Интересной особенностью Management Engine является способность работать при выключенном компьютере, при условии сохранения питания от сети. Спящий или выключенный компьютер может продолжать сетевой обмен. По этой причине первые версии Management Engine были интегрированы в сетевой контроллер, но потом аппаратную составляющую ME перенесли в более укромное место.

Вторая интригующая особенность ME — абсолютная независимость от центрального процессора. Это дает спецслужбам сразу 2 очень-очень приятные возможности: Во-первых, можно перевести сетевой интерфейс в режим прослушки и ни одна программа даже теоретически не способна это обнаружить и предупредить пользователя.

Весь спецсофт, вычищающий трояны и руткиты, первым делом просматривает доступные интерфейсы и проверяет их на активацию режима promiscuous. Если режим активен, а пользователь об этом явно не просил, то данный факт будет рассматриваться как свидетельство присутствия вредоносного софта. Management Engine учитывает этот нюанс и все операции выполняются без привлечения CPU. Получается идеальный троян-невидимка. Во-вторых, пользователь гарантированно не сможет деактивировать Management Engine, ведь троян представляет собой почти автономную систему.

Слово «почти» употреблено потому, что общее ОЗУ всё же используется на определенном этапе инициализации ME. Но инженеры Intel позаботились о том, чтобы скрыть свой аппаратный троян самым надежным образом. ME через BIOS запрашивает выделение оперативной памяти. BIOS выделяет указанный объем и... помечает этот фрагмент специальным флагом. После этого процессор не может получить доступ к выделенной памяти даже работая с наивысшим уровнем полномочий. Таким образом, пользователь не только не может удалить ME, но не в состоянии даже временно нарушить его работу, модифицировав данные в ОЗУ.

Как деактивировать Management Engine.

Сделать это трудно. Хомячки с Windows на этом месте могут закончить чтение. Линуксоиды без глубоких познаний в аппаратной части тоже могут идти лесом. Остававшиеся приглашаются посетить сайт с замечательным чудо-пакетом Libreboot.

Libreboot — это целый комплекс программ, предназначенных, как следует из названия, для освобождения аппаратной составляющей загрузки от всякой шпионящей дряни. Как было сказано выше, троян от Intel не использует в своей работе CPU. Следовательно, запуск Libreboot на основном компьютере ничего не даст. Любителю свободы потребуется специальный внешний программатор. К счастью, стоит он копейки и продается с сайта. Наиболее популярная модель — BeagleBone Black. Заполучив данный девайс, нужно вскрыть компьютер и найти троянскую микросхему. Выглядит она так:

И подключить к ней программатор:

На этом сложная часть завершается и остается скопипастить несколько команд. Заходим на чудо-девайс по ssh и печатаем:

root@beaglebone:/dev/shm# /opt/flashrom/flashrom -p linux_spi:dev=/dev/spidev1.0,spispeed=4096

Так мы узнаем версию и модель чипа. Теперь делаем дамп прошивки:

root@beaglebone:/dev/shm# /opt/flashrom/flashrom -p linux_spi:dev=/dev/spidev1.0,spispeed=4096 [-c ] -r factory_x220.bin

Извлечем из дампа код BIOS. Поможет в этом утилита ifdtool из комплекта coreboot.

ifdtool -x factory_x220.bin

Теперь самый ответственный момент: деактивация трояна от Intel с помощью чудо-утилиты с говорящим названием me_cleaner от большого любителя линуксов Николя Корнера:

me_cleaner.py intel_me.bin

Запилим модифицированный BIOS обратно в образ прошивки:

ifdtool -i ME:intel_me.bin factory_x220.bin

Передадим по scp модифицированную прошивку обратно на BeagleBone Black и перепрошьем чип-шпион модифицированной прошивкой с деактивированным ME.

scp -C factory_x220.bin.new root@beaglebone.local:/dev/shm root@beaglebone:/dev/shm# /opt/flashrom/flashrom -VVp linux_spi:dev=/dev/spidev1.0,spispeed=4096 [-c ] -w factory_x220.bin.new

Готово. Вот теперь компьютер может считаться действительно свободным от слежки. И помните: аппаратный троян Intel Management Engine превращает любой компьютер в инструмент слежки и контроля. Используемая вами ОС значения не имеет — ME работает полностью в автономном режиме.

ВНИМАНИЕ:

Описанная выше процедура сложна и грозит поломками при неумелом использовании представленных инструментов. Но других способов получить защищенный от прослушки компьютер нет.

Добавленно из комментов:

Кстати, бывает так, что SPI программатор не может найти чип.

В этом случае помогает сбавить spispeed с 4096 на 128.

Шиться будет медленнее, но надёжнее.

Ещё нужно помнить что сначала подключается все контакты для данных и земля, и в последнюю очередь питание.