Cum se dezactivează Intel Management Engine

Dezactivarea Intel Management Engine, cunoscut și sub denumirea de „microcomputerul din procesor”, nu e o operație chiar atât de complicată și riscantă precum se spune și crede. Dacă se vrea, cu un mic dispozitiv și suficientă atenție acesta poate fi neutralizat complet în doar câteva minute de către orice posesor de PC capabil să urmeze niște indicații simple.

dezactivare intel management engine

Dispozitivul menționat, vizibil în imaginea de mai sus, nu este altceva decât un programator de memorie ce se găsește pe AliExpress la prețuri derizorii. Pe mine m-a costat 5,49€, dintre care 2,24€ i-am dat pentru transport (AliExpress Standard).

Dacă aș fi avut răbdare, m-ar fi costat doar  3,25€, dar l-aș fi primit de sărbători, nicidecum la o săptămână după plasarea comenzii, nici nu l-aș fi putut urmări în tranzit.

Pe lângă chițibușul ăsta veți mai avea nevoie de un laptop, neapărat de unul cu bateria bună, de preferat cu Ubuntu sau distribuții derivate. Cum eu n-aveam niciunul pe care să-l pot folosi, i-am pus laptopului Oanei un alt SSD și i-am instalat Pop_OS!.

Dezactivare Intel ME pe Thinkpad T440p

Atenție! Punând în practică informațiile facilitate în continuare, vă asumați responsabilitatea pentru daunele pe care i le puteți produce PC-ului!

În primul rând trebuie localizat cipul de memorie ce-l găzduiește. Acesta diferă de la un PC la altul, dar este foarte asemănător cu cel în care se află BIOS-ul. În cazul Thinkpad T440p, laptopul trebuie demontat, accesul prin scoaterea capacului de mentenanță fiind facilitat doar către cipul BIOS-ului (25Q32 în T440p).

CIPURI BIOS si INTEL MANAGEMENT ENGINE

Altfel spus, în cazul laptopurilor, de cele mai multe ori este mai complicat să ajungi la cipul cu pricina decât citirea firmware-ului de pe el, modificarea și scrierea celui modificat.

Dacă este pentru prima dată când îl demontați, realizați fotografii înainte de fiecare etapă.

Când aveți acces fizic la cip, (25Q64 în T440p), pregătiți laptopul de lucru.

25Q64

Pentru început veți avea nevoie de programul flashrom. Acesta se instalează în Ubuntu cu ajutorul comenzii:

sudo apt install flashrom

Când bateria laptopului de lucru este încărcată complet, fără a-l deconecta de la priză, opriți-l.

IMPORTANT! Asigurați-vă că placa de bază căreia doriți să-i dezactivați Intel Management Engine nu este alimentată în vreun fel!

!!! DEOCAMDATĂ NU CONECTAȚI PROGRAMATORUL DE MEMORIE LA USB !!!

Montați și conectați cleștele programatorul de memorie CH341A la cipul plăcii de bază căreia doriți să-i dezactivați Intel Management Engine.

IMPORTANT! Poziționați cleștele astfel încât cablul roz să conecteze la pinul din dreptul scobiturii de pe cip:

conectare CH341A la 25Q64

Asigurați-vă că acesta calcă perfect pe fiecare pin:

cleste CH341A

Conectați programatorul CH341A la unul dintre porturile USB ale laptopului de lucru:

CH341A

După ce vă asigurați că totul este în regulă, puteți porni laptopul de lucru.

Descărcarea firmware-ului Intel ME

Pentru a descărca firmware-ului Intel ME actual, accesați din Terminal folderul în care veți lucra și executați comanda:

backup firmware intel me

În cazul în care după scrierea firmware-ului modificat computerul nu va funcționa, veți avea nevoie de firmware-ul original. Pentru asta, realizați un backup al acestuia cu ajutorul comenzii:

backup firmware intel management engine

Iar dacă tot aveți două fișiere BIN, le puteți compara folosind diff:

diff rom_me.bin rom_me2.bin

Dacă nu primiți niciun răspuns la comandă, fișierele sunt identice, puteți continua fără griji.

Recomandare: Pentru a nu-l atinge din greșeală, după ce opriți laptopul de lucru, scoateți programatorul de memorie de la portul USB și deconectați cleștele. În acestă ordine!

Modificarea firmware-ului Intel Management Engine

Pentru modificarea firmware-ului Intel Management Engine veți avea nevoie de me_cleaner, acesta se află în pachetul coreboot:

git clone --depth=1 https://review.coreboot.org/coreboot
 cd coreboot/util/ifdtool
 make

Pentru a vă asigura că fișierul BIN este valid pentru modificare, deschideți un Terminal în folderul ifdtool, copiați în acesta fișierul rom_me.bin și executați comanda:

verificare fisier bin

Dacă în loc de un pomelnic asemănător celui din captura de ecran de mai sus primiți un mesaj de eroare, cel mai probabil ați descărcat firmware-ului altui cip. De regulă, în astfel de cazuri vi se va răspunde cu „unknown image„.

O altă modalitate de verificare a firmware-ului:

verificare firmware intel management engine

Important: Dacă ați deconectat programatorul de memorie, opriți laptopul de lucru, fixați cleștele pe cip și conectați programatorul de memorie la USB. În această ordine!

Când sunteți siguri că totul este în regulă, puteți realiza procedura de neutralizare a Intel Management Engine executând comanda:

neutralizare management engine

Câteva secunde mai târziu, me_cleaner va termina de modificat firmware-ul Intel Management Engine și va genera fișierul rom_me_disabled.bin de care veți avea nevoie pentru a realiza dezactivarea propriu-zisă:

neutralizare management engine

Încărcați firmware-ul rom_me_disabled.bin în cip:

firmware incarcat

Opriți laptopul și deconectați programatorul de memorie. Montați placa de bază și porniți PC-ul. Dacă acesta pornește și funcționează corect, operația de neutralizare a Intel Management Engine a reușit.

Dacă sunt probleme, încărcați în cip fișierul rom_me2.bin cu ajutorul comenzii:

sudo flashrom -p ch341a_spi -w rom_me2.bin

Realizați conectarea programatorului de memorie respectând indicațiile anterioare.

Verificarea Intel Management Engine în BIOS

În cazul Thinkpad-urilor cu meniul avansat activat în prealabil, dacă înainte de neutralizarea Intel Management Engine vedeam asta în secțiunea ME Configuration:

intel management engine t440p

După neutralizare au dispărut atât firmware-ul cât și versiunea acestuia:

management engine disabled t440p

În Windows, dacă accesați administratorul de dispozitive, veți vedea că Intel Management Engine a dispărut din lista dispozitivelor de sistem. În GNU/Linux puteți utiliza intelmetool:

verificare stare intel management engine

În concluzie, deși nu poate fi eliminat complet din sistem (Intel a avut grijă să-l implementeze astfel încât funcționarea PC-ului sa fie condiționată de acesta), prin metoda prezentată putem neutraliza Intel Management Engine eliminând din firmware toate componentele ce-l fac vulnerabil și suspect de activități neautorizate.

Resurse utile:

Notă: Deși mereu o fac, de această dată n-am publicat comenzile de teama celor care le iau cu copy/paste fără să înțeleagă ce fac, în acest mod îi descurajez.

2 Comentarii

  1. Foarte bun articolul. O scurta intrebare, doresc sa-mi cumpar (in viitor ) un laptop cu procesor AMD. Sper ca nu au si ei (AMD-ul adica) vreo dracovenie gen Intel ME ?
    Nu de alta, dar acum 7 ani mi-am cumparat laptopul SONY cu un i3 si de atunci nu am mai cumparat nimic portabil ( exceptand Samsung telefon mobil si tableta) si ma gandesc sa cumpar cu AMD. Vreau unul cu 6 sau 8 core-uri. Oricum nu-i graba mare, pt ca intrun an, utilizez laptopul doar de doua ori, atat. Adica, nu-l prea folosesc.
    Dar, doresc poate, noul laptop sa-l folosesc cuplat la monitor sau TV si in felul asta sa mai scad ceva bani la factura de curent. Desktop-urile, consuma mai mult, si nu le mai vad rostul, daca laptop-urile au putere de procesare asa mare. Pare convenabil , cred. In rest nu-mi vine vreo idee acum, la ce as putea folosi laptopul.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.