Yksityisyyden suojaan panostava Purism: Poistimme Intelin Management Enginen käytöstä

[Kaotik]

Purism lienee vielä useimmille täysin tuntematon tietokonevalmistaja. Kyseessä on vuonna 2014 perustettu start-up-yritys, joka keskittyy käyttäjän yksityisyyden kaiken edelle nostaviin laitteisiin.

Yhtiö on nyt ilmoittanut, että se on onnistunut poistamaan kannettavistaan käytöstä Intelin Management Enginen, eli yksikön joka mahdollistaa tietokoneen hallinnan monella tasolla, vaikkei itse tietokone olisi edes päällä. Intelin ME on käyttäjien näkökulmasta ns. ”musta laatikko”, eli sen tekemisiä on mahdotonta seurata. Monet epäilevät, että siihen voi olla piilotettu erilaisia takaovia esimerkiksi valtioiden tiedustelupalveluita varten, jonka lisäksi siitä löydettiin hiljattain vaaralliseksi luokiteltu haavoittuvuus.

Purismin kannettavat käyttävät perinteisen UEFIn tai BIOSin sijasta avoimen lähdekoodin Coreboot-firmwarea. Sen avulla yhtiö kertoo päässeensä tutkailemaan, miten Intelin ME keskustelee muun raudan kanssa ja sitä kautta estämään sen toimintaa. Yhtiön mukaan sen vanhemmilla Broadwell-kannettavilla ME oli neutralisoitu, mutta ei täysin disabloitu, koska niin suuri osa ME:n koodista oli sijoitettu ROM-muistiin. Skylake-arkkitehtuurin myötä Intel siirtyi täysin uuteen x86-pohjaiseen ME-yksikköön ja samalla se siirsi ison osan koodista ROM-muistista Flash-muistille, mikä antoi Purismille mahdollisuuden poistaa se käytännössä kokonaan käytöstä. Yhtiö kertoo seuraavan tavoitteensa olevan yksinkertaisesti koko Intel ME:n poisto.

Asiasta syvemmin kiinnostuneille suosittelemme lukemaan Tom’s Hardwaren syväluotaavamman artikkelin ja aiemmat artikkelit Purismin taistelusta Intelin ME:tä vastaan.

Lähteet: Tom's Hardware, Purism

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä

 

[BOT]

disabloitu = ei suomea

Olenko sitten jäyhä vai mikä, mutta kritisoin näitä kääntämättä jätettyjä sanoja tai villinä suomenkielen seassa eläviä vieraskielisiä sanoja. Olen minäkin tämän palstan lukija sentään ja tämä ei ole edes mikään vähäarvoinen kritiikki. Saat vapaasti pilata artikkelisi Petrus, mutta sitten en minäkään tätä sivustoa kenellekään suosittele.

 

[demu]

disabloitu = ei suomea

Olenko sitten jäyhä vai mikä, mutta kritisoin näitä kääntämättä jätettyjä sanoja tai villinä suomenkielen seassa eläviä vieraskielisiä sanoja. Olen minäkin tämän palstan lukija sentään ja tämä ei ole edes mikään vähäarvoinen kritiikki. Saat vapaasti pilata artikkelisi Petrus, mutta sitten en minäkään tätä sivustoa kenellekään suosittele.

Älä kiukuttele!

 

[spede]

No niin, Stallman voi päivittää nyt Core2 sukupolven läppärinsä.

 

[Deussu]

Älä kiukuttele!

Don't kiukuttele. This on hyvä way of kirjoittaa, am I oikeassa?

 

[nnaku]

disabloitu = ei suomea

Olenko sitten jäyhä vai mikä, mutta kritisoin näitä kääntämättä jätettyjä sanoja tai villinä suomenkielen seassa eläviä vieraskielisiä sanoja. Olen minäkin tämän palstan lukija sentään ja tämä ei ole edes mikään vähäarvoinen kritiikki. Saat vapaasti pilata artikkelisi Petrus, mutta sitten en minäkään tätä sivustoa kenellekään suosittele.

Mites "Käynnistys-yritys", "Perus syöttö-tulosjärjestelmä" tai "Yhtenäinen laajennettava laiteohjelma liitäntä"?

 

[omegasupreme]

Käyttäisivät suosiolla AMD:n prossuja.

 

[ATB57791]

Käyttäisivät suosiolla AMD:n prossuja.

AMD:lta löytyy vastaava ominaisuus nimeltään TrustZone

 

[Nerkoon]

Eikös tuosta ME:stä väitetty, että se on osa Intel systeemin bootti prosessia, joten hankala kuvitella, että sen saisi kokonaan pois? Muistelen, että jopa NSA:lle tehty poikkeus ME:hen oli sen disablointi aina bootin jälkeen.

 

[Kaotik]

Don't kiukuttele. This on hyvä way of kirjoittaa, am I oikeassa?

No onhan tuossa nyt vissi ero yhden kääntämättä jääneen sanan ja tuon kanssa. Näemmä yksi "disable"-pohjainen sinne jäin kun niitä lopuksi karsin, en näe sitä kuitenkaan tämän tason maailmanloppuna, etenkään alalla jossa vierasperäiset sanat joko sellaisinaan tai "finglishinä" ovat enemmän sääntö kuin poikkeus.

 

[Nutti]

Käyttäisivät suosiolla AMD:n prossuja.

AMD:lta löytyy vastaava ominaisuus nimeltään TrustZone

Juu, mutta siinä ei ole takaportteja.

 

[spede]

Eikös tuosta ME:stä väitetty, että se on osa Intel systeemin bootti prosessia, joten hankala kuvitella, että sen saisi kokonaan pois? Muistelen, että jopa NSA:lle tehty poikkeus ME:hen oli sen disablointi aina bootin jälkeen.

AMD:n versiossa toimii noin; jos PSP:tä (Platform Security Processor) ei saada alustettua varsinaiset prosessoriytimet ovat jumissa reset-tilassa.

Intelin puolella kone sammuu automaattisesti n. 30 minuutin sisään, jos Management Engine ei löydä Intelin allekirjoittamaa avainta flashista.

 

[Masturbo]

Erittäin aiheellista huolta noiden SMM-puolesta. Koodin piilottaminen ei tee siitä turvallista ja SMM:ää voidaan jo nykyisin hyödyntää hyökkäyksen välineenä. Sama pätee itse x86 arkkitehtuuriin, jossa ehdottomasti pitäisi poistaa käytöstä kaikki dokumentoimattomat komennot, kun prosessori tuodaan markkinoille. Nämä kaksi edellämainittua, kun oikeasti johtavat tietoturvakatastrofiin, kun osuvat samaan paikkaan:

 

[-SD-]

kritisoin näitä kääntämättä jätettyjä sanoja tai villinä suomenkielen seassa eläviä vieraskielisiä sanoja.

Samaa mieltä. Suomen kieltä pitää varjella.

@Kaotik

ME oli neutralisoitu, mutta ei täysin disabloitu -> ME oli tehty vaarattomaksi, mutta ei täysin pois päältä

 

[dvrr]

Käyttäisivät suosiolla AMD:n prossuja.

AMD:lta löytyy vastaava ominaisuus nimeltään TrustZone

Juu, mutta siinä ei ole takaportteja.

Ja mihinhän tämän tietosi perustat? Ei Intelinkään prossujen takaporteista ole selvää näyttöä, mutta jos siellä sellaisia on, niin hyvin todennäköisesti on myös AMD:llä. AMD olisi saanut valtavan kilpailuedun julkaisemalla vastaavan firmwaren avoimesti yhteisön tarkasteltavaksi (todistaakseen, ettei siellä ole vastaavia takaportteja), mutta ei kuitenkaan sitä halunnut tehdä, vaan valitsi Intelin kaltaisen suljetun toteutuksen. Jokainen vetäköön tästä omat johtopäätöksensä.

 

[Ponnistus]

Asia josta en ollut aiemmin ollenkaan kuullut saatikka taikka, että olisin siitä osannut lukea. Taas sai uutta tietää, kiitoksia artikkelista(ja linkistä!)!

 

[Hsu]

Foliot hattuun ja oliot vittuun.

 

[Ademeion]

...en näe sitä kuitenkaan tämän tason maailmanloppuna...

Tuo on kyllä eräänlainen olkiukkoargumentti tai sanojen laittamista toisen suuhun. Ei kukaan täällä ole asiaa "maailmanloppuna" esittänyt, vaan korkeintaan harmittavana ilmiönä.

 

[antero]

Luuleeko kukaan että vakoilu on tänäpäivänä bioksen varassa. Joka käyttis kerää tietoja minkä ehtii.

 

[Kaotik]

Luuleeko kukaan että vakoilu on tänäpäivänä bioksen varassa. Joka käyttis kerää tietoja minkä ehtii.

Luitko koko uutista lainkaan? Ei Intelin ME ole mikään BIOS, eikä sillä ole mitään tekemistä käyttisten tiedonkeruun kanssa (mikä ei ole vakoilua, vaan täysin avoimesti tehtyä tiedonkeruuta)