Findige Bastler beschäftigen sich damit, die Intel Management Engine, die auf modernen Systemen mit Intel-CPUs mit kommt, zu entfernen. Hier ein paar Informationen zum Thema Intel Management Engine Interface (Intel MEI) und zum Projekt.
Anzeige
Früher war alles noch einfach, da wurde auf einem Baumstamm getrommelt – und wenn Du ein Windows erfolgreich auf deiner Kiste installiert hattest, war das System frei von "Schweinereien". Nun, die Baumstämme zum Trommeln hat man abgeschafft, gibt jetzt so komische kleine Dinger, die man sich ans Ohr hält und dann in die Gegend schreien muss, damit jeder die Kommunikation auch mit bekommt. Gegenüber dem Trommeln in früheren Zeiten hat sich nicht viel geändert, außer, dass die Baumstämme zum Trommeln furchtbar unpraktisch zum Mitnehmen für Einkäufe im Supermarkt, in Bus und Bahn oder so sind. Also doch Fortschritt?
Neben der Geschichte mit dem Trommeln musste ich zudem lernen, dass es neue Schweinereien auf moderner OEM-Hardware gibt, die es Herstellern ermöglichen, mir als Anwender vorzugeben, was auf Windows-Maschinen werkelt. Eine dieser Schweinereien sind die WPBRs (siehe mein Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT)). Die andere Schweinerei verbirgt sich hinter dem Intel Management Engine Interface.
Intel Management Engine Interface (Intel MEI)
Das Intel MEI findet man auf modernen Intel-Boards. Ich zitiere mal aus meinem Blog-Beitrag Windows 10, Autotreiber-Ärger und Intel "Board-Intelligenz": das Intel® Management-Engine-Interface ist so ein "Sub-System", welches Intelligenz auf das Board bringen soll. Bei hardwarelux.de findet man hier eine Diskussion und hier gibt es eine englische Erklärung.
Die Frage, ob sich eine Backdoor hinter dem Intel MEI befindet, wird hier bei Techrepublik sowie bei hackaday.com diskutiert. Vor einiger Zeit hat sich heise.de im Artikel Intel: Innovation Engine ergänzt Management Engine (ME) mit dem nächsten Ansatz aus dem Hause Intel befasst. Die Innovation Engine soll die MEI noch weiter aufwerten und zusätzliche Features bereitstellen. Jeder Board-Hersteller darf die Firmware für die Innovation Engine selbst entwickeln – nur die verschlüsselte und kryptografisch signierte ME-Firmware kommt von Intel. Ein weiterer Punkt für Ärger und Sicherheitslücken – der heise.de-Artikel ist da ganz aufschlussreich.
Anzeige
Ein Intel Management Engine-Cleaner
Alles, was "Intelligenz" auf dem Board bedeutet, ist mir suspekt – und das Intel Management Engine Interface gehört dazu. Speziell im Linux-Umfeld kann mit mit Intels Management Engine wenig anfangen. Daher hat Nicola Corna ein Tool, den me_cleaner entwickelt und auf Github breitgestellt. In der Readme heißt es:
ME cleaner
A cleaner for Intel ME images.
This tools removes any unnecessary partition from an Intel ME firmware, reducing its size and its ability to interact with the system. It should work both with Coreboot and with the factory BIOS.
Currently this tool:
- Scans the FPT (partition table) and checks that everything is correct
- Removes any partition entry (except for FTPR) from FPT
- Removes any partition except for the fundamental one (FTPR)
- Removes the EFFS presence flag
- Corrects the FPT checksum
- Removes any LZMA-compressed module (pre-Skylake only)
- Removes most of the Huffman-compressed modules (pre-Skylake only)
Don't forget to power cycle your PC after flashing the modified ME image (power off and power on, not just reboot).
See the current status in the wiki.
Das Ganze deutete sich schon im November in diesem hackaday.com-Beitrag an. Dieser befasst sich mit dem Deaktivieren von Intels Management Engine. Dort wird die Arbeit von Nicola Corna und Frederico Amedeo Izzo zum Deaktivieren der IME erwähnt. Vor ein paar Tagen hat dann phoronix.com den Beitrag It's Now Possible To Disable & Strip Down Intel's ME Blob veröffentlicht. Und auch heise.de widmet sich im deutschsprachigen Beitrag Linux-Tüftler wollen Intels Management Engine abschalten diesem Ansatz. Die Redaktion geht aber auch auf Risiken und Nebenwirkungen der ganzen Operation ein. Für bastelfreudige Linuxer mit entsprechenden Boards wohl eine Fundgrube.
Ähnliche Artikel
Windows 10, Autotreiber-Ärger und Intel "Board-Intelligenz"
Backdoor 'Windows Platform Binary Table' (WPBT)
Hardware-Whitelisting bei Lenovo-Geräten?
Dell Foundation Service-Lücke – Teil 2
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Lücke im Lenovo Solution Center geschlossen
Backdoor 'Windows Platform Binary Table' (WPBT)
Anzeige
Öhm… ich dacht bisher, das MEI eigentlich eher gut fürs System sei, weils irgendwelche speziellen Funktionen von CPUs und Chipsätzen ergänzt und "optimiert", ermöglicht etc… also das System theoretisch damit erst so richtig rund laufen könnte, weil sonst "was" fehlt…
Ich möchte zum Beispiel gerne ein System, das sich auch allein nach dem herunterfahren ausschaltet. Das klappt nur mit einem älteren MEI (für mein System). Ganz ohne, oder nur mit z.B. Windows 10 mitgelieferten Geschichten gehts nicht und ich darf 5 Sekunden Powertaste drücken… das kanns nicht sein.
Nun doch lieber wieder drauf verzichten, oder CCleaner like Bestandteile löschen, von denen man vielleicht mal gehört aber nie ganz begriffen hat, wie das zusammenspielt?
Baumstämme hatten nebenbei noch mehr Vorteile, man brauchte keine Akkus und konnt bei Bedarf auch so richtig seinen Frust an ihnen ablassen…
Meinste die seligen Zeiten von Windows 3.x bis 95, mit dem schönen Abschiedsgruß "Sie können den Computer jetzt ausschalten"? – Ohje! … mir wäre genau das (wie ich bei den Akku-Problemen beim MEDION AKOYA S6214T festgestellt habe) mittlerweile sogar fast lieber als Medions klägliche Fehlversuche, endlich ein passendes BIOS dafür zu basteln.
…ja, wie sich die Zeiten ändern.
Früher "Sie können Ihren Computer jetzt ausschalten", heute heißts "dauert noch, es werden noch Updates installiert"
Neeee, also zurück zu Win95 möcht ich dann doch nicht…
Romantische Vorstellung, aber auch gruselig…
Ach ja… ich erinnere mich noch an das blöde Gesicht des Vobis Menschen, als ich ihn fragte, wo ich denn in den neu gekauften PC die neumodische Windows CD und Treiber CDs zur Installation einlegen könnte, welcher gar kein CD Rom Laufwerk hatte…
Waren es am Ende wirklich irgendwas bei 30 Disketten, oder spinn ich schon?
Das erste CDRom Laufwerk kaufte ich dann zum Spiel Wing Commander…
So war das früher… neues Windows, neuer PC, neues Spiel, neue Hardware kaufen…
Kein Wunder das die PC Industrie weinen muss
Hübscher Rückblick. :-)
Wirste nich glauben, is aber so: MEDION AKOYA S6214T fährt runter, schaltet aber nicht wirklich ab: Akku-Schleich jenseits von gut & böse! Medion hält das für "normal" (bei einem Notebook-Convertible wohlgemerkt! Mobilgebrauch kannste vergessen).
Da überkam mich die Sehnsucht nach einem echten AUS-Schalter … hardwaremäßig nach altem Brauch. :-(
@Andreas: Frage, ist das Netzteil am ausgeschalteten Gerät angeschlossen gewesen? Falls ja, das ist ein "Entladeteile", weil es Strom aus den Akkus zieht – erkennbar an der LED am Netzteil.
Nein, es wird immer abgezogen, bzw. bleibt zum Aufladen im ausgeschalteten Zustand nur grade so lange dran bis die orangene LED-Anzeige erlischt.
(Mir ist aufgefallen, dass die Netzteile wohl irgendwie gepuffert sind; deren grüne LED leuchtet nach Entfernung vom Netz immer noch etwas weiter. Aber das ist wohl bei allen Netzteilen normal.)
Beste Grüße :-)
Andreas B.