Bedrijf levert opensourcelaptop met Intels Management Engine uitgeschakeld

Het bedrijf Purism levert zijn opensourcelaptops voortaan standaard met de Intel Management Engine uitgeschakeld. Zowel de Librem 13 als de Librem 15 wordt geleverd met ME gedeactiveerd. Het onderdeel wordt als een beveiligingsrisico gezien.

Niet alleen levert Purism de Librem-laptops voortaan met de Intel Management Engine gedeactiveerd, maar ook reeds verkochte modellen kunnen de technologie via een software-update uitschakelen. Volgens Purism is het uitschakelen van Intel ME niet eenvoudig, maar kan het bedrijf dit doordat het coreboot met zijn eigen bios-firmware-updateproces draait op de laptops. De deactivatie zou permanent zijn.

Onderzoekers slaagden er afgelopen augustus in de Management Engine van Intel uit te schakelen. De laatste versie van de engine, onderdeel van Active Management Technology 11, is onderdeel van processors sinds de Skylake-generatie. Het gaat om een processor die los van de cpu kan opereren en te gebruiken is voor onder andere beheer op afstand, ook als een systeem uitstaat. De techniek wordt door critici gezien als een backdoor en dus als een beveiligingsrisico.

Purism gaat zich nu toeleggen op het geheel verwijderen van de engine. Daarnaast wil het bedrijf het Intel Firmware Support Package verwijderen. Volgens Purism leidt dit onderdeel van coreboot tot minder zorgen, maar is het verwijderen nodig om tot een werkelijk 'vrij' bios te komen. De eerste opensourcelaptop, de Librem 15, ging in 2015 in productie. Purism streeft ernaar zo veel mogelijk onderdelen van zijn producten open source te maken. Het werkt ook aan een smartphone: de Librem 5.

Purism Librem 15

Reacties (97)

Verwijderd 20 oktober 2017 14:53

Het wordt echt eens tijd dat we hier een discussie over gaan houden, vertrouwen we Intel of de Amerikanen nog wel met onze hardware? Dit is echt niet de eerste keer dat er hardware bugs worden ontdekt en daarnaast is het niet de eerste keer dat er backdoors worden ontdekt.

Buiten een paar presentaties op Defcon of Blackhat hoor je er vrij weinig over, Christopher Domas is een van de mensen om te volgen.

Zo is er een 20 jaar oude bug in Intel CPU's waardoor je hele computer open ligt:
https://www.youtube.com/watch?v=lR0nh-TdpVg

Of heeft een Intel CPU een hoop ongedocumenteerde instructies en functies waar niemand iets vanaf weet:
https://www.youtube.com/watch?v=KrksBdWcZgQ

En dan heb je dit, iets waarvan sterke aanwijzingen zijn dat het met opzet is gedaan maar dat is dan weer moeilijk om te bewijzen. Dan vraag ik mijzelf af, hoelang gaan wij nog die rare Amerikanen vertrouwen met onze hardware?

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:25]

robvanwijk @Verwijderd • 20 oktober 2017 17:05

Buiten een paar presentaties op Defcon of Redhat hoor je er vrij weinig over

Bedoel je niet toevallig Blackhat?

Dan vraag ik mijzelf af, hoelang gaan wij nog die rare Amerikanen vertrouwen met onze hardware?

Kort antwoord: minstens een paar decennia, waarschijnlijk langer.
Nee, dat is niet het antwoord dat je wil horen. Het is ook niet het antwoord dat ik wil geven. Het is helaas wel het correcte antwoord.

Om het duopolie van Intel en AMD (en daarmee het monopolie van de VS) te doorbreken moet iemand buiten de VS (en, nog beter, in de EU):

Zijn eigen CPU-bedrijf opzetten.
Een x86-licentie krijgen (ain't never gonna happen) óf x86 realtime emuleren... zonder allerlei patenten te schenden (ehm ja, veel succes...).
Voldoende schaalgrootte bereiken dat ze kunnen concurreren met Intel (en AMD). Vraag voor de gein eens aan AMD hoe lastig dat is.
En in het ideale geval, zijn CPUs laten produceren op fabs binnen de EU (en daar hebben we het enige stukje goede nieuws: een fab inrichten met machines uit de EU is het enige in dit lijstje wat geen probleem is).

En wat hebben we dan netto bereikt? Het bedienen van de (laten we eerlijk zijn) extreme niche-markt voor hardware waarvan je zeker weet dat er geen NSA-backdoor in zit. Als je klanten wilt buiten de ontzettend voorzichtige bedrijven en overheidsinstanties (dat zullen er niet veel zijn; bijvoorbeeld het UWV host onze data vrolijk in de VS...) zul je Intel niet alleen op prijs en prestaties (en, zonder x86-licentie: op compatibiliteit) moeten verslaan, maar óók op naamsbekendheid (met "Made in EU" ga je immers geen voet aan de grond krijgen; in tegenstelling tot de VS (waar "het grote publiek" enorm geilt op "Made in USA"-stickertjes) maakt het ons niet zo gek veel uit waar spullen vandaan komen).

Ik vrees dat, pragmatisch gezien, de betere oplossing is om te bedenken hoe je op niet-vertrouwde hardware toch veilig kunt werken. Dat gaat niet makkelijk zijn, dat geef ik meteen toe, maar dat hoeft ook niet; dit is het soort doorbraak dat je maar één keer hoeft te ontdekken. En voor iedereen die denkt dat het per definitie onmogelijk is: het is niet helemaal vergelijkbaar, maar we kunnen ook veilig data versturen over netwerken die we niet vertrouwen.

Verwijderd @robvanwijk • 20 oktober 2017 18:06

Het was eigenlijk een retorische vraag, maar toch bedankt dat je er zo gedetailleerd op in gaat. Dat een overstap naar een ander architectuur lang gaat duren spreekt natuurlijk voor zich, de Nederlandse overheid en de EU hadden (zoals Duitsland) heel lang geleden moeten investeren in dit soort projecten. China, Rusland, Zuid Korea en zelfs Turkije zijn bezig met de ontwikkeling van hun eigen hard- en software. In het ergste geval doe je het zoals de Turken, pak je opensource hard- en software en maakt het je eigen, in zover dat je zeker weet dat er geen rare rotzooi in zit.

De enige reden waarom we vastzitten aan Windows en x86_64 is legacy, alhoewel dat laatste steeds meer en meer gaat verdwijnen aangezien Microsoft steeds meer door laat schemeren dat ze over willen stappen naar een ARM architectuur. Als je die keten niet doorbreekt dan zul je er ook altijd aan vastzitten en zal je ook altijd afhankelijk zijn van.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:25]

Verwijderd @Verwijderd • 20 oktober 2017 18:15

Volgens mij was Duitse politiek ook slachtoffer van geïnfecteerde firmware binnen hun hardware, en dat het vervangen van alle hardware zonder die rotzooi als enige mogelijk zou zijn. Die kochten dus hardware in wat in eerste instantie veilig zou moeten zijn maar blijkbaar een berg backdoors in de firmware had zitten. Dat dus. Je kunt de hardware tegenwoordig niet meer vertrouwen. Een veilig os heeft geen zin als die backdoors op hardware niveau erin zitten.

Verwijderd @Verwijderd • 20 oktober 2017 18:18

Ja, volgens mij word er ook gezegd dat je eigen hard- en software moet ontwikkelen, het beginpunt lag al bij eigen hardware. Ik snap je reactie niet zo goed.

Damic @robvanwijk • 20 oktober 2017 18:21

De betere vraag is: "kunnen we x86(-64) wel vertrouwen, er zitten zoveel registers instructies in die niet gedocumenteerd zijn.

edit: bedankt robvanwijk

[Reactie gewijzigd door Damic op 26 juli 2024 03:25]

robvanwijk @Damic • 20 oktober 2017 19:39

De betere vraag is: "kunnen we x86(-64) wel vertrouwen, er zitten zoveel registers in die niet gedocumenteerd zijn.

Wat bedoel je precies? Ik dacht dat de registers allemaal gewoon bekend waren. Het grootste deel van de documentatie die ontbreekt gaat over instructies.

En daarnaast, ik denk niet dat je software wilt vertrouwen als je geen toegang hebt tot de source, toch? Dus dan kun je gewoon zien welke instructies (en registers) gebruikt worden. Als software ongedocumenteerde features gebruikt, dan moeten ze dat uit kunnen leggen.

Daarmee voorkom je niet het probleem van backdoors, die zijn immers opzettelijk ongedocumenteerd. Maar ik zou zeggen dat een backdoor (mov eax, MagicNumber1 meteen gevolgd door mov eax, MagicNumber2 stuurt een memory dump naar de NSA; geen heel realistisch voorbeeld, maar even voor het idee) niet in x86 zit, maar in een implementatie van x86... en dat is precies waarom we een leverancier willen waar we meer vertrouwen in hebben dan de huidige mogelijkheden.

Verwijderd @robvanwijk • 20 oktober 2017 21:31

Het zal geen realistisch voorbeeld zijn als in dat het niet zo makkelijk zal zijn als 2 a 3 instructies (want dat valt teveel op) maar het is wel realistisch als in dat je het kan doen. Zie het voorbeeld van ME welke onder het mom van anti-diefstal een 24/7 always-on mobiele data verbinding kan hebben, een verbinding welke door ME zelf wordt beheerd dus het OS heeft daar geen weet van. Dat is wat VPro en ME zo verschrikkelijk maakt.

Zie ook het eerste filmpje van Domas waar ik naar link, door misbruik te maken van SMM installeert hij z'n eigen backdoor op de CPU welke wordt getriggerd door een magicnumber. Door een simpel C programmatje te draaien welke dat nummer in geheugen laadt krijgt hij root. In de praktijk zijn backdoors getriggerd door magicnumbers die in email headers of website headers zijn verwerkt niet ondenkbaar.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:25]

robvanwijk @Verwijderd • 20 oktober 2017 22:14

Let even op dat ik enigszins off-topic ben gegaan om de vraag van Damic te beantwoorden; in de post waar je op reageert gaat het niet om IME, maar puur om x86 zelf. (En ja, SMM is onderdeel van x86, dus je hebt gelijk, ik had SMM op zijn minst moeten noemen en iets zeggen in de trant van "SMM is bijna net zo erg als IME".)

Als ik me goed herinner (heb Domas' presentatie een tijdje geleden al langs zien komen; heb niet alle details zo paraat) heeft ie wel ring 0 nodig om zijn backdoor te installeren. Dus binnen de context van de vraag die Damic stelt kun je x86 zelf wel vertrouwen (in de zin dat als je de hardware en de ring 0 software vertrouwt dat je dan een veilige omgeving voor je ring 3 software hebt).

Verwijderd @robvanwijk • 20 oktober 2017 22:26

Je bent nu aan het discussiëren over semantiek. Er is een verschil tussen een exploit (Domas) en een preinstalled backdoor. Een preinstalled backdoor zal zelf al in ring -2 zitten. We hadden het over magicnumbers en trigger mechanismen, dat er een memorydump wordt verstuurd aan de hand van een magicnumber is zeer realistisch, zeker in een wereld waar Intel ook leverancier is van NIC's en WAN MoDem's. Zodra iemand op ring -2 bezig gaat ben je de sjaak!

Buiten SMM, ME, rings of wat dan ook, als iemand diep in de CPU backdoor verbergt, is het klaar.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:25]

robvanwijk @Verwijderd • 21 oktober 2017 01:15

Er is een verschil tussen een exploit (Domas) en een preinstalled backdoor.

De vraag was "kun je x86 vertrouwen?". Mijn antwoord was in feite "x86 zelf kan geen backdoor hebben, alleen een specifieke implementatie van x86 kan een backdoor hebben".

Om er anders tegenaan te kijken: "als een vertrouwd bedrijf een x86-chip maakt, vertrouw je die chip dan (of kan er, zonder dat de (vertrouwde!) fabrikant het weet een backdoor inzitten, puur doordat ze x86 geïmplementeerd hebben)?". Voor zover ik het in kan schatten kun je die chip dan inderdaad vertrouwen (nee, zo'n soort backdoor die onzichtbaar is voor de fabrikant is niet mogelijk).

dat er een memorydump wordt verstuurd aan de hand van een magicnumber is zeer realistisch

Vandaag de dag is een memory dump al snel 4 GB is (en vaak nog groter). Op de meeste soorten verbindingen duurt het veel te lang om dat te uploaden. Dat is de reden dat ik het onrealistisch noemde. Het triggeren van verborgen, meegeleverde malware via magic numbers is inderdaad wel degelijk mogelijk.

als iemand diep in de CPU backdoor verbergt, is het klaar.

Ehm, dat was dus precies het punt van deze hele discussie: kan een vertrouwde leverancier ("vertrouwd" in de zin van "stopt geen backdoor in zijn producten") een x86 chip produceren, of is het mogelijk dat x86 een inherente backdoor heeft (waardoor zelfs chip van vertrouwde leveranciers alsnog een backdoor hebben)?

Verwijderd @robvanwijk • 21 oktober 2017 01:32

Je hebt het nog steeds over semantiek wat er absoluut niet aan toe doet. x86 of een implementatie daarvan zouden 2 losse dingen moeten zijn, maar in de praktijk is dat natuurlijk anders. Of zoals jezelf al zei:

Een x86-licentie krijgen (ain't never gonna happen) óf x86 realtime emuleren... zonder allerlei patenten te schenden (ehm ja, veel succes...).

Is een standaard stuk? Nee! Kan een fabrikant producten maken die opzettelijk stuk zijn? Ja! Dat is wat jij zegt, maar de boventrap daarvan is dat de standaard en de producten van een en dezelfde partij komen.

Wat Damic probeert te zeggen is: "kunnen we x86(-64) wel vertrouwen, want Intel bouwt er instructies en special functions in die niet gedocumenteerd zijn".

Of om jou een nog beter plezier te doen (blijkbaar ben je OCD op taal): "kunnen we x86(-64) processoren vertrouwen, want Intel bouwt er instructies en special functions in die niet gedocumenteerd zijn".

Semantiek....

Voor je begint over de eeuwen oude licentie die AMD heeft:
https://github.com/xoreaxeaxeax/sandsifter

[Reactie gewijzigd door Verwijderd op 26 juli 2024 03:25]

robvanwijk @Verwijderd • 21 oktober 2017 01:42

Volgens mij praten we volkomen langs elkaar heen; ik heb in elk geval geen idee wat je probeert te zeggen.

Wat de licentie van AMD te maken heeft met een tool die zoekt naar undocumented opcodes ontgaat me ook volledig (ik heb de presentatie over die tool een tijdje geleden al bekeken).

@reactie:
Nope, nog steeds geen idee welke kant je op wilt; ik vrees dat deze discussie dan verder geen zin heeft.

[Reactie gewijzigd door robvanwijk op 26 juli 2024 03:25]

Verwijderd @robvanwijk • 21 oktober 2017 01:45

Ik zal het zo zeggen tegen je x86 = Intel, je kan ze proberen om als twee lossen dingen te zien, maar dat is niet zo.

necessaryevil @Damic • 21 oktober 2017 01:11

De markt voor huis- en tuin computers is heel ongezond, Microsoft en Intel zijn nog steeds de grootste spelers. AMD wordt nog steeds aan het lijntje gehouden omdat ze in het verleden ooit de instructies van Intel hebben mogen gebruiken.

De smartphone/tablet boot hebben Intel en Microsoft net gemist. Wel jammer dat die markt beheerst wordt door Google, een andere monopolist. De ARM processor is dan ook wel weer van één bedrijf, maar die worden dan wel weer door meerdere fabrikanten gemaakt.

Wat ik trouwens ook vaag vind is dat Ubuntu is gestopt met het ondersteunen van x86 processoren die de cmov instructie niet aan boord hebben. Hier liep ik een paar jaar geleden tegenaan in een tweetal servertjes die ik had draaien, eentje met een Transmeta processor en eentje met een VIA processor. Het rare is dat Intel al jaren aanbeveelt om die instructie niet meer te gebruiken.....

Tozz @necessaryevil • 21 oktober 2017 21:51

Klein detail: Intel mag de instructies van AMD gebruiken. Alle generieke Intel CPUs (dus de Itanium en andere speciale CPUs uitgesloten) maken gebruik van de x86_64 instructieset. De Itanium moest het antwoord zijn op x86_64 , maar is geflopt. Intel heeft toen een licentie genomen op x86_64.

Op een Linux machine heet die architectuur dan ook "amd64".

het cruciale verschil is dat x86_64 backwards compatible is met x86 (32-bit), terwijl Intels oplossing, de IA64 (Titanium) geen 32-bit applicaties kan draaien.

De reden van het stoppen met CMOV ondersteuning is dat deze instructie zoals je zelf al opmerkt niet in alle CPUs zit, oa. niet in jouw Transmeta en VIA CPU. In de software moet daarom een uitzondering gemaakt worden voor CPUs die CMOV niet ondersteunen. Dat kost ontwikkeltijd. Nu 15 jaar later is besloten om deze groep CPUs niet langer te ondersteunen, zodat die uitzonderingen ook geschrapt kunnen worden.

Blokker_1999

Open source

@robvanwijk • 20 oktober 2017 19:00

Waarom moet het x86 zijn? We merken vandaag steeds vaker dat men dat platform zonder problemen kan verlaten. Zelfs Windows 10 draait op ARM en als bonus krijg je er x86 emulatie bij. Telefoons, tablets, chrombooks, settop boxen, routers, ... allemaaal draaien ze op iets anders dan x86.

robvanwijk @Blokker_1999 • 20 oktober 2017 19:30

Waarom moet het x86 zijn?

Er zijn meerdere pogingen gedaan om een alternatief voor x86 van de grond te krijgen. Die hebben het (wat computers betreft, dus in de zin van servers, desktops en laptops) geen van alle gehaald. Zelfs toen Intel het zelf probeerde (met Itanium, wat niet alleen objectief gezien een betere architectuur is; puur omdat het een nieuwe architectuur was kon ook meteen het grootste probleem van x86 in één keer overboord: backward compatibility met elke voorgaande versie van x86) was het een compleet fiasco. En dat terwijl Itanium gewoon compatible was met x86 (dankzij ingebouwde, hardwarematige emulatie).

Vandaar mijn aanname dat je, tot op de dag van vandaag, niet om x86 heen kunt. Ja, je hebt gelijk dat er nu langzaamaan verandering in lijkt te komen, maar dat gaat nog tergend traag. Ik geef toe dat mijn 'voorspelling' simpelweg gebaseerd was op "binnen een paar jaar gaat het niet lukken" en "in eeuwen kan echt ontzettend veel gebeuren", dus dan blijft vanzelf "decennia" over. Hoewel dat niet bepaald een stevige onderbouwing is, lijkt het me best een realistische hoeveelheid tijd om over te schakelen op een soort hybride apparaat dat alles van telefoons tot desktops vervangt (en daarmee, mogelijk, de non-x86 uit tablets en telefoons ook naar "computers" brengt).

Damic @robvanwijk • 20 oktober 2017 19:43

Vergeet niet dat Itanium ook heel duur was en Microsoft wou niet echt mee.

Vayra @robvanwijk • 20 oktober 2017 19:53

Ik sluit me hierbij aan. De realiteit is weerbarstig, x86 zijn we niet zomaar kwijt, daar is een héle lange periode van breed gedeeld ongemak voor nodig, of een reeks bijzonder schadelijke lekken die niet weg te praten zijn (dus niet zo'n lullig lekje als in Duitsland). Kortom, de VS moet het wel héél bont maken willen we echt alle zeilen gaan bijzetten hier in de EU. En zelfs dan nog, voordat je genoeg lidstaten op één lijn hebt ben je ook jaren verder, laat staan het bouwen van de eerste fab. Nog helemaal los van financiering, denk eens aan alle kennis die je nodig hebt en die hier niet is. Ik denk dat je een incident van het formaat stuxnet nodig gaat hebben om écht beweging te zien.

Durf te stellen dat als er geen gigantische verschuiving in machtsverhouding gaat komen, dat we zelfs nooit van x86 af komen tenzij het echt end of life wordt. De gevestigde belangen zijn zo groot, daar hebben wij allang geen echte invloed meer op. Een beetje zoals de banken too big to fail zijn. En al stap je over op een ARM bijvoorbeeld... hoe zeker weet je dat daar niet óók een overheid allerlei zaken heeft geforceerd?

[Reactie gewijzigd door Vayra op 26 juli 2024 03:25]

strompf @robvanwijk • 22 oktober 2017 21:35

Mwahh, Itanium was geen goede architectuur, want het bleek onmogelijk om de benodigde compilers te ontwikkelen.

Is overstappen naar een andere architectuur echt zo lastig? Als ik in Google "linux on arm" intik, zijn de resultaten best hoopvol: https://www.google.nl/search?q=linux+on+arm

Niet Henk @Blokker_1999 • 21 oktober 2017 12:54

x86-emulatie is geen probleem. Deze onbekende instructies en veiligheidsproblemen zitten niet in de emulator (wat een probleem op zich voor veiligheidsonderzoekers is, omdat hiermee emulatoren te detecteren zijn). Een goed gedocumenteerde x86 emulator is daarom een goede stap.

Zelf vind ik het werk van Microsoft om x86-applicaties onder ARM te laten draaien door de benodigde DLLs vooraf deels in ARM instructies om te zetten een erg goede stap. Daarmee is een belangrijk deel van het snelheidsverlies van emulators weg.

Wel moet Microsoft gewoon meer ARM processors dan alleen de Snapdragon 835 gaan ondersteunen, zodat het monopolie van Amerika weg is. Ik hoop erop. Maar dit monopolie geeft Amerika erg veel macht, dus ik betwijfel of het gaat gebeuren.

Verwijderd @robvanwijk • 20 oktober 2017 23:52

Is simpelweg wetgeving maken die hierin kan voorzien.

robvanwijk @Verwijderd • 21 oktober 2017 00:53

Is simpelweg wetgeving maken die hierin kan voorzien.

Wat voor wet heb je dan in gedachte? Je kunt niet met wetgeving een bedrijf oprichten voor zover ik weet. En je kunt al helemaal geen wet maken die zorgt dat de CPUs van dat nieuwe bedrijf populairder worden dan de CPUs van Intel en AMD. (Wetgeving om het gebruik van Intel en AMD te verbieden gaat niet lukken omdat je daarmee allerlei handelsverdragen schendt.)

Verwijderd @robvanwijk • 21 oktober 2017 06:27

Tsja, da's lastig inderdaad. Misschien zoals Rusland is China dit doen. Rusland wil van Android af voor zijn overheidsdoeleinden en gaan misschien in zee met Jolla, Sailfish, daarnaast zijn ze bezig met (geloof ik) Astra Linux. China heeft zo'n zelfde strategie, en heeft zelfs een eigen high end cpu lijn. Ze zijn dus stap voor stap onafhankelijkheid aan het creëren van de grote Amerikaanse Tech giganten, goede zaak in mijn ogen.
Waarom kan dit niet vanuit de EU? Regelgeving voor de overheden zou een goede eerste stap zijn en ontwikkeling op dit gebied moeten kunnen motiveren.

robvanwijk @Verwijderd • 21 oktober 2017 07:36

Waarom kan dit niet vanuit de EU?

Omdat mensen nu al klagen dat de EU zich overal mee bemoeit; als de EU ook nog aankomt met "Gij zult geen Intel, AMD en Microsoft gebruiken", dan gaat iedereen gelijk weer over "NLexit" beginnen... :-s

Maar op zich, nou je het zegt, misschien heb je wel gelijk ja; was het ontstaan van Airbus ook niet (grotendeels!?) te danken aan de EU? Zelfs als je een bedrijf niet bij wet kunt oprichten, dan nog kun je wel met een grote zak geld zwaaien "ter aanmoediging" (wel even een paar slimme juristen laten kijken hoe je dat doet zonder dat het telt als illegale staatssteun).

Tozz @Verwijderd • 21 oktober 2017 21:54

Wat je eventueel zou kunnen doen is als overheid bij aanbestedingen eisen dat er geen Intel of AMD in apparatuur zit. Dan kom je natuurlijk wel direct ook uit bij Linux.

Maar in praktijk zal dit niet werken, omdat er allerlei hardware die je wel nodig hebt waarbij een bepaald CPU nou eenmaal in 't ding zit. Denk aan een router, firewalls, loadbalancers, etc.

ronkerz @robvanwijk • 21 oktober 2017 18:16

Ik kan er naast zitten maar volgens mij is de ARM holdings al een heel eind. Zover ik weet is het een brits bedrijf en maken ze vooral CPU architecturen voor mobiele apparaten.

Verwijderd @robvanwijk • 23 oktober 2017 12:55

Wellicht een idee voor een start-up onderneming?
Er zullen vast genoeg bedrijven en instellingen zijn die op zoek zijn naar betrouwbare hardware. En daarnaast ook een groep consumenten (Wellicht zal deze groep groter worden in de toekomst wegens de groeiende vraag naar privacy).

Jerie

@robvanwijk • 27 oktober 2017 14:06

Er is TALOS gebaseerd op POWER. POWER9 heeft open firmware. Ook is er RISC-V en je hebt ARM niet genoemd. Wanneer je de maker van je processor niet vertrouwt zijn er echter grotere problemen waar je je zorgen om moet maken, ongeacht of deze ME/PSP heeft of niet.

CAPSLOCK2000

Open source

20 oktober 2017 14:02

Goed bezig daar bij Purism. Het is niet bepaald de eerste club die probeert om vrije hardware te leveren, maar de meeste daarvan komen niet voorbij een kickstarter. Deze organisatie heeft inmiddels meerdere ladingen laptops verkocht en als ik zie aan wat voor projecten ze nu werken dan was het blijkbaar een groot succes.
Het mooie van hun laptops is dat ze nog redelijk betaalbaar zijn voor wat je krijgt. Heel veel geld uitgeven aan een laptop die wel vrij is, maar ook zo langzaam dat je er niks aan hebt, is toch een beetje zonde. Ik wil best een beetje extra's betalen voor een apparaat dat lekker open en vrij is, maar het driedubbele betalen voor irritant oude hardware zie ik niet zitten.

Verwijderd @CAPSLOCK2000 • 20 oktober 2017 14:30

Nu nog de firmware voor de rest: USB controller, netwerk controller etc. Allemaal closed-source firmware waarvan je niet weet wat het doet en die principe overal op de communicatie bus bij kan.

rbr320 @Verwijderd • 20 oktober 2017 15:30

Linux heeft zijn eigen open source drivers voor veel USB- en netwerkcontrollers, de Linux drivers van Intel zijn bijvoorbeeld volledig open source. De firmware voor deze apparaten is voor een groot deel ook open source, soms zo ontwikkeld en in andere gevallen via reverse engineering.

Verwijderd @rbr320 • 20 oktober 2017 18:06

Een driver is iets anders dan een firmware.

Blokker_1999

Open source

@Verwijderd • 20 oktober 2017 19:02

Maar men wil al jarenlang liever zo min mogelijk firmware want moeilijker te updaten. Steek die binaire blob gewoon in de driver is jarenlang het motto geweest.

CAPSLOCK2000

Open source

@Verwijderd • 21 oktober 2017 23:03

Die moeten inderdaad ook nog, maar laten we blij zijn met de stappen die wel al genomen zijn. Hoe meer delen van zo'n apparaat vrij en open zijn, hoe moeilijker het voor de rest wordt om nog ongein uit te halen. Zelfs de BIOS van deze laptop is open. Zo blijven er steeds minder plekken waar fouten en backdoors zich kunnen verstoppen.

Yoshi @CAPSLOCK2000 • 20 oktober 2017 14:15

betaalbaar? standaard met 4 gb geheugen en verouderde hardware. Je moet voor de lol eens hedendaagse configuratie pakken en die is niet meer zo betaalbaar me dunkt.Om over het jaar garantie maar te zwijgen en de tussen de 80 en 155 dollar shippingkosten (zonder douane, inklaringskosten enz btw)

[Reactie gewijzigd door Yoshi op 26 juli 2024 03:25]

xs4me @Yoshi • 20 oktober 2017 14:45

Zoveel hardware verbeteringen zijn er anders niet meer geweest de laatste jaren.
En de tijd en moeite die hierin gestoken worden om iets "veiligs" te bieden moet weer tegenover "het goedkoopst" gezet worden? Alsof het altijd maar gaat om het dubbeltje op de 1e rij. Voor veel bedrijven en mensen is veiligheid veel belangrijker, en dat is niet gratis.
En dat het open source is met gratis software zal ook wel niks waard zijn.

Laat me even een goedkoper Open Source alternatief zien waarbij de IME is uitgeschakeld en wat die kost ... dan kunnen we wat beter vergelijken.

[Reactie gewijzigd door xs4me op 26 juli 2024 03:25]

Yoshi @xs4me • 20 oktober 2017 15:25

Zoals ik hierboven al heb berekent lijkt 2023 euro een behoorlijke premium prijsje voor hetgene dat je krijgt. Lijkt me dat de software helemaal niet gratis is maar netjes inbegrepen is in de prijs. Gratis bestaat niet. Die mensen dienen ook gewoon brood op de plank te hebben voor hun werk.

xs4me @Yoshi • 20 oktober 2017 15:40

Je vergelijkt appels met peren. Dat was mijn punt.
Dat het een premium prijs is ontken ik niet. Alleen je moet 't niet gaan vergelijken met iets wat andere eigenschappen heeft. Je vergelijkt hardware specs met elkaar, maar laat het daar nou net niet over gaan bij dit product. De premium zit 'm in de privacy & security. En zoals je zegt, ook zij zullen brood op de plank moeten hebben.

Die kosten zitten niet alleen in de software natuurlijk. Ook in R&D, arbeid, geen massa verkoop en infrastructuur als de grote jongens, het niet in China ontwikkelen, alles in huis willen hebben met duurdere jongens tot gevolg etc

Quote uit hun FAQ:

Some users think the Librem is a very good value. Others think it is too expensive. This all depends on where you live, and what you are comparing the Librem to. If you compare the Librem, feature by feature, to other high end PCs, such as a high end Lenovo or a MacBook Pro it is priced comparably, or even lower priced. If you compare the Librem to installing GNU/Linux on a used 2008 Thinkpad, it’s expensive. As sales volume increases we will be able to obtain and source components at a lower price. Economies of scale will bring prices down in the future. The Librem is a solid, hand-built, very high quality, boutique “microbrewed” computer, assembled with care to your specifications in our facility in the USA.

[Reactie gewijzigd door xs4me op 26 juli 2024 03:25]

CAPSLOCK2000

Open source

@Yoshi • 21 oktober 2017 14:17

Zoals ik hierboven al heb berekent lijkt 2023 euro een behoorlijke premium prijsje voor hetgene dat je krijgt. Lijkt me dat de software helemaal niet gratis is maar netjes inbegrepen is in de prijs. Gratis bestaat niet. Die mensen dienen ook gewoon brood op de plank te hebben voor hun werk.

Het is inderdaad veel geld, maar het is dan ook voor een uniek product dat je nergens anders kan krijgen.
Dat het meer kost dan een massaproduct van een van de grote fabrikanten is niet meer dan logisch. Op iedere product dat in kleine oplages wordt geproduceerd betaal je extra, al is het maar omdat er minder klanten zijn om de kosten over te verdelen.
Dat het extra duur is lag dus al vast; dat heb ik geaccepteerd. Maar dan wil ik er wel een apparaat voor terug krijgen dat ik ook echt nuttig kan gebruiken. Ik ga niet zo veel geld uitgeven om de laptop dan in de kast te laten liggen. Ik heb een groot ego, maar ook weer niet zo groot

Je hebt dus een keuze tussen "duur" en "langzaam". Dan is "duur" in mijn ogen de beste keuze.
Veel andere producten zijn mislukt omdat ze praktisch gezien onbruikbaar waren. "duur" is een door de klant oplosbaar probleem. Je kan altijd langer door sparen en meer geld uitgeven of een upgrade uitstellen. Niet iedereen doet dat, maar het kan. Het is ook een eenmalig probleem, zodra je genoeg geld hebt om het ding te kopen is het probleem weg. "langzaam" is een probleem dat de klant niet kan oplossen. De hardware zal nooit sneller worden. Ook na aanschaf blijft dat een probleem. Hoe langer je wacht hoe groter het probleem wordt.

Uiteraard zitten daar grenzen aan. Een laptop die 1 miljoen kost zal nooit een groot publiek bereiken. Bij een laptop als deze ligt die grens anders dan bij eentje uit de budgetbak.

The Zep Man

Open source

@Yoshi • 20 oktober 2017 14:30

betaalbaar? standaard met 4 gb geheugen en verouderde hardware.

De leeftijd van de hardware valt wel mee. Een zesde generatie Sky Lake dual-core i7 is snel genoeg voor alledaagse taken.

En die 4 GB... Ach. Die kan je zelf upgraden voor minder.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 03:25]

Yoshi @The Zep Man • 20 oktober 2017 15:23

Heb het even berekent voor je, en ja je kan dat zelf upgraden, maar zoiets neem je ook niet mee in een review dus we tellen netjes wat zij ervoor vragen:
Product Total
Librem 13 (with Core i7)Edit options × 1
Memory:
8GB (1x8GB) (+$69.00) + $69.00
Storage (M.2 SSD):
250GB (SATA) (+$199.00) + $199.00
Storage (2.5" SATA 3 SSD):
None - $99.00
AC Adapter Power Plug:
EU
Wireless:
No Wireless (Airgapped)
Keyboard:
English (US)
Operating System:
PureOS
Warranty:
1 Year
$1,568.00
Subtotal $1,568.00
Shipping
International Shipping (via USPS Priority Mail Express Intl): $80.00
International Shipping with Insurance (via USPS Priority Mail Express Intl): $155.00
Total $1,723.00
Komt in totaal met inklaring en douane kosten op 2023 euro... dat lijkt me een behoorlijk premium prijs. De hd is om overduidelijke reden vervangen door het snellere type. 8 gb ram is gewoon een minimum en de rest is standaard gelaten. 155 verzendkosten omdat je zoiets nu eenmaal verzekerd laat opsturen.

Mijn auto van 19 jaar oud voldoet ook nog steeds, maar ik denk niet dat mensen daar de volle prijs voor gaan betalen veronderstel ik. En anders stuur je me maar een berichtje

invic @CAPSLOCK2000 • 20 oktober 2017 17:33

Hmm, jij vertrouwd Chinese hardware wel? Ik denk dat Google meer van je afweet dan alle geheime diensten bij elkaar.

paulhekje 20 oktober 2017 15:32

Voor wie zelf IME wil uitschakelen:
https://wiki.gentoo.org/w...e_Intel_Management_Engine

robvanwijk @invic • 21 oktober 2017 01:00

Eerlijk heb je dit zelf uitgevoerd?

ikzelf: nee
paulhekje: geen idee
degene die die tutorial heeft geschreven: ja (en zonder die tutorial)

Dus wat is het probleem precies? Dat je dit ding niet simpelweg kunt uitschakelen (en dat dit soort extreme stappen nodig zijn) is precies de reden waarom een aantal mensen bereid zijn zulke stappen te nemen.

Blokker_1999

Open source

@invic • 20 oktober 2017 19:07

je bent tweaker of je bent het niet

Soldaatje 20 oktober 2017 13:48

Mooi, ik snap ook niet waarom zoiets nodig is, misschien handig voor de NSA of zo.

CAPSLOCK2000

Open source

@Soldaatje • 20 oktober 2017 13:56

Nee, de NSA wil het zelf ook niet.
De functie die Purism gebruikt om de IME uit te schakelen is door Intel op verzoek van de NSA ingebouwd.
Ok, iedereen denkt nu "of is het toch om te spioneren?", maar daar lijkt het niet op. Ik denk dat ze inderdaad daadwerkelijk geen zin hadden om onbekende software op die chip te hebben draaien.
Overigens hebben ze ook de mogelijkheid om hun eigen software te draaien. Waarschijnlijk is het doel dus niet om de chip helemaal uit te schakelen, maar om de mogelijkheid te bieden om je eigen software te installeren.
Dat wil ik ook wel.

robvanwijk @CAPSLOCK2000 • 20 oktober 2017 14:31

Nee, de NSA wil het zelf ook niet.
[..]
Ok, iedereen denkt nu "of is het toch om te spioneren?", maar daar lijkt het niet op.

Even voor de volledigheid: de NSA wil het niet op hun eigen laptops (in de brede zin; Amerikaanse overheid / strategisch belangrijke bedrijven). Dat betekent dat zij (met toch echt wel enig verstand van zaken!) de voordelen niet op vinden wegen tegen de nadelen.

Op machines van anderen hebben ze er echter geen enkel probleem mee (de functie die nu wordt gebruikt om het uit te schakelen was nooit bedoeld voor algemeen gebruik). En zelfs als IME niet is ontwikkeld voor de NSA (dat lijkt me inderdaad wel erg vergezocht), dan nog is het prima mogelijk dat ze er misbruik van maken (levering onderscheppen, met behulp van de management engine een backdoor installeren, laptop bij verdachte afleveren).

CAPSLOCK2000

Open source

@robvanwijk • 20 oktober 2017 15:18

Even voor de volledigheid: de NSA wil het niet op hun eigen laptops (in de brede zin; Amerikaanse overheid / strategisch belangrijke bedrijven). Dat betekent dat zij (met toch echt wel enig verstand van zaken!) de voordelen niet op vinden wegen tegen de nadelen.

Om precies te zijn willen ze wél de hardware, maar níet de software. Ze draaien hun eigen software op die chip. Ik heb een presentatie gelezen die ging over veilig virtualiseren die deze chip leek te gebruiken. Ik geloof dat het de bedoeling is dat die chipo controleert dat VMs niet stiekem met elkaar praten via een onveilige driver op de host.

Althans, voor zover ik weet. Er is natuurlijk nog veel meer dat ik niet weet.

Zelfs als blijkt dat de chip ook is gemaakt om de NSA te helpen hacken dan is het nog interessant om te weten wat de NSA er zelf mee doet. Ze hebben niet besloten om dan maar computers zonder deze chip te laten bouwen; in plaats daar van hebben ze besloten de software aan te passen. Ze zien dus ook voordelen. Dat wil ik dan ook wel weten, misschien kan ik er ook wel iets leuks mee*.

* Ik vind het sowieso al gaaf dat er Minix op draait. Gewoon in mogen loggen zou ik al super gaaf vinden.

[Reactie gewijzigd door CAPSLOCK2000 op 26 juli 2024 03:25]

Mr777 @CAPSLOCK2000 • 20 oktober 2017 14:19

Nee, de NSA wil het zelf ook niet.
De functie die Purism gebruikt om de IME uit te schakelen is door Intel op verzoek van de NSA ingebouwd.

Natuurlijk wil de NSA het wel, het is waarschijnlijk met hun medewerking ontwikkeld. Er wordt ook niet gezegd dat die ongedocumenteerde functie dient om de IAMT uit te schakelen, er wordt alleen gesteld dat het gebruik van die ongedocumenteerde NSA-functie het uitschakelen mogelijk heeft gemaakt.

Ok, iedereen denkt nu "of is het toch om te spioneren?", maar daar lijkt het niet op.

Natuurlijk lijkt het daar wel op. Grote soft- en hardware fabrikanten werken al jaren samen met de NSA en andere al dan niet geheime overheidsdiensten. Dat Microsoft samen met de NSA in bed ligt weten we trouwens al sedert 1998. Windows 10 is de grootste spy-op ooit, hoewel dat door de fans uiteraard niet gewaardeerd wordt als je dat ballonnetje doorprikt.

Niet te geloven hoe hardnekkig de naïveteit en goedgelovigheid is bij het gros van de mensen. En dat is natuurlijk koren op de molen van al die overheids- en andere spionagediensten.

Ik zit zelf met het rotding in mijn PC, en ook al heb ik niets te verbergen, het idee dat het er zit heeft me al vaker doen overwegen om een andere PC te kopen.

invic @CAPSLOCK2000 • 20 oktober 2017 17:38

Op verzoek van de nsa? Jij was er zeker bij geweest toen de nsa het verzoek deed?

robvanwijk @Soldaatje • 20 oktober 2017 13:57

Mooi, ik snap ook niet waarom zoiets nodig is, misschien handig voor de NSA of zo.

Het is juist dankzij de NSA dat dit spul is uit te schakelen. Inleiding van het gelinkte artikel:

quote: https://tweakers.net/nieu...ocumenteerde-functie.html
Onderzoekers van het beveiligingsbedrijf Positive Technologies hebben een manier gevonden om de Intel Management-functie uit te schakelen op cpu's van de chipmaker. Zij ontdekten een ongedocumenteerde functie die in het leven was geroepen in het kader van een NSA-programma.

Het is nodig voor grote organisaties; prik een "kapotte" laptop (image vernaggeld, vol spyware, dat soort problemen) aan een netwerkkabel en zolang de hardware niet beschadigd is kun je altijd een nieuw image installeren.

Edit:
Zie ook mijn reactie op CAPSLOCK2000 voor een aanvulling.

[Reactie gewijzigd door robvanwijk op 26 juli 2024 03:25]

whackertje @robvanwijk • 20 oktober 2017 14:05

Mja, daar gebruiken deftige bedrijven toch gewoon SCCM voor via PXE boot? $_/-\o_$

Cerberus_tm

@robvanwijk • 21 oktober 2017 13:54

Maar dan zou je dat toch wel tot moeten kunnen schakelen? Dat dat niet echt kan maakt het wat mij betreft problematisch; anders had ik het wel begrijpelijk gevonden.

Dj Neo Ziggy 20 oktober 2017 13:57

Misschien handig om bij het artikel te vermelden waarom dit zo belangrijk is.

The Zep Man

Open source

@Dj Neo Ziggy • 20 oktober 2017 14:07

Misschien handig om bij het artikel te vermelden waarom dit zo belangrijk is.

Een linkje voor de onwetenden. Combineer dat met de bekende kwetsbaarheden (twee voorbeelden) en het feit dat het een functie is die de massa eigenlijk nooit zal gebruiken, en er zijn zat redenen om het liever niet te willen.

De notebooks van Purism zijn ietwat te duur, maar niet zo duur dat ze onbetaalbaar worden. Wel moeten zij hun duurzaamheid nog bewijzen. Ik gebruik een 6 jaar oude notebook (ook met ME effectief de nek om gedraaid). Hun 13" notebook mij wel wat.

Uit het artikel:

Daarnaast wil het bedrijf het Intel Firmware Support Package verwijderen.

Ik ben benieuwd of dat gaat lukken. De aanwezigheid van FSP (een binary blob die het systeem initialiseert) is een reden voor Libreboot om Purism notebooks niet te ondersteunen. Als het Purism lukt om een FSP-vrije Coreboot image te maken voor hun notebooks dan hebben zij echt een voorsprong in de beperkte markt voor volledig open-source aangestuurde hardware.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 03:25]

Verwijderd @The Zep Man • 20 oktober 2017 14:29

Ik vind het vooral belachelijk dat Intel niet de mogelijkheid geeft om het uit te schakelen via BIOS, UEFI of een API. Dat maakt mij zeer achterdochtig. Wat gaat het hun nou aan of mensen het uit willen zetten?

Cerberus_tm

@Verwijderd • 21 oktober 2017 13:55

Dat vind ik ook. Waarom kan dat niet? Wat is de redenering van Intel in dezen?

CAPSLOCK2000

Open source

@Verwijderd • 21 oktober 2017 14:29

Ik vind het vooral belachelijk dat Intel niet de mogelijkheid geeft om het uit te schakelen via BIOS, UEFI of een API. Dat maakt mij zeer achterdochtig. Wat gaat het hun nou aan of mensen het uit willen zetten?

Ik kan me er wel iets bij voorstellen. Het kost een beetje moeite maar het kan

In veel organisaties is het haast onmogelijk om echt paal en perk te stellen aan wat mensen met hun computer doen. Zeker als je wat hoger in de organisatie komt zijn er altijd mensen die (terecht of niet) vinden dat ze root/administrator-rechten nodig hebben en overal met hun vingers aan mogen zitten. We hoeven het niet te hebben over of dat een goed idee is, het feit is dat ze het doen. Ze klikken overal op en gaan ook in de BIOS rommelen als ze daar zin in hebben en stoppen kauwgum in de USB-poort omdat ze dat ergens op internet gelezen hebben. Als je dat probeert tegen te gaan laten ze hun secretaresse wel een tablet bestellen bij de mediamarkt en dwingen vervolgens af dat ze ondersteuning krijgen*.
Ok, de rant is zo wel lang genoeg, het punt is dat er in iedere organisatie laptops/computers zijn die op onnavolgbare manier zijn vernacheld door de gebruiker. Als ze de mogelijkheid hebben om het scherm en het toetsenbord uit te schakelen dan zal iemand een manier vinden om dat ook echt doen.
Op zo'n moment wil je als IT-manager een backdoor hebben om alle aanpassingen van de gebruiker te kunnen negeren en direct met de hardware praten om firmware en sotfware te overschrijven.

* In een ideale wereld zou dat natuurlijk nooit gebeuren, maar daar leven we niet.

Verwijderd @CAPSLOCK2000 • 23 oktober 2017 07:17

Daarom moet je ook geen BIOS in een computer stoppen, maar alles door het besturingssysteem laten regelen. Dat is ook het niveau waarop authorization gedaan dient te worden. Een modern besturingssysteem heeft ook geen BIOS meer nodig.

CAPSLOCK2000

Open source

@Verwijderd • 23 oktober 2017 09:47

Dat is niet helemaal waar. Of je het nu BIOS noemt of wat anders, iedere moderne computer heeft ingebakken software die draait voor het OS actief wordt.
Deze laptops gebruiken daar coreboot voor. Dat is eigenlijk gewoon een Linux-kernel met wat aanpassingen.
Dat is een stuk beter dan de traditionele black box blob, maar er blijft iets nodig.

Verwijderd @CAPSLOCK2000 • 23 oktober 2017 09:56

Die ingebakken software heet een bootloader, en is meestal maar een paar honderd bytes groot. Het enige wat deze doet is de harddisk sector 0 uitlezen en de programma code daar opstarten. Deze start dan weer de 'grote' OS bootloader voor het besturingssysteem.

Hoe groter je dit soort code maakt (zoals met UEFI, wat miljoenen regels groot is) hoe groter de kans op fouten en kwetsbaarheden. In IME zitten ook miljoenen regels code en waarschijnlijk honderden fouten.

CAPSLOCK2000

Open source

@Verwijderd • 23 oktober 2017 10:58

Die ingebakken software heet een bootloader, en is meestal maar een paar honderd bytes groot.

Dat is onjuist. Traditioneel is de volgorde BIOS -> bootloader -> OS. De BIOS zit op een chip op je moederbord. De bootloader staat aan het begin van de HD. Het laatste wat de BIOS doet is die eerste sector inlezen en uitvoeren.
Dat is echter een paar decennia geleden. Tegenwoordig gebeurt er nog veel meer, zoals de chips waar dit artikel over gaat!

Het is nu meer IME -> Firmware hardware -> UEFI -> Bootloader -> OS en daar zitten vast nog een paar stappen tussen.

Tenminste als je het over Intel(achtige) computers hebt. In andere omgevingen wil de terminologie nog wel eens afwijken en de term bootloader is generiek genoeg dat ook andere opstartprocedures wel eens zo genoemd worden.

joeri1

@Dj Neo Ziggy • 20 oktober 2017 14:14

Op Bleepingcomputer staat een interessant artikel dat meer uitleg geeft.

Enkele quotes:

"Outside the small circle of system administrators that know how useful the component can be, Intel ME has garnered an atrocious reputation, many calling it a backdoor [1, 2, 3, 4]. This is because Intel ME's firmware is undocumented and compressed to hide its content."

"With the recent disclosure of this highly dangerous Intel ME vulnerability — CVE-2017-5689 — having a way to disable the ME component is more needed than ever."

"Furthermore, one cyber-espionage group has already started using other Intel ME vulnerabilities to avoid firewalls and steal data from victims."

[Reactie gewijzigd door joeri1 op 26 juli 2024 03:25]

kimborntobewild @joeri1 • 22 oktober 2017 18:03

"Furthermore, one cyber-espionage group has already started using other Intel ME vulnerabilities to avoid firewalls and steal data from victims."

Het is 'natuurlijk' geen veiligheidsprobleem dat die diefstal mogelijk is, het is een feature:
"When contacted by Microsoft, Intel said the PLATINUM group wasn't using any vulnerability in the Intel AMT SOL interface, but this was another classic case of bad guys using a technology developed for legitimate purposes to do bad things."

Intel ME omzeilt je firewall, dus kan iedereen met wat technische kennis je data op afstand kopiëren. Of sterker nog: waarschijnlijk kan je op de zwarte markt die code gewoon inhuren en zodoende een nog veel groter probleem veroorzaken als laatst met die ransomware die o.a. havens platlegde.

jochem4207 @Dj Neo Ziggy • 20 oktober 2017 14:11

Staat er (nu) toch in:

Het gaat om een cpu die los van de processor kan opereren en te gebruiken is voor onder andere beheer op afstand, ook als een systeem uitstaat. De techniek wordt door critici gezien als een backdoor en dus als een beveiligingsrisico.

Duckman51 20 oktober 2017 14:23

Vraag:

Heeft AMD hardware ook een soortgelijk iets?

Verwijderd @Duckman51 • 20 oktober 2017 14:32

Ja, maar dat is een ARM processor die makkelijker te programmeren valt en dus eenvoudiger uit te schakelen zou moeten zijn. Deze is naar mijn weten ook niet via een BIOS setting uit te schakelen (?).

regmaster @Verwijderd • 20 oktober 2017 17:01

Maar ook PSP is gewoon een achterdeur die onafhankelijk van de processor kan werken. En ook AMD geeft geen tekst en uitleg over de sourcecode. Ofschoon PSP net iets anders werkt dan ME van Intel betekend dat niet dat er niks mee aan de hand is. AMD is ook geen heilige hoor.

Lord Driminicus @Duckman51 • 20 oktober 2017 14:35

Ja, min of meer in elk geval het heet PSP; Platform Security Processor

ehtweak 20 oktober 2017 14:31

Wel opvallend dat het artikel praat over "Het onderdeel wordt als een beveiligingsrisico gezien", maar dat als je de website van puri.sm (leuke extensie trouwens

) bezoekt, NOD32 Antivirus een Untrusted Certificate waarschuwing geeft:
An application on this computer is trying to communicate over a channel encrypted with an untrusted certificate.
It cannot be guaranteed that the contacted server (videos.puri.sm) is the one it appears to be. This could be an attempt to deceive you or intercept your communication.

Terwijl de uitschakeling van Intel ME nou juist hierom gaat!.
Pot verwijt de ketel dat die zwart ziet, komt zomaar bij me op.

[Reactie gewijzigd door ehtweak op 26 juli 2024 03:25]

SleutelMan

@ehtweak • 20 oktober 2017 15:09

Er is niks mis met genoemde website, zowel een handmatige check met openSSL (s_client) als via externe tools als ssllabs leveren een netjes geconfigureerde server op met een LE (Let's Encrypt) certificaat.

Misschien dat dat NOD32 een issue heeft met LE certificaten? De gehele keten leidt naar de DST Root CA X3 die beheert wordt door Identrust. Genoemde Root CA wordt vertrouwd door MS, Mozilla, Apple en Google (ook Android), zie bijv. https://crt.sh/?caid=276. Ik heb geen idee op basis van welke trust store NOD32 (if any) zijn eigen trust store baseert, maar vermoedelijk zit het issue daar.

Overigens nog een reden waarom ik helemaal niets op heb met dit soort virusscanner die gebruikers onnodig de stuipen op het lijf jagen omdat ze zelf hun eigen zaakjes niet op orde hebben (en laten we het maar niet hebben over MITM zaken die veel ervan uitspoken...)

Edit: Voor de grap ook maar even een oude telefoon (met Android 4.4 erop) gepakt: 0 issues met genoemde site. False alarm, it seems

[Reactie gewijzigd door SleutelMan op 26 juli 2024 03:25]

ehtweak @SleutelMan • 20 oktober 2017 15:16

Ik heb het met meerdere browsers getest en een up-to-date AV signature DB.

Dit is de melding:
https://tweakers.net/ext/f/ArB9UxUBTREv1FdUwg8Tjus2/full.jpg
Komt ook alleen als je naar een filmpje van die puristen wilt kijken blijkbaar.

If the computer is configured for SSL protocol scanning, a dialog window prompting you to choose an action may be opened when there is an attempt to establish encrypted communication (using an unknown certificate).
The dialog window contains the following information:
•name of the application that initiated the communication
•name of the certificate used
•action to perform - whether to scan the encrypted communication and whether to remember the action for the application / certificate
If the certificate is not located in the Trusted Root Certification Authorities store (TRCA), it is considered untrusted.

SleutelMan

@ehtweak • 20 oktober 2017 16:30

ah, het gaat specificiek om het domein videos.puri.sm. Ook daar dezelfde uitkomst als ik wat testjes doe (heb een aantal filmpjes bekeken). Maar ik draai ook geen NOD32...

Kabouterplop01 @SleutelMan • 20 oktober 2017 16:30

Nee, bij SSL labs krijgt de URI een dikke B.

Het gaat om deze URI videos.puri.sm.
Weak Ciphers activated
Weak key exchange

Verwijderd 20 oktober 2017 13:50

Mooi initiatief voor eindgebruikers die helemaal geen baten hebben bij een management engine, neem aan dat de use cases for thuisgebruikers vrijwel nihil zijn ( als zal er vast wel iemand zijn die er een nut voor heeft gevonden in zijn situatie.. denk ik

N8w8 @Verwijderd • 20 oktober 2017 14:43

Je kan de ME firmware ook zelf verwijderen. Ik neem aan dat Purism dat op dezelfde manier doet.

SijmenSchoon @Verwijderd • 20 oktober 2017 13:54

Instanties als de NSA hebben vast wel iets leuks gevonden

EDIT: Gezien de reacties op Soldaatje, I stand corrected

[Reactie gewijzigd door SijmenSchoon op 26 juli 2024 03:25]

mzziol 20 oktober 2017 14:01

Hoe kan Purism (wat een akelige naam voor een bedrijf trouwens) weten dat ME echt uitgeschakeld is? Hoe test je zoiets?

robvanwijk @mzziol • 20 oktober 2017 14:39

Door een commando er naartoe te sturen en te controleren dat ie daar niet op reageert.

Afhankelijk van hoe diep je in het systeem duikt (als ontwerper van het systeem en schrijver van firmware: heel diep) heb je misschien ook andere mogelijkheden, maar om daarvan voorbeelden te kunnen geven zou ik de werking en implementatie van IME moeten kennen.

Rinzwind 20 oktober 2017 13:58

Toch onbegrijpelijk dat dit geval niet permanent uit te schakelen is via bios instellingen? Of ik niet snap?

Op dit item kan niet meer gereageerd worden.

Bedrijf levert opensourcelaptop met Intels Management Engine uitgeschakeld

Lees meer

Reacties (97)

Sorteer op:

Weergave: