Intel AMT — расширяя горизонты

И снова — здрасьте. Давненько не брал я в руки шашки. Каких-то 10 лет назад удалось поднять тему биосоковырятельства на уровень, достаточный для вдыхания новой жизни в тогдашние "виашки", которые обгоняли "бэиксы", установки копперов и туалатинов на мендочинные платы и переходники, добавление поддежки K6-2/+, снятие барьеров на объём дисков более 32 Гб (что просто смешно нонче:) ) и пр.
С тех пор биосы существенно "повзрослели" в плане наличия не столь большого количества критических ошибок и ограничений. Да и приход EFI, опять же, состоялся (не прошло и десять лет).
Ну да ладно, то всё лирика. На очереди новая тема, называется она Intel AMT — часть Intel vPro, подразумевающая, если кратко — "удалённое управление компьютером". Многие считают (кстати, с подачи Intel) её "чисто корпоративной", "это для серверов" и прочии "непростоюзеровские" характеристики, обозначающие, что она не доступна "простому пользователю". Что ж, пришло время исправить этот недостаток.

Intel vPro — вы уже за это заплатили


Кстати, да — ведь каждая система с наклейкой Intel vPro inside, как известно, дороже "аналогичной". Ноутбуки дороже на 50-150$, платы на 30-50$ (всё условно-приблизительно). И всё это только из-за наличия в чипе поддержки Intel AMT, существенно удорожающего материнскую плату. И что же получают пользователи, купившие себе лично vPro-ноутбук и использующие его лишь дома? Ведь, как известно, Intel vPro подразумевает Enterprise-применение, которое в свою очередь подразумевает корпоративную локальную сеть. Итого — 100$ за красивую наклейку, мои поздравления.

Intel AMT на пользу каждому


Итак, имеем на входе "корпоративную технологию", которая работает лишь в локальной сети. Локальной сети (подразумевается — корпоративной, а через VPN инициализация не работает) дома, понятно, нет, потому даже просто проинициализировать AMT (для последующего использования) не получится. Через интернет она не работает. Так, стоп, а почему не работает? Курим даташиты. Курим Intel AMT SDK. Разбираемся. Исправляем найденные (многочисленные, так их через так) ошибки в исходниках. Получаем на выходе вполне рабочий вариант.

Что нужно для инициализации Intel AMT через интернет


  1. Нужен компьютер с поддержкой Intel AMT (и AMT не выключена в биосе)
  2. Нужен доступ к роутеру, раздающему интернет, для того, чтобы пробросить порты
  3. Нужен интернет
Проверяем наличие АМТ для системы, которую собираемся проинициализировать. Замечу, что данная процедура не подразумевает наличие каких-то драйверов да и вообще операционной системы (мало того, компьютер вообще может быть выключен — лишь подключён к "сетям" через шнурки (к электро- и к интернету).
Последовательность действий:
  1. Пробрасываем порты (TCP): 16992-16993
  2. Прописываем в настройках DHCP опцию "Parent Domain": vpro.by. (Название данной опции различные роутеростроители обзывают по-разному, "официально" это - DHCP Option 15 field).
Всё, если роутер требует перезагрузки, перезагружаем и через минуту уже можно будет получить доступ к своему компьютеру по адресу http://ваш_IP:16992

Подробности инициализации Intel AMT через интернет (и что делать, если у вас нет вышеупомянутых опций) читайте здесь - vpro.by/inicializaciya-intel-amt-cherez-internet

Теперь вы сможете целиком и полностью использовать то, за что когда-то заплатили и чего по версии Intel не могли получить "одиночные" в плане "не корпоративные" пользователи, являющиеся "счастливыми обладателями систем на базе до Intel AMT версии 6. А также многие и более новых версий (обычно - "счастливые" обладели "родных" Intel-матплат), вплоть до самой последней Intel AMT 9.

Если данная информация оказалась полезной/интересной - плюсаните, пожалуйста:

Аватар пользователя ADEPT707

- Для vPro используется встроенный сетевой контроллер? другие сетевые карты не поддерживаются?
- предохранитель какой-никакой )
- отсюда- thg.ru/mainboard/intel_vpro/

Аватар пользователя savely

> Для vPro используется встроенный сетевой контроллер? другие сетевые карты не поддерживаются?

Имеется в виду - "сетевой чип обязательно Интел или нет?" или "поддерживаются ли внешние PCI/PCIe-сетевые"?

А кому счас легко...

Аватар пользователя apple_rom

Подразумевается, конечно, Intel-сетевая карта, как минимум Ethernet. Для поддержки Intel AMT в беспроводном варианте - и WiFi-карта должна быть Intel.

Аватар пользователя Baza

для полной поддержки (включение-перепрошивка-блокировка) выключенного устройства, оно должно поддерживаться аппаратно
у меня на ноуте ThinkPad x61t оно есть, но я его вырубил нафиг
на серваке, который мы покупали, было 2 разъёма LAN (и ессно контроллера на плате) : один с поддержкой AMT , второй без.

Либо нечему гореть, либо нечем поджечь!

Аватар пользователя ADEPT707

2 savely
Мысль была-что поддерживаются только интегрированные сетевухи, низко конфигурируемые южником,
не важно - на интеловских чипах, или на иных.
Соответственно- любые внешние PCI/PCIe/USB ... итд не поддержатся.

Аватар пользователя apple_rom

Верно, интеловские-интегрированные, любые внешние (в т.ч. интеловские) - не поддерживаются. Ведь AMT, как правильно было сказано - "низкоконфигурируемая" технология.

п.с. По примеру вышеописанного, подробный мануал в картинках - инициализация AMT6-матплаты Intel DQ57TM.

мануал в картинках - только для зарегистрированных :(

Аватар пользователя ADEPT707

вот инкогнитовская версия ))
youtube.com/watch?v=ZAeq_Y0LFqM

Аватар пользователя apple_rom

Цитата:
мануал в картинках - только для зарегистрированных

Нет, к сожалению, на интеловском форуме глючный редактор и неудобные правила - каждая правка проверяется модератором, а до этого публикация тупо запрещается для всех (кроме модеров). Придётся ждать, пока они расчехлятся, ссылка рабочая.
update: уже всё работает.
Цитата:
вот инкогнитовская версия ))

Верно, как раз для того, чтобы так можно было делать и предназначено вышеописанное.

Аватар пользователя savely

Цитата:
Верно, интеловские-интегрированные

+ Broadcom точно.

И вот еще интересная ссылочка
support.lenovo.com/ru_RU/downloads/detail.page?DocID=DS033504

А кому счас легко...

Аватар пользователя apple_rom

Цитата:
+ Broadcom точно.

Видимо мы подразумеваем что-то разное, ибо это не так.
Цитата:
И вот еще интересная ссылочка

Просто ошибка на сайте Леново - там должен быть апгрейд прошивки для АМТ8.

Хорошая штука для использования в корпоративной среде, например. Жаль что VNC функциональность (Intel AMT KVM) доступна только начиная с AMT 6.0, для чипсетов выше Q67 и только если у процессора есть встроенный GPU.
Более старые чипсеты или CPU без GPU поддерживают только Serial-over-LAN (удобно если лины, grub и консоль туда завернуть) и удаленное управление питанием (с вебкой естественно).

А так получается идеальный Remote Assistance без разделения на вендора и версии OS. Ну и ходить никуда не нужно чтобы ребутнуть машину:)

В настоящее время меня сильно волнует вопрос, как этот AMT выпилить на корню, целиком и полностью, чтобы ни кусочка не осталось. Это самый настоящий троянский конь с обширными возможностями, вероятность наличия черного хода "для своих" - 146%, комп с такой шнягой годится только в игры играть, хранить на нем информацию уже нельзя.
Пробовал удалять прошивку ME, столкнулся с серьезными проблемами при инициализации памяти. Кто-нибудь тут ковырял эту тему?

"Пробовал удалять прошивку ME, столкнулся с серьезными проблемами при инициализации памяти."

до 8й версии можно было "выкусить" - .... правда БИОС надо было переписать заново ....;)
c 8й версии даже выкусывание не решает проблемм (инфа от Интел(С)) :(

.... приехали , а как красиво все начиналось ... "функциональные возможности сервера - на вашей персрналке !!"

АНБ не дремлет... Что теперь осталось без ихних закладок? AMD еще не скурвилась?

Аватар пользователя savely

Хотите быть "святее папы"?
Я в общем-то немного безопасник (если громко - системный программист в области ИБ), и как раз AMT (в общем-то документированная и явно видная технология) меня беспокоит меньше всего.

Ну, и как сказал один умный человек - "привыкайте" (к тому что "Big Brother is watching you!"):))
Пока вы никому не нужны - просто не подставляйтесь наивно (типа установки софта из левых почтовых аттачей и т.п.).
Будете нужны - выпиливание AMT вам не поможет.

А кому счас легко...

> в общем-то документированная и явно видная технология
Документация на структуру ME Region и внутренности его прошивки доступна? Я пока что вижу что сделано все возможное, чтобы никто не разобрался что там внутри. А внутри может быть full access для АНБ на самом низком уровне, например в виде интерфейса чтения/записи памяти посредством посылки специально сформированных сетевых пакетов.
Установка левого софта, запуск почтовых аттачей - это угрозы давнего прошлого, когда для обнаружения взлома советовали смотреть логи, а kernel mode руткит считался чем-то экстраординарным. Сейчас атаки стали сильнее, закладки прячут лучше и глубже, а руткиты невидимые на зараженной системе - норма, а не исключение. Надо вырабатывать меры противодействия вовремя, а не когда петух клюнет.

По теме: я осилил отключение ME на стадии PEI через LPC Function Disable 2 Register и подмену всех общающихся с ним драйверов (HeciPei, HeciDxe, HeciSmm, MePciPlatform, MePeiPolicyInit, MePlatformPolicy, PchMeUma). При этом все связанные с ME устройства пропадают из PCI Config Space и ME устройство не получает 32мб системной DRAM под свою работу. После этого всё запускается и работает нормально. Но сама прошивка ME должна присутствовать, и неизвестно что она может делать опираясь только на свою on-chip память. В дополнение можно отключить встроенные сетевухи и вставить дискретную сетевую карту не-intel, маловероятно что троян сможет ей пользоваться.
Только это полумеры. Хочется чистого выпила, с ликвидацией потенциально опасной прошивки.

PS: идея еще одной полумеры: изоляция ME от системной памяти посредством контроля басмастеринга через VT-d. Насколько реализуемо?

"При этом все связанные с ME устройства пропадают из PCI Config Space и ME устройство не получает 32мб системной DRAM под свою работу" .....;) в том то и вся соль, что "выключение/отсутствие PCI" ограничивает, но не стопорит МЕ:( ... эта музыка будет вечной , просто не такой "быстрой и громкой"

PS: ну и классика провокации .... мы вам подбросим материальчики с педофилией и за них же и посадим ...

>PS: ну и классика провокации
Давайте не мешать всё в одну кучу. Если власти вражеского государства хотят тайно похитить информацию, это одно. Если свои власти хотят вас посадить, это другое. Бороться с первым случаем полезно и почетно, со вторым - бессмысленно и опасно.

Аватар пользователя Bishop

...захотят посадить - эти технологии не пригодятся:)

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей