> в общем-то документированная и явно видная технология
Документация на структуру ME Region и внутренности его прошивки доступна? Я пока что вижу что сделано все возможное, чтобы никто не разобрался что там внутри. А внутри может быть full access для АНБ на самом низком уровне, например в виде интерфейса чтения/записи памяти посредством посылки специально сформированных сетевых пакетов.
Установка левого софта, запуск почтовых аттачей - это угрозы давнего прошлого, когда для обнаружения взлома советовали смотреть логи, а kernel mode руткит считался чем-то экстраординарным. Сейчас атаки стали сильнее, закладки прячут лучше и глубже, а руткиты невидимые на зараженной системе - норма, а не исключение. Надо вырабатывать меры противодействия вовремя, а не когда петух клюнет.
По теме: я осилил отключение ME на стадии PEI через LPC Function Disable 2 Register и подмену всех общающихся с ним драйверов (HeciPei, HeciDxe, HeciSmm, MePciPlatform, MePeiPolicyInit, MePlatformPolicy, PchMeUma). При этом все связанные с ME устройства пропадают из PCI Config Space и ME устройство не получает 32мб системной DRAM под свою работу. После этого всё запускается и работает нормально. Но сама прошивка ME должна присутствовать, и неизвестно что она может делать опираясь только на свою on-chip память. В дополнение можно отключить встроенные сетевухи и вставить дискретную сетевую карту не-intel, маловероятно что троян сможет ей пользоваться.
Только это полумеры. Хочется чистого выпила, с ликвидацией потенциально опасной прошивки.
PS: идея еще одной полумеры: изоляция ME от системной памяти посредством контроля басмастеринга через VT-d. Насколько реализуемо?
> в общем-то документированная и явно видная технология
Документация на структуру ME Region и внутренности его прошивки доступна? Я пока что вижу что сделано все возможное, чтобы никто не разобрался что там внутри. А внутри может быть full access для АНБ на самом низком уровне, например в виде интерфейса чтения/записи памяти посредством посылки специально сформированных сетевых пакетов.
Установка левого софта, запуск почтовых аттачей - это угрозы давнего прошлого, когда для обнаружения взлома советовали смотреть логи, а kernel mode руткит считался чем-то экстраординарным. Сейчас атаки стали сильнее, закладки прячут лучше и глубже, а руткиты невидимые на зараженной системе - норма, а не исключение. Надо вырабатывать меры противодействия вовремя, а не когда петух клюнет.
По теме: я осилил отключение ME на стадии PEI через LPC Function Disable 2 Register и подмену всех общающихся с ним драйверов (HeciPei, HeciDxe, HeciSmm, MePciPlatform, MePeiPolicyInit, MePlatformPolicy, PchMeUma). При этом все связанные с ME устройства пропадают из PCI Config Space и ME устройство не получает 32мб системной DRAM под свою работу. После этого всё запускается и работает нормально. Но сама прошивка ME должна присутствовать, и неизвестно что она может делать опираясь только на свою on-chip память. В дополнение можно отключить встроенные сетевухи и вставить дискретную сетевую карту не-intel, маловероятно что троян сможет ей пользоваться.
Только это полумеры. Хочется чистого выпила, с ликвидацией потенциально опасной прошивки.
PS: идея еще одной полумеры: изоляция ME от системной памяти посредством контроля басмастеринга через VT-d. Насколько реализуемо?