Выбор чипсета / материнской платы БЕЗ Intel AMT, ME, BMC и других технологий управления помимо ОС

Прочитал недавно две потрясшие меня статьи.

Китайские закладки: непридуманная история о виртуализации, безопасности и шпионах


Кремневый беспредел (часть 1.)
Как раз в это же время встал вопрос о замене моей довольно устаревшей материнской платы и процессора на что-то более новое. Прочитав эти статьи решил с Intel не связываться и подобрать плату под процессор AMD. Ей стала ASRock M3N78D FX с чипсетом NVIDIA® nForce 720D
Поставил я, значит, эту материнку, включил компьютер, начал ставить драйвера, и тут меня ждал сюрприз: Windows определила среди устройств некий "сопроцессор", который после установки драйверов на материнскую плату стал называться "NVIDIA nForce System Management Controller". Вот его Vendor ID: PCI\VEN_10DE&DEV_0753&SUBSYS_07531849&REV_A2

Информация из Everest

[ Системные устройства / NVIDIA nForce System Management Controller ]

Свойства устройства:
Описание драйвера NVIDIA nForce System Management Controller
Дата драйвера 22.03.2010
Версия драйвера 5.1.2600.208
Поставщик драйвера NVIDIA
INF-файл oem67.inf
Аппаратный ID PCI\VEN_10DE&DEV_0753&SUBSYS_07531849&REV_A2
Сведения о размещении PCI шина 0, устройство 1, функция 3
PCI-устройство nVIDIA MCP78 - Management Unit

Ресурсы устройств:
IRQ 20
Память DED80000-DEDFFFFF

На предыдущей материнской плате (кстати, тоже на чипсете nForce) НИКАКОГО System management controller'a НЕТ.
Ни в Google, ни на сайтах nVidia и ASRock мне не удалось найти информацию, что же это за компонент, каковы его функции и что делает его драйвер. Найденные мной обсуждения на форумах сводились в основном к тому, как избавиться от назойливого окошка "Найдено новое оборудование" и где взять драйвер к этому "сопроцессору"

Драйвера для этого "чуда" прилагаю

А теперь вопросы к тем, кто может чем-нибудь помочь:
1. Что это за NVidia nForce system management controller и какие функции он выполняет. Оправданы ли мои подозрения, что это может быть аналог Intel Management Engine?
2. Если мои подозрения верны, и это - аналог Intel Management Engine, то можно ли его как-нибудь уничтожить физически или отключить программно.
3. Какие еще производители чипсетов занимаются встраиванием технологий управления машиной не зависящих от ОС?
4. Знаете ли Вы производителей чипсетов / материнских плат которые точно НЕ встраивают в свои продукты никаких технологий скрытного удаленного управления помимо ОС наподобие Intel AMT? По Вашим советам буду выбирать скорее всего материнскую плату.

P.S. Судя по распространенности платформы Intel во всяких планшетах, ноутбуках, нетбуках и даже смартфонах, обойти ее стороной и не пользоваться ей может не удаться. Поэтому если у кого есть любая информация о внутреннем устройстве Intel Management Engine, способах ее перепрошивки, физическом расположении (северный или южный мост?), архитектуре процессора, способах ее дезактивации, файлы прошивок, секретные ключи, которыми криптуются прошивки, и.т.д., просьба поделиться:).

В техническогй стороне BIOS я пока не очень силен, но, кажется, за помощью по этому вопросу обращаться не к кому, так что придется разбираться во всем самому. Поэтому буду рад любой информации по данной технологии Intel

ВложениеРазмер
smu.rar255.79 КБ

1. нет
2. не ставить драйвер, всё равно никаких изменений для работы не видно.

Все они зависят от ОС, и кроме того, нужно перед использованием настроить. Часто даже сначала в биосе, а потом в ОС.
Не, ну конечно, если Вы покупаете комп с предустановленной виндой, и уже готовый - то там уже может быть что-то настроено (что и не нужно в большинстве случаев). Но обычно всё включено, и ПО установлено, но ничего не настроено. Так что - паранойя тут ни к чему.

Боитесь удалённого управления? подключайтесь к инету через маршрутизатор с настроенными правилами - ну, тут от фантазии и степени паранои зависит - можно, например, ограничить доменами .ru, не использовать торрент, скайп, и подобные p2p программы. Ну или вовсе не использовать сеть.

г. Пугачёв - ремонт компьютерных комплектующих, мониторов LCD, ноутбуков.
т. 89276219324

Цитата:
1. нет

Тогда что это?? Какие функции выполняет? По-моему "Management controller" как раз и переводится с английского как "Микроконтроллер управления"

Цитата:
2. не ставить драйвер, всё равно никаких изменений для работы не видно. Все они зависят от ОС, и кроме того, нужно перед использованием настроить.

Intel AMT, например, НЕ зависит от ОС, потому что размещена в собственной флеш-памяти, выполняется на собственном неэнергоемком процессоре (он же Management Engine), встроенном, кажется, в северный мост, которому для работы достаточно даже дежурного напряжения в выключенном компьютере! Зато этот второй процессор запросто имеет доступ к к жестким дискам, оперативной памяти, сетевой карте, Wi-Fi, располагает данными, что в данный момент обрабатывается на основном CPU. А еще система имеет флеш-память для временного хранения данных (например конфигурации Windows, которая была выяснена пока компьютер работал). Драйвер нужен Intel ME только для того, чтобы поддерживать связь с работающей в данный момент ОС, опрашивать ее состояние, корректно выключать и.т.д. Стащить файл с винчестера или переустановить ОС система может и без всяких драйверов.

Если кратко, то это похоже на то, если бы к вашим жестким дискам, оперативке и др. было подключено два компа с разными ОС. Один контролируете Вы и он выполняет полезную работу, а другой делает хрен знает что + дает удобные средства администрирования и полного контроля над первым компом. Причем Вы ен знаете что за ОС там стоит, ни можете его отключить ни повлиять на его работу, ни проконтролировать (проконтролировать можно только, например, на маршрутизаторе). Можно отключить только средства администрирования предназначенные в пользование для Вас. А Management Engine спокойно продолжит работать.
ОС Management Engine еще помимо AMT может содержать программу "антивор" Intel Anti-Theft, элементы DRM, контролировать обороты кулеров, и я думаю что это еще не все что она может.
Да, еще если почитать документацию Intel, то становится ясно, что Management Engine встроена во ВСЕ (!!!) чипсеты Intel c 2010 года, даже если у Вас нет AMT и Anti-Theft

Самое интересное, что прошивка для Management Engine закриптована. Так что получается черный ящик.

А самое интересное, то, что для работы ей ну никак не нужно загружать на основном CPU свой гипервизор и запускать Windows в режиме виртуализации. А именно это и происходит. Нужно это только для того, если ты хочешь контролировать полностью работу "виртуальной" ОС с помощью мощностей основного CPU (т.е. загруженного гипервизора).

А начнешь проходиться по Management Engine паяльничком так испортишь северный мост. Сделали бы они его отдельной микросхемой - вопросов бы не было. А еще лучше, сделали бы под него слот, хочешь - вставляй, хочешь - не вставляй. Тем более что все производители таких решений так и поступают. А еще - обычная практика делать для сервисного сетевого трафика отдельную сетевую карту, а не туннелировать его в общий трафик, как сделала Intel. А то если у тебя сервер/десктоп к интернету подключен, то AMT - тоже.

en.wikipedia.org/wiki/Intel_Active_Management_Technology

Цитата:
Intel AMT is hardware and firmware technology that builds certain functionality into business PCs in order to monitor, maintain, update, upgrade, and repair PCs.[1] Intel AMT is part of the Intel Management Engine, which is built into PCs with Intel vPro technology.[2] Intel AMT is designed into a secondary (service) processor located on the motherboard.

Hardware-based management does not depend on the presence of an OS or locally installed management agent.

Intel AMT includes hardware-based remote management, security, power-management, and remote-configuration features.[1][11] These features allow an IT technician to access an AMT featured PC remotely.[8]

Intel AMT relies on a hardware-based out-of-band (OOB) communication channel[1] that operates below the OS level, the channel is independent of the state of the OS (present, missing, corrupted, down). The communication channel is also independent of the PC's power state, the presence of a management agent, and the state of many hardware components (such as hard disk drives and memory).

Most AMT features are available OOB, regardless of PC power state.[1] Other features require the PC to be powered up (such as console redirection via serial over LAN (SOL), agent presence checking, and network traffic filtering).[1] Intel AMT has remote power-up capability.

Цитата:
Ну или вовсе не использовать сеть.

Компьютер без сети = печатная машинка, IMHO.

Публикации на тему
web.it.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Ververis-wi...
web.it.kth.se/~maguire/Vassilios_Ververis-Security_evaluation_of_Intel_Act...
uberwall.org/bin/download/download/102/lacon12_intel_amt.pdf

Так что вопрос не решен

да параноя процветает. Что, трудно на маршрутизаторе настроить запись всех соединений? или на крайний случай подключаться через прокси, на котором уж точно можно просмотреть ВСЕ соединения. Поставить голую винду, и посмотреть, что куда лезет, и лезет ли вообще. Закладка обнаружит себя коннектом на своего хозяина (или посредника).

г. Пугачёв - ремонт компьютерных комплектующих, мониторов LCD, ноутбуков.
т. 89276219324

Аватар пользователя apple_rom

Вопрос по выбору "максимально безбирусной" системы вполне справедливый. В своё время я рекомендовал для такого системы на VIA, однако, так понимаю, они уже почили. Потому если речь именно о современных, то это системы на AMD (чипсет/процессор). Однако, признаюсь, давно "не видел вблизи" AMD последние годы.

Аватар пользователя icbook

Секьюрность становится синонимом технической отсталости?
Это всё от старости, всё это от старости.
:)

а не стала ли секьюрность синонимом полной незащищенности? :)

Отправить комментарий

Содержание этого поля является приватным и не предназначено к показу.
  • Разрешённые HTML-теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • You can use BBCode tags in the text. URLs will automatically be converted to links.

Подробнее о форматировании текста

Антибот - введите цифру.
Ленты новостей