AMT сетевых портов 16992 и 16993. Также отмечается (http://mjg59.dreamwidth.org/48429.html) наличие систем, которые осуществляют проброс портов 6992 и 16993 без обработчика на уровне ОС. В настоящее время сервис Shodan находит более 7 тысяч хостов с открытыми сетевыми портами 16992 и 16993.
Напомним, что современные чипсеты Intel оснащены отдельным микропоцессором Management Engine, работающим независимо от CPU и операционной системы. На Management Engine вынесено выполнение задач, которые необходимо отделить от ОС, такие как обработка защищённого контента (DRM), реализации модулей и низкоуровневые интерфейсы для мониторинга и управления оборудованием. Примечательно, что Фонд СПО несколько лет назад предупреждал (https://fsf.org/blogs/community/active-management-technology) о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям (https://www.opennet.ru/opennews/art.shtml?num=28284) обеспечения приватности и свободы пользователей. Кроме того, Йоанна Рутковская (Joanna Rutkowska) развивала (https://www.opennet.ru/opennews/art.shtml?num=43596) проект по созданию ноутбука, не сохраняющего состояние (stateless), обеспечивающий блокировку скрытого доступа к информации пользователя из аппаратных компонентов, подобных Management Engine.
URL: http://mjg59.dreamwidth.org/48429.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=46482
дождались)
а ведь "Примечательно, что Фонд СПО несколько лет назад предупреждал о потенциальных проблемах с безопасностью в Management Engine и признавал не соответствующим критериям обеспечения приватности и свободы пользователей" ..
> низкоуровневые интерфейсы для мониторинга и управленияЭто называется бэкдор.
Ну так-то это довольно прикольная вещь, если ли б не несколько недостатков, вроде проприетарности и довольно непростой настройки (из-за требований безопасности). Это похоже на такой способ подсадить пользователей на свое чуть более дорогое железо. Я работал с этим API где-то до версии 5.
наверно правильнее так - "Intel перепрятал удалённую уязвимость в технологии AMT"
читаешь мысли
> наверно правильнее так - "Intel перепрятал удалённую уязвимость в технологии AMT"" Мы знаем, что вы любите искать ^W неожиданно находить удалённые уязвимости в Технологии Удалённой Уязвимости(tm) Intel(r)! Поэтому мы переплятали засвеченную удалённую уязвимость в Технологии Удалённой Уязвимости(tm) Intel(r) -- для вашего удовольствия. "
Спасибо, Intel! Уже 10 лет ищу вашу уязвимость! Где же вы спрятали её на этот раз? Это так весело искать уязвимости в железе!
Epic Fail - уязвимость в технологии, которая призвана защищать компьютер на "железном" уровне.
> Intel
> призвана защищать компьютерТы правда в это веришь? А ты наивный.
конечно же он призван защитить компьютер.только не от всех.
> только не от всех.Он призван следить за пользователем. Когда вы это уже поймёте? Оглянитесь вокруг и поймите, где вы живёте.
оглянулся, живу в сарае, езжу на лифте 37 лет отроду, но боюсь конечно только исключительно за слежку за собой через комп
> оглянулся, живу в сарае, езжу на лифте 37 лет отроду, но боюсь
> конечно только исключительно за слежку за собой через компЛол, наивный как чукотский мальчик. Ты думаешь, если у тебя нет электроники за тобой не следят? Не беспокойся, скоро всех обязуют иметь интернет для оплаты каких-нибудь коммунальных услуг. Вот тогда заживёшь! /s
> Не беспокойся, скоро всех обязуют иметь интернет для оплаты каких-нибудь коммунальных услуг.Они - это мы.
Гарантировано защищает компьютер от его пользователя.
Это https://habrahabr.ru/company/dsec/blog/278549/#comment_8804945 для тебя - посмейся еще.
> Это https://habrahabr.ru/company/dsec/blog/278549/#comment_8804945 для тебя - посмейся
> еще.Да я знаю всё это, и мне не смешно. Правда у меня процик до 2008 выпущен и IME там нет. Так что мимо.
https://ru.wikipedia.org/wiki/Active_Management_Technology - "Технология доступна в настольных ПК на базе процессоров Intel Core 2 и ноутбуках на базе процессоров Intel Centrino с технологией Intel vPro". Скорее всего и вы тоже "под колпаком".
> Скорее всего и вы тоже "под колпаком".На 4 пне? Нет. :D Шучу, конечно.
К тому же моего чипсета нет в списке, и AMT и IME нет у меня. У меня довольно древний кор и старая материнка, на которой даже разгон не поддерживается, не говоря уж о всяких других ненужных технологиях интел.
Ух ты. Это фатальная угроза для котиков и блекджека с секретутками на компьютере школьника.
> Ух ты. Это фатальная угроза для котиков и блекджека с секретутками на
> компьютере школьника.А, то есть тебе нравится, когда за тобой следят? Так давай тебе камеры в квартире повесим, тебя чипуем. Хочешь сказать, нормально?
> А, то есть тебе нравится, когда за тобой следят? Так давай тебе
> камеры в квартире повесим, тебя чипуем. Хочешь сказать, нормально?может быть этот человек эксгибиционист?
тогда от ваших примеров у него фантазия только разыграется
Ну если тебе нечего скрывать, то сделай копии своих ключей от квартиры и отнеси участковому, а логины и пароли - в местную ФСБ. Также держи открытыми двери, а летом и окна. Можешь стены стеклянные сделать и камеры везде повесить с прямой трансляцией в YouTube.
> с прямой трансляцией в YouTubeВ "Перископ" же!
Из"Мне безразлично если кто-то получит несанкционированный доступ к моему компьютеру"
не следует
"поэтому я выложил всё содержимое компьютера на торренты"
Но да, мне действительно безразлично. Для конфиденциальных данных у меня мини-ПК без доступа в сеть (даже локальную), где зашифрованные документы заархивированы в запароленные архивы и хранятся на криптодисках. Моя паранойя довольна. Домашний бюджет за несколько лет, планы на лето, пароли от домашнего WiFi - они под надёжной защитой.
Слишком красиво чтобы быть правдой.
Люди - ленивые. тчк. И того что ты написал - в реале никто не делает, если это не работа :)
Да и поздно пить боржоми! Со смартфоном ты что сделаешь? С умным теликом?
Скоро появятся умные холодильники и унитазы. И весь их "ум" пойдёт на то чтобы "ктонада" знал что ты ешь, чем ты ср**ь, с кем и как ты спишь, что смотришь\слушаешь, маршруты движения, круг друзей ... Прозрачная золотая клетка :(
> Скоро появятся умные холодильники и унитазы. И весь их "ум" пойдёт на
> то чтобы "ктонада" знал что ты ешь, чем ты ср**ь, с
> кем и как ты спишь, что смотришь\слушаешь, маршруты движения, круг друзей
> ... Прозрачная золотая клетка :(Так не подключайте их к инету. Мои телефоны в инет не ходят, не положено. Соответственно там нет переписок "защищенных" месенджеров, почты и фоточек с пьянок.
Изначально подразумевалось, что человек в принципе ничего не скрывает о себе, а не именно содержимое ПК.
> Изначально подразумевалось, что человек в принципе ничего не скрывает о себе, а
> не именно содержимое ПК.Какой человек? Тот, что яйца прибил на Кремлевской площади?
AMT это удалённое управление, а не зашита.Причём, подозреваю, что для домашнего юзера уязвимость не актуальна, поскольку никакого AMT у него нет (MEI есть, но AMT работает только на Q-чипсетах).
Вот не факт, не факт. Кто-то на ноуте AMT отключал на реддите. Причём успешно. Но это был единичный случай.
Таки не только Q-чипсеты:GM45 / PM45
GM965 / GME965 / GL960 / GLE960 / PM965
Ну, это старые, ещё до разделения на B/Q/H/Z-ветки
> ls /dev/mei0 -al
> crw------- 1 root root 246, 0 May 2 2017 /dev/mei0
$ ls /dev/mei0 -al
ls: невозможно получить доступ к '/dev/mei0': Нет такого файла или каталогаОн может как-то по другому называться?
>> ls /dev/mei0 -al
>> crw------- 1 root root 246, 0 May 2 2017 /dev/mei0
>призвана защищать компьютерОт пользователя?
Начиная примерно с 2010 года люди не хозяева своим машинам. Management Engine - причина считать всю криптографию по умолчанию скомпрометированной.
троянская установка через микрофон, генерация видеокартой шума коррелирующего после дешифровки и дискретизации с состояниями фреймбуфера, что там еще из современного киберпанка?
Только пакет "intel-microcode" или "amd-microcode" все же должен быть установлен.
Узнай наконец что такое RISC, CISC, ошибка Pentium FDIV, и как микрокод с ними всеми связан.
Ты наверное и комп покупал не для работы, а чтобы что-то доказать окружающим.
Это написано в инструкции по эксплуатации, которую большинство выбрасывает не читая. Они же ведь такие "умные"...
> Узнай наконец что такое RISC, CISC, ошибка Pentium FDIV, и как микрокод с ними всеми связан.Об этом написано в инструкции? Что употребляешь?
Что там про AMD слышно?
> Что там про AMD слышно?там те же 'яйца', только называются по другому
Там всё немного сложнее. В Bulldozer этот компонент открыт и его можно отключить (ЕМНИП). В Ryzen - уже нет. Знаю несколько людей, которые купили себе Оптероны (в десктопы!) именно из-за возможности отключить всю эту хрень.
Да, я тоже. И это среди специалистов уже вполне приемлемая практика.
К сожалению, про бэкдоры в новых процессорах молчит даже вики и 90% официальных материалов как у интела, так и у АМД.
Каой бульдозер и райзен? PSP только для arm
> Что там про AMD слышно?PSP в их диалекте.
Как отключить эту сатанинскую шнягу?
> Как отключить эту сатанинскую шнягу?А никак. Если оно не работает, то ящик самостоятельно заворачивается примерно через полчаса.
И это очень плохо. Вот пацаны год назад пытались бороться с этой шнягой, ничего не вышло.
http://vpro.by/intel-management-engineНу и какой смысл её отключать? Отключу назло всем и останусь без энергосбережения и переферии (вкл. PCI-X, SATA, USB, встроенный видеоадаптер и пр)?
Процессор, понятное дело, офигевает от таких желаний и ставит палки в колёса "исследователям".
> Ну и какой смысл её отключать?Новость не читай, на камменты отвечай!?
> Отключу назло всем
Интель и АНБ еще далеко не все.
> и останусь без энергосбережения и переферии (вкл. PCI-X, SATA, USB, встроенный видеоадаптер и пр)?Вполне естественно, что залочили сразу хорошо и глубоко. Как раз, чтобы не отключали кто попало. А то ишь ты, решили запретить доступ интелю к собственной машинке!
Связь Intel AMT и АНБ не доказана.Почему "залочили" изложено по ссылке. Дополню: оборудование начинают массово изготавливать ДО ТОГО как стандарт будет принят. Не всегда "угадывают", поэтому нужна программная прослойка. Также это позволяет исправлять аппаратные ошибки без замены оборудования.
По поводу последнего нужно сказать "спасибо" опенсорсным драйверам, которые (из-за крайнего нежелания авторов идти на компромисс с коммерческой компанией) отказывались реализовывать в своих драйверах программное исправление аппаратных ошибок. В итоге этот функционал реализовали в недоступном для ОС месте, которому потребовалось автообновление.
Теперь те же самые упороши пытаются отключить AMT - флаг им в руки. Надеюсь, сожгут к ***ям собачим себе северный мост, выбросят на помойку пару плат, нагадят во все форумы какой Интел гадкий, и на этом успокоются.
> которые (из-за крайнего нежелания коммерческих компаний идти на компромисс с авторами) были вынужденя вслепую, методом научного тыка разбираться с аппаратными ошибками, чтобы прописать в своих драйверах программное исправление.Fixed
> Почему "залочили" изложено по ссылке. Дополню: оборудование начинают массово
> изготавливать ДО ТОГО как стандарт будет принят. Не всегда "угадывают", поэтому нужна
> программная прослойка. Также это позволяет исправлять аппаратные ошибки без замены
> оборудования.теперь расскажите, зачем подобному софту быть наглухо закрытым и недокументированным, а в той его части, которая не имеет _ни_малейшего_ отношения к вами изложенному (AMT ничем подобным не занимается, это удаленное управление странным энтерпрайзным хламом за много денег) - напрочь отсутствовать механизм его отключения.
И если в вас не проснулся, но хотя бы заворочался во сне параноик - почитайте вот это: https://itpeernetwork.intel.com/understanding-amt-uefi-bios-.../
(вкратце - amt c IDEr, ВНЕЗАПНО, напрочь отключает secure boot. [кто там героически боролся с этой технологией - вот вам, от интела, на лопате, жрите] Про модный новый, с эмулятором usb - не знаю, но, подозреваю, подозреваю... )
Если я ничего не путаю, secure boot рекламировали как раз для защиты от такого.
путаешь - secure boot это защита от подмены загружаемого (uefi) бинарника. К IM и AMT никак вообще не привязанная.
(подчеркиваю - _единственного_ бинарника, поэтому осмысленно работает только с системой, где этот бинарник уже сам как-то умеет проверить все остальные запускаемые им бинарники. И да, эта система, чаще всего, называется windows)А amt, внезапно, при загрузке с удаленного носителя, отключает эту фичу без каких либо вопросов ;-)
> Связь Intel AMT и АНБ не доказанаВы ждете книгу об этом?
> нужно сказать "спасибо" опенсорсным драйверам
А это-то тут причем?
> из-за крайнего нежелания авторов идти на компромисс с коммерческой компанией
В "винде" эта "защита" от Intel тоже работает.
> Связь Intel AMT и АНБ не доказана.Вообще-то она никогда и не требовала быть доказанной. Просто она есть.
> Вполне естественно, что залочили сразу хорошо и глубоко.сразу - не очень и неглубоко. Иначе бы автоперезагрузка была не нужна.
Но сейчас там, как я понимаю, уже знатный кусок acpi, и, скорее всего, скоро будет действительно в принципе невозможно обойтись без этого функционала.забавно, что, судя по интеловской инструкции, amt тоже неотключаем - "unconfigured" это как-то плохо похоже на отключение.
https://hardenedlinux.github.io/firmware/2016/11/17/neutrali...
Полностью думаю никак нельзя, но вот тут пробуют выключить некоторые части, что-бы вся система не работала - https://github.com/corna/me_cleaner
> Как отключить эту сатанинскую шнягу?https://puri.sm/learn/intel-me/
Некоторые пробуют...
>уязвимостиОни делают вид, что это не by design.
вот тут разговор был тоже. даже вроде добились чего-то:
https://news.ycombinator.com/item?id=13056997
Осатанеть. Открыл https://software.intel.com/sites/manageability/AMT_Implement... а там какая-то адская энтерпрайз-байда с 5 типами API (включая SMB и "WS-Management over SOAP over HTTP" (!!!). Большая часть API — мечта троянописателя (и всё это прямо в процессоре!)Многие дистрибутивы поставляющиеся с включённым драйвером в конфиге ядра (/dev/mei). Как я понял, клиент выполняет ioctl к немы c нужным UUID (например для AMT — http://lxr.free-electrons.com/source/drivers/misc/mei/amthif... после чего запросы нижележащего протокола отправляются напрямую через read/write. Правда что там нужно передавать в эти read/write — SOAP что ли? — непонятно. Есть подозрение, что никто и никогда этим не пользовался и Linux-драйвер сделан для галочки и сами знаете кого.
А ещё есть веб-админка (?!). А там и до "инженерных" паролей недалеко…
Так что внутри любого современного x86 проца работает маленький дырявый роутер, с прошивкой, написанной фирменными интеловскими индусами
> Так что внутри любого современного x86 проца работаетThreadX
> с прошивкой, написаннойХЗ вообще кем.
>> с прошивкой, написанной
> ХЗ вообще кем.Наверное все-таки известно кем, вряд ли АНБ и подобные организации не проводили для себя аудита этого кода.
> Многие дистрибутивы поставляющиеся с включённым драйвером в конфиге ядра"intel-microcode" все-таки должен быть установлен.
Я вам больше скажу, начиная с чипсетов 1xx (H110 и выше) ME умеет в NFC (!).
> Я вам больше скажу, начиная с чипсетов 1xx (H110 и выше) ME
> умеет в NFC (!).Можно подробностей? Они хотя бы антенну внутрь чипа не встроили еще?
помню когда-то я ломал голову, почему на роутере в таблице arp у моего компа 2 ип адреса, про один из которых ос не знала вообще.
оказалось это амт работает. поменял мать на нормальную :)
> оказалось это амт работает. поменял мать на нормальную :)А "нормальная" это что? (Я вот тут сильно начинаю думать, что ширпотребные платы под Ынтель\АМД в данном смысле все поголовно ненормальны. А на рекламируемую Power-овскую копить как-то долговато :) ).
взял какую-то геймерскую без сабжевой штуки. то что там МЕ тоже есть - это да. но оно хотябы теперь в сеть само по себе не лезет (хотя кто его знает, что за нагромождения индусокода там крутятся в чипсете).
> взял какую-то геймерскую без сабжевой штуки. то что там МЕ тоже есть - это да. но оно
> хотябы теперь в сеть само по себе не лезетзасада именно в том, что лезет - ну, в смысле, "аппарат есть".
То есть AMT у тебя нету (которая для того чтобы _ты_ _из_сети_ мог к ней прилезть, если что-то пошло не так, и это-то, само по себе, было бы неплохой фишкой...слишком неплохой, думает интел, чтобы дать ее тебе забесплатно), а доступ MEшной механики к сетевым интерфейсам вполне себе есть - захочет, поднимет скрытый туннель куда-нибудь.
> (хотя кто его знает, что за нагромождения индусокода там крутятся в чипсете).
конкретно этот факт никто и не скрывает.
То есть глазик ты себе выколол, чтоб у тещи зять кривой был, но интелу с того не особо жарко или холодно.
Я тут один чтоль сижу на Libreboot X200 и Libreboot T400?
Только что-то ценник http://savepic.ru/13774956.jpg за "свободу" негуманный.
за свободу нужно платить
особенно много приходится платить в тех случаях, когда остальным на нее наплевать
Хрен с ним с ценой, эти либребуты имеют ужасное железо. Ну где это видано такое разрешения монитора, к примеру?
> Хрен с ним с ценой, эти либребуты имеют ужасное железо. Ну где
> это видано такое разрешения монитора, к примеру?реально не понятно - очень часто в устройствах "для (открытого) линукса" не только всякие проц/видяха хреновые (это то объяснимо если эти вариации "без загрузки через гпу"), но и оперативки полметра и остальное - как с помойки 20летней давности но с ценами как за винтаж
>> Хрен с ним с ценой, эти либребуты имеют ужасное железо. Ну где
>> это видано такое разрешения монитора, к примеру?
> реально не понятно - очень часто в устройствах "для (открытого) линукса" не
> только всякие проц/видяха хреновые (это то объяснимо если эти вариации "без
> загрузки через гпу"), но и оперативки полметра и остальное - как
> с помойки 20летней давности но с ценами как за винтажтоесть и денег заплатить готов, но не за калькулятор если не счёты без костяшек же ?!!! а нету нихрена, и то что есть - делают на отыись
> Я тут один чтоль сижу на Libreboot X200 и Libreboot T400?Как минимум еще один есть... :-)
из оффсайта пишут,что уязвимости подвержены прошивки начиная с 6 версии тоесть все что выше Q45 чипсета.
> из оффсайтана оф. сайте
Больше, больше паранойи! А была ли вообще уязвимость? Может интелу понадобилось задеплоить новый бекдор, и вот таким образом стимулируют юзеров обновиться? Информации-то подробной об "уязвимости" нет, одни общие слова.
Прям как у windows
> Прям как у windowsСлово такое есть ругательное, "wintel", слыхали? :)
> Информации-то подробной об "уязвимости" нет, одни общие слова.Агент Intel, залогиньтесь. /s
Полно инфы, и даже есть инфа как отключить это дело, но работает это только на некоторых моделях ноутов.
На ноуте Lenovo G780:
$ lspci| grep -E "MEI|HECI"
00:16.0 Communication controller: Intel Corporation 7 Series/C216 Chipset Family MEI Controller #1 (rev 04)
$ ls /dev/mei0 -al
crw------- 1 root root 245, 0 апр 23 17:34 /dev/mei0"Уже установлен пакет intel-microcode самой новой версии (3.20161104.1)"
Еду в Магадан?
$ lspci| grep -E "MEI|HECI"
$ ls /dev/mei0 -al
ls: невозможно получить доступ к '/dev/mei0': Нет такого файла или каталога
$ apt policy intel-microcode
intel-microcode:
Установлен: (отсутствует)
Кандидат: 3.20161104.1
Таблица версий:
3.20161104.1 500
500 http://mirror.yandex.ru/debian stretch/non-free amd64 Packages
> Еду в Магадан?Получается, что да.
Отсутствие /dev/mei0 означает только то, что у вас нет доступа к (ограниченному) интерфейсу управлению этой дрянью. AMT всё также доступен из ring 0, а до тех пор пока используется интегрированная интеловская сетевуха, - то и извне.
Класс
А если внешнюю сетевую карту воткнуть, оно будет доступно?
> А если внешнюю сетевую карту воткнуть, оно будет доступно?https://habrahabr.ru/company/dsec/blog/282546/#comment_8872178
Проще говоря, если у вас сетевой чип, распаянный на материнке (физически он сидит на PCI-E x1), но не интеловский, то, вероятно (но не точно) ME не имеет к нему внеполосный доступ.Забавно, что все "типа-про-геймеры" хают реалтековские чипы и дрочат как раз на интеловские.
> Забавно, что все "типа-про-геймеры" хают реалтековские чипы и дрочат как раз напросто "про" - что характерно, тоже.
> интеловские.а что, другие есть?
Вам [гига]битики передавать или бороться за все хорошее против всей х..ни? Если первое, то увы - кроме рылотыков, хуже и уродливее которых не найти за всю историю, когда выбор еще был, их выбирали те кто "чтоб денег вообще не платить", остались broadcom (вы его не хотите, а захотите так не купите, oem-only), интел, китайский интел и куча устаревшего хлама.
Это примерно как героическая борьба за libreboot - за миллион денег, по факту, получаем древний-древний ленововский ноут, который я и от леновы, за нормальную цену, на свои деньги покупать бы побрезговал. Причем часть начинки в нем не работает.
Не понял последнюю цитату...
А что плохого в X60/T60/X200/T400/T500/X220 ?
Да, после установки libreboot нужно поставить совместимый wi-fi-модуль... И всё. Камера, сканер отпечатка пальца, bluetooth и всё остальное работает с linux-libre.
И зачем покупать за миллион денег? Хотите поддержать проект - покупаете. Если же просто хотите для себя сделать, покупаете программатор, прищепку на чип, провода, блок на 3.3Вольта и вперед...
> А что плохого в X60/T60/X200/T400/T500/X220 ?Не макбук, видимо. Товарищ, возможно, в душе немного вейпер и может быть даже чуть-чуть веган-велосипедист.
С х230 libreboot так пока что и не работает как следует? На них научились ставить человеческие клавиатуры от 220, спасибо упорству отдельных людей, https://linux.conf.au/schedule/presentation/48/
С экранами тоже есть варианты, но пока не с tablet-версией.
Хотя такого экрана как 1400х1050 у x61t уже наверное не будет.> Да, после установки libreboot нужно поставить совместимый wi-fi-модуль.
Модуль wi-fi, работающий без закрытого блоба, существует в природе практически один.
> Модуль wi-fi, работающий без закрытого блоба, существует в природе практически один.и, дайте угадаю, даже младшего 'n' толком не умеет, сидите на своих 54mb ?
(еще один плевок в сторону леновы с ее интелом 2010го года)
> (еще один плевок в сторону леновы с ее интелом 2010го года)Мало ли что там в комплекте идёт. Не макбук, не припаяно.
я пытался поменять вифи в ленововском ноуте - биос сказал: "фигня какая-то неподписаная, я это включать не буду"
так что припаивать не обязательно - можно в прошивке указать белый список поддерживаемого оборудования
Надо в антимонопольный комитет подать жалобу.
Речь видимо о модуле ядра ath9k. Он поддерживает практически всю линейку wifi-модулей 802.11n от Atheros.
> А что плохого в X60/T60/X200/T400/T500/X220ну, могу только за T60 и x220 - остальными мало пользовался.
Первый у меня был прикован цепью к столу, и я довольно быстро забыл от нее код - все равно использовать ЭТО в качестве носимого устройства не было ни малейшего желания.
То есть как десктопная машинка он был бы относительно ничего, если бы имел дырку для внешнего дисплея, отличную от vga, памяти больше 4G (все это было актуально уже в том 2007м когда эта штука еще производилась, ага) и процессор повеселее (но для тех лет приемлемо). Первая проблема, наверное, решалась через док (с неприятными лимитами на число точек), но я не хочу видеть этот ужас-ужас и знать о его цене тем более. К тому же либребутом он вряд ли поддерживаетсо.
Зато там был fireGL, это последняя модель, где такое(+нормальная матрица) есть.Последний - это уже типичнейший китай. Причем это китай 2011го года. Все на соплях, лампочку подсветки кнопок в моей модели пожабились поставить, клавиатура...как у всех, в общем, можно, наверное, привыкнуть, но ну его нафиг. И интеловское видео второго поколения (то которое 3000), ну то есть вот на работе пофиг, а дома я такое не хочу точно. Оно уже оборудовано display port (отдельное фе), но с 4k монитором "почему-то" рисует черный экран.
а, да - у обоих любимый ебеме тачпад, за который хочется убить отдельно (как и за то что штатный виндодрайвер эмулирует не трехкнопочную мышь, а непонятное уродство)
не, ну вы правда такую херню за килоевру собрались купить?
> Если же просто хотите для себя сделать, покупаете программатор, прищепку на чип,
> провода, блок на 3.3Вольта и вперед...куда вперед - где я зимой негра-то достану? В смысле - где вы брать T60 будете, и во что он обойдется со своей ddr2 памятью по цене золотого слитка того же размера и уникальными процессорами T-серии?
> забыл от нее код - все равно использовать ЭТО в качестве
> носимого устройства не было ни малейшего желания.А что именно мешало? Возможность захватить с собой столько сколько нужно аккумуляторов, и таких каких нужно? Недостаточно скользкие поверхности? Слишком высокая прочность?
> Первая проблема, наверное, решалась через док (с неприятными лимитами на число
> точек), но я не хочу видеть этот ужас-ужас и знать о
> его цене тем более.В чем же проблема с доком? В чем именно "ужас"? Вас расстраивает само его существование? Вы предпочли бы ноутбук, который не умеет в док-станции вообще? Вы любите постоянно перетыкать провода?
> К тому же либребутом он вряд ли поддерживаетсо.
Чему же там не поддерживаться?
> Последний - это уже типичнейший китай. Причем это китай 2011го года.
Прогресс не стоит на месте. У всех производителей.
> клавиатура...как у всех, в общем
Oh really? Перечислите пожалуйста этих "всех" у кого такая же клавиатура.
> И интеловское видео второго поколения (то которое 3000), ну то есть
> вот на работе пофиг, а дома я такое не хочу точно.Внешняя видеокарта, если Вам зачем-то это нужно, решает проблему.
> Оно уже оборудовано display port (отдельное фе)
Вы предпочли бы что именно вместо него?
> но с 4k монитором "почему-то" рисует черный экран.
2560x1600 на 60Hz, выше - меньше.
> а, да - у обоих любимый ебеме тачпад, за который хочется убить
Отключается в BIOS. Совсем. Один раз.
Раньше была опция "совсем не устанавливать это в мой ноутбук" прямо на сайте в выборе конфигурации, но ко времени 220 уже убрали.> куда вперед - где я зимой негра-то достану? В смысле - где
> вы брать T60 будетеНа eBay, например.
> и во что он обойдется со своей ddr2 памятью по цене золотого слитка того же размера и уникальными процессорами T-серии?
Всё доступно, Гугл в одном нажатии клавиши от Вас.
> А что именно мешало?отсутствие у этого чемодана ручки и колесиков.
> В чем же проблема с доком?
вы 60-чный док видели вообще? А пользоваться им пробовали? Второй стол, что-ли, рядом поставить. Хотя, опять же - проблемы с экраном...
> Вы предпочли бы ноутбук, который не умеет в док-станции вообще?
я предпочел бы такой, которому докстанция нужна разьве что для быстро-вскочил-и-побежал, да, а не просто для относительно комфортной работы за столом. Для этого нужно больше трех usb, и не 2.0, выход на 4k с нормальным разъемом, ну и клавиши-трекпад человеческие (да, с последним у всех плохо, можно только привыкать к разным сортам плохого).
> Внешняя видеокарта, если Вам зачем-то это нужно, решает проблему.
ну расскажите, расскажите - как вы ее решали и что это была за видеокарта (и отдельно про libreboot - мы же ради него на все эти страдания подписались)
>> Оно уже оборудовано display port (отдельное фе)
> Вы предпочли бы что именно вместо него?hdmi, если уж совсем никак нельзя dvi уместить (vga разъемы десять лет влезали, а dvi почему-то никак) - к нему, как минимум, есть доступные _хорошие_ кабели, не говоря уже о том, что почти в любом мониторе есть прямое подключение.
> 2560x1600 на 60Hz, выше - меньше.
и что мне делать с моим 3840 - взять ножовку и отпилить кусок? (прикол еще и в том, что именно черный экран - то есть нельзя даже настроить на пониженное разрешение, не на чем)
> Отключается в BIOS. Совсем. Один раз.
э... ну вот отключил - сижу, как дурак, без тачпада. Нужен-то был - удобный...
Причем с X еще ладно - спихнул его в сторону от нормальных монитора-клавиатуры-мыши, и хрен с ним, а T не спихнешь.> На eBay, например.
то есть либо таки по цене слитка, либо бу с неведомыми проблемами.
> Всё доступно
это был риторический вопрос. Доступно, если хочется швыряться деньгами. Но я не готов покупать себе проблемы заподорого. Даже ради мировой рево...свободного хардваря.
Был бы в хорошем состоянии по цене лома - я бы может даже купил просто для коллекции, без всяких либробутов, он прикольный был. Но совершенно не для работы в наши дни, увы.
>> Вам [гига]битики передавать или бороться за все хорошее против всей х..ни?Мне котиков на ютубе смотреть через 20-мегабитный канал и в онлайн-игры шпилить.
Для этих целей у интела есть какое-то различимое преимущество перед реалтеком?
А броадком у меня был (Atheros, если точнее), на старой плате.
> Мне котиков на ютубе смотреть через 20-мегабитный канал и в онлайн-игры шпилить.мля, ну и дайте вы NSA посмотреть ваших котиков, и поглядеть на шмот в онлайн игре, жалко вам, что-ле? (опять же - хороших пацанов в этом мусоре сложнее будет разглядеть)
> Для этих целей у интела есть какое-то различимое преимущество перед реалтеком?
ни малейших. Но если на плате для таких целей интел - так и хрен бы с ним.
(у меня вон вообще юкон, глюк на глюке и баг на баге - но котикам-то что с тех проблем?)проблема-то, что делать если оно для работы, и даже регулярно и всерьез хочется 10G... На выбор остаются интел, интел и интел, ага.
> Забавно, что все "типа-про-геймеры" хают реалтековские чипы и дрочат как раз на
> интеловские.Не только "типа-про-геймеры". Если посмотреть, например, на Хетцнеровский аукцион серверов, то "iNIC" встречается достаточно часто. Это обычно означает что предыдущие арендаторы этого сервера заплатили дополнительные деньги за то что бы им поставили эту интеловскую сетевую карту. Может быть Реалтек и научился наконец делать сетевые адаптеры уже, но мало кому интересно это выяснять.
> Не только "типа-про-геймеры". Если посмотреть, например, на Хетцнеровский аукцион
> серверов,там есть один ньюанс: на рылотыковскую хетзнерскую машину очень, очень неудобно ставить esxi (а шестой, кажется, уже и невозможно)
> эту интеловскую сетевую карту. Может быть Реалтек и научился наконец делать
> сетевые адаптеры уже, но мало кому интересно это выяснять.не, не научился (а научится - обратно интел выйдет. Чудес-то не бывает). Но вроде как для cheap hosting это не должно быть проблемой, он же не по сетевой дохнет первым.
>> Не только "типа-про-геймеры". Если посмотреть, например, на Хетцнеровский аукцион
>> серверов,
> там есть один ньюанс: на рылотыковскую хетзнерскую машину очень, очень неудобно ставить
> esxi (а шестой, кажется, уже и невозможно)Вы думаете дело именно в этом? Хетцнеру можно прислать флэшку, это гораздо дешевле чем платить каждый месяц за опциональное оборудоание в виде интеловской карты.
> не, не научился (а научится - обратно интел выйдет. Чудес-то не бывает).
Интел этот рынок почти утерял. Мелланоксу с компанией. LTE - квалкому.
> Но вроде как для cheap hosting это не должно быть проблемой,
> он же не по сетевой дохнет первым.Дело не в том кто дохнет, дело в том кто как работает пока не сдох.
> Вы думаете дело именно в этом? Хетцнеру можно прислать флэшку, это гораздотам проблема в том, что это неподдерживаемая конфигурация в принципе.
Драйвер выковыривается откуда-то из древней версии и какими-то ненатуральными телодвижениями впихивается в рабочую. Полагаю, многим достаточно изучить инструкцию, чтобы пойти за апгрейдом.> дешевле чем платить каждый месяц за опциональное оборудоание в виде интеловской
> карты.ну если сервер не для красоты, то платишь ты не свои деньги, их гораздо меньше жалко.
> Интел этот рынок почти утерял. Мелланоксу с компанией. LTE - квалкому.
ой, не надо - альтернативного сексования с меланоксой тоже никому не пожелаю.
Оно потом в конце-концов даже работает, но любить ты его за это не будешь. А LTE им, полагаю, не жалко - один геморрой, и все равно на другом конце будет интел - в EPC ;-)>> Но вроде как для cheap hosting это не должно быть проблемой,
>> он же не по сетевой дохнет первым.
> Дело не в том кто дохнет, дело в том кто как работает
> пока не сдох.ну, у меня их разных есть и было - как-то вот ни разу не доходило до замены риалтека - гораздо раньше по сумме факторов приходилось перетаскивать все в родной московский датацентр на правильную коробку заподорого.
Потому что правильный рейд плюс правильные диски и желательно еще и на правильной матери в случае хетзнера резко перестают быть дешевым решением, и становится непонятно, зачем эти сложности.
1. Делаем три бэкдора
2. Даже при обнаружии одного и подозрении на второй - у нас остаётся в запасе третий
3. ????
4. Profit
$ lspci| grep -E "MEI|HECI" && sudo dmidecode | grep 'Family:'00:16.0 Communication controller: Intel Corporation 8 Series/C220 Series Chipset
Family MEI Controller #1 (rev 04)
Family: Core i7
Family: ThinkPad W541
А быть может кто-нибудь знает, где нарыть список процессоров без этой красоты?
(странно, что такое шикарное достоинство, как наличие security processor'a, нигде не упоминается в спецификациях CPU и его нужно искать по всяким пресс-релизам, рассылкам, форумам и т.д.)
> А быть может кто-нибудь знает, где нарыть список процессоров без этой красоты?Так берите всё что не от Intel, AMD, и ARM.
Или старенькое что-нибудь. В наше странное время процессорная мощность локально всё равно совершенно недостаточна для каких-либо серьезных задач, так что опять вернулись к терминалам, только мейнфрейм теперь называется AWS. А для несерьезных наоборот, избыточна, так что хватит и Core2Duo, особенно если памяти побольше для браузера поставить.
Разве что-то сейчас есть не от Intel, AMD, и ARM?На старые АМД смотрю, но вот какое дело: старое железо может различаться на пару поколений, а разница в цене будет 10-15 баксов. Поэтому хочется взять максимально свежее, но при этом достаточно старое :) Собрать, так сказать, машинку на следующие 5-7 лет. Там все равно, то-нибудь да произойдет, или падишах сдохнет, или я или ишак.
А инфы в спецификациях нет...
В интелах есть уязвимость (может эта, может другая) которая работает на процах с 2008-го года по наше время.
Пысы: Сижу под вин10 на новеньком интеле с уязвимостью, чего и вам желаю)
> Так берите всё что не от Intel, AMD, и ARM.В голову приходит только Power, SPARC & MIPS. Благородный дон случаем не подскажет, где бы на эти вещи хотя бы посмотреть в виде десктопов, на которые современный (7 или 8) Debian можно водрузить?
> В голову приходит только Power, SPARC & MIPS. Благородный дон случаем не
> подскажет, где бы на эти вещи хотя бы посмотреть в виде
> десктопов, на которые современный (7 или 8) Debian можно водрузить?craigslist в разделе "Отдам самовывозом в связи с разводом и выбрасыванием барахла из подвала"
Amiga (PPC 460ex), вполне приличный десктоп по нынешним меркам. На консольку с сериальником хватит.
> где бы на эти вещи хотя бы посмотреть в виде десктопов, на которые современный (7 или 8) Debian можно водрузить?Непонятно троллите (гуглили) ли, но вот MIPS FuLoong Mini-PC с MIPS Longson CPU наверное будет похлеще Амиги, $190:
http://www.fodomart.com/Mini-PC/Fuloong-Mini-pc-Linux-thin-C...
http://www.hamiltone.co.uk/pcs.html
>> А быть может кто-нибудь знает, где нарыть список процессоров без этой красоты?
> Так берите всё что не от Intel, AMD, и ARM.а у arm эта шняга как называется ? и тоже во всех моделях поголовно ?
зы: а вообще как я понимаю можно попробовать бороться расставляя программно метки на ЛЮБОЙ И ВЕСЬ трафик генерённый компом и на роутере дропая вообще всё что без метки ?
По-моему надежнее подключаться к роутеру через VPN и запретить на роутере форвардинг в WAN для всего кроме пришедшего с VPN-интерфейса.
В ARM она называется по разному, но хорошо задокументирована, и как правило не используется. Исключение - самсунговские лопатофоны со своей мега-системой защиты и китайские трояны (там, где китайцам не влом было их встроить).Единственная причина, почему ARM считается "надёжнее" x86-based в этом плане - схемы ARM лицензируются, т.е. гораздо больше людей могут быть "в теме", и меньше шанс, что явные закладки вроде сабжа останутся незамеченными.
Впрочем ARM недавно купили с потрохами китайцы, так что теперь это похоже просто вопрос выбора хозяина.
> Впрочем ARM недавно купили с потрохамияпонцы жи!
Странно, что в статье никак не упомянуто о том, что на страницеhttps://security-center.intel.com/advisory.aspx?intelid=INTE...
упоминается обнаруживший, зарепортивший и помогающий Intel вероятно русский парень Максим Малютин
[quote]
Acknowledgements:Intel would like to thank Maksim Malyutin from Embedi for reporting this issue and working with us on coordinated disclosure.
[/quote]
Я же правильно понял, что для удалённого подключения дополнительный, недоступный для ОС, сетевой интерфейс, с отдельным MAC-адресом, должен быть сконфигурирован со статическим или полученным по DHCP IP-адресом? Т. е. подключаться надо на порты не IP-адреса сервера, а на порты IP-адреса его интерфейса управления out-of-band?