"Me libré de Intel ME gracias a LibreBoot."
-
Pues tal cual lo he leído.
Alguien que he leído por ahí, afirmaba que era posible deshabilitar Intel ME mediante el proyecto de BIOS/ UEFI modificadas LibreBoot.
¿A cuénto de qué viene todo ésto ahora?
El problema que se trataba de evitar, eran las vulnerabilidades latentes en los procesadores Intel, que como sabemos fundamentalmente se encuentra en el firmware de su módulo dentro del procesador.
Según contaba, encontró en LibreBoot la manera de desactivar Intel ME.¿Qué hay de verdad en ésto?
Para empezar, hay que diferenciar entre software y firmware (no voy a ser yo quien la explique, bastante básica es la noción). De tal modo, mientras que nuestro amigo efectivamente lograba desactivar el servicio "Intel ME" en su ordenador (a partir de ahí ya me cuestioné seguir con el tema) gracias al mencionado proyecto, quise saber hasta qué punto podríamos conseguir burlar al firmware y a los microcódigos del procesador.
La verdad es que lo que consigue (cuando lo consigue) es "derivar" las instrucciones de Intel ME, es decir que no lo anula, simplemente permite cierto control sobre su funcionamiento. Y digo "cuando lo consigue" porque la tabla de compatibilidad del proyecto es tan limitada, que realmente dudo bastante que alguien logre sacar algo en limpio.
¿Pero entonces, se puede o no?
La alternativa más solvente, CoreBoot, igualmente advierte que todo depende de la placa base: dado que todos éstos proyectos no alteran en modo alguno ni a Intel ME ni a su equivalente AMD, el "Platform Security Processor" (PSP), dependen de cómo se pueda compatibilizar las intrucciones de las BIOS/ UEFI modificadas con las de las diferentes placas y generaciones de procesador.
A la conclusión que llego es que la afirmación del título es puramente efectista (tendríais que leer el resto de la entrada del buen hombre), porque a dia de hoy sólo Intel / AMD pueden desactivar esas instrucciones; lo que deja éstos proyectos fuera del interés del usuario común.
Eso sin contar las muchas posibilidades de acabar convirtiendo el dispositivo/ equipo en un ladrillo.
Suenan campanas de que cierto grupo de investigación ha logrado cierto éxito desactivando Intel ME, pero con un procedimiento sin documentar... a saber.
¿Alguien ha trasteado con equivalentes a LibreBoot/ CoreBoot?
¿Cuál y cómo ha sido vuestra experiencia? -
Hace meses que estoy un poco alejado de los avances en estos temas. En la portada hay algunas entradas para los interesados:
· Intel ME, la conocida puerta trasera de Intel
· Coreboot, la BIOS libre
· La plataforma x86, nociva según experta en seguridad
· El estado actual de la seguridad en el arranque
· Problemas de seguridad incorregibles en la plataforma x86
· Los problemas de seguridad de AMD
· Carta abierta a Intel de Andrew Tenenbaum
· AMD estudia liberar el código de PSP (Hasta donde sé, esto no ha pasado nunca y esta entrada es de hace un año).
· Descubierta importante vulnerabilidad en plataforma Intel (Nada que ver con Meltdown/Spectre y compañía)
· Detectado fallo de seguridad en Intel ME
· Encontrado interruptor secreto para Intel ME
· Intel ME prácticamente puenteadoBásicamente se está intentando destripar ME por ingeniería inversa y de esa forma poder puentearlo. La razón de no poder instalar una BIOS alternativa es que tanto Intel como AMD tienen mecanismos de seguridad donde se firma digitalmente el firmware y se compara con una clave escrita en hardware. Esto se hace así ya que un malware que se haga con el control de una máquina con ME o PSP, tiene acceso directo a todo el hardware, con todo lo que ello supone y sin posibilidad de detección. Por eso y hasta donde sé, las últimas placas base a las que se puede dar soporte Coreboot son la plataforma 775 de Intel (y no en todas).
Con este tema pasa como con tantos otros: es un nicho. A la gente le da igual la seguridad a estos niveles. Si esto avanza es por el trabajo de voluntarios que lo hacen por amor al arte que tienen que luchar contra los sistemas de protección de los grandes fabricantes. Hay advertencias de expertos y de desarrolladores de renombre que llevan años diciendo que ME y PSP son una temeridad.
Meltdown/Spectre ha dado que hablar meses y meses y ha supuesto un escándalo que ha hecho variar hasta el precio de las acciones de los grandes aún siendo vulnerabilidades que afectan a ámbitos muy limitados y cuya ejecución es técnicamente complicada. El día que se explote algún agujero serio en ME o PSP, el caos va a ser de proporciones bíblicas.
Toda la actualidad en la portada de Hardlimit
Mis cacharros -
Precisamente porque todos esos enlaces me los leí en su día (y algunos vuelto a releer) se me levantaron las orejas al leer que alguien tenía el ME deshabilitado y quise indagar algo en el tema.
Ciertamente, como bien dices son proyectos muy marginados, tanto en popularidad como en recursos, y lo peor es que puentearlo es la única alternativa a falta de un tercer fabricante en discordia (lo de ZhaoXin creo que lo verán mis nietos) que no implemente su módulo de control en el procesador.
Con respecto a que a la gente le de igual, por supuesto que la mayoría de usuarios ni siquiera saben en lo que consiste ME /PSP, o que siquiera exista; pero también es verdad que no sé hasta qué punto es sano preocuparse por algo que no puedes evitar o corregir.
