Leider ist durch Intel Boot Guard die Verwendung eines alternativen BIOS bei vielen Geräten nicht möglich.
Aus Sicherheitsaspekten habe ich jedem meiner Rechner (T420s / T430) Coreboot mit abgeschalteter Intel ME spendiert. Dazu ein voll verschlüsseltes Linux und man geniesst ein Höchstmass an Sicherheit.
Bei den «neueren» Geräten fällt Coreboot jedoch weg, ausser es wurde direkt vom Hersteller implementiert. Was jedoch möglich ist, die Intel ME Engine abzuschalten. Das ganze wurde getestet auf einem ganz neuen Lenovo E490 Laptop.
Der SPI Chip ist sehr leicht zugänglich und sitzt auf der unteren Seite des Mainboards. Man muss lediglich die Schrauben lösen und mit einer alten Kreditkarte den Deckel am Rand leicht anheben.
Zum lesen/schreiben verwende ich flashrom und ein mini ftdi Modul. Man sollte immer sicher gehen, dass das Backup keine Fehler aufweist, deshalb unbedingt zweimal lesen und die MD5 Hash Summen vergleichen! Es wird sonst sehr schwierig den original Zustand wieder herzustellen!!
Sieht ungefähr so aus: e9e0f71d822c9e29c8a64e94fc5af884
Haben wir ein sauberes Backup, können wir das Intel ME HAP Bit setzen.
Notwendig dafür ist ein modifizierter me_cleaner von dt-zero. Dieser Fork unterstützt nun auch die Version 12 von ME. Danke an dt-zero für die schnelle Hilfe!
Wenn alles gut gegangen ist, sollte im Bios die ME Firmware Version verschwunden sein. Ebenfalls ist unter /dev/ kein mei0 device mehr sichtbar.
Das Intelmetool von Coreboot arbeitet in der vorliegenden Version nicht mit neuer Hardware zusammen, da die Hardware ID’S der CANNONLAKE ISA Bridge (0x9D84) und des Intel ME Kommunikations Controlers (0x9DE0) noch keinen Einzug gefunden haben. Ich werde in den nächsten Tagen eine Version mit den notwendigen Anpassungen veröffentlichen.
Hier ein Auszug vor der Modifikation:
MEI found: [8086:9de0] Device 9de0 ME Status : 0xa0000245 ME Status 2 : 0xf10506 ME: FW Partition Table : OK ME: Bringup Loader Failure : NO ME: Firmware Init Complete : YES ME: Manufacturing Mode : NO ME: Boot Options Present : NO ME: Update In Progress : NO ME: Current Working State : Normal ME: Current Operation State : M0 with UMA ME: Current Operation Mode : Normal ME: Error Code : No Error ME: Progress Phase : ROM Phase ME: Power Management Event : Clean Moff-Mx wake ME: Progress Phase State : (null) ME: Extend Register not valid ME: Firmware Version 12.0.1427.35 (code) 12.0.1427.35 (recovery) 12.0.1427.35 (fitc) ME Capability: Full Network manageability : OFF ME Capability: Regular Network manageability : OFF ME Capability: Manageability : OFF ME Capability: Small business technology : OFF ME Capability: Level III manageability : OFF ME Capability: IntelR Anti-Theft (AT) : OFF ME Capability: IntelR Capability Licensing Service (CLS) : ON ME Capability: IntelR Power Sharing Technology (MPC) : OFF ME Capability: ICC Over Clocking : OFF ME Capability: Protected Audio Video Path (PAVP) : ON ME Capability: IPV6 : OFF ME Capability: KVM Remote Control (KVM) : OFF ME Capability: Outbreak Containment Heuristic (OCH) : OFF ME Capability: Virtual LAN (VLAN) : ON ME Capability: TLS : OFF ME Capability: Wireless LAN (WLAN) : OFF