Dezactivarea Intel Management Engine, cunoscut și sub denumirea de „microcomputerul din procesor”, nu e o operație chiar atât de complicată și riscantă precum se spune și crede. Dacă se vrea, cu un mic dispozitiv și suficientă atenție acesta poate fi neutralizat complet în doar câteva minute de către orice posesor de PC capabil să urmeze niște indicații simple.
Dispozitivul menționat, vizibil în imaginea de mai sus, nu este altceva decât un programator de memorie ce se găsește pe AliExpress la prețuri derizorii. Pe mine m-a costat 5,49€, dintre care 2,24€ i-am dat pentru transport (AliExpress Standard).
Dacă aș fi avut răbdare, m-ar fi costat doar 3,25€, dar l-aș fi primit de sărbători, nicidecum la o săptămână după plasarea comenzii, nici nu l-aș fi putut urmări în tranzit.
Pe lângă chițibușul ăsta veți mai avea nevoie de un laptop, neapărat de unul cu bateria bună, de preferat cu Ubuntu sau distribuții derivate. Cum eu n-aveam niciunul pe care să-l pot folosi, i-am pus laptopului Oanei un alt SSD și i-am instalat Pop_OS!.
Dezactivare Intel ME pe Thinkpad T440p
Atenție! Punând în practică informațiile facilitate în continuare, vă asumați responsabilitatea pentru daunele pe care i le puteți produce PC-ului!
În primul rând trebuie localizat cipul de memorie ce-l găzduiește. Acesta diferă de la un PC la altul, dar este foarte asemănător cu cel în care se află BIOS-ul. În cazul Thinkpad T440p, laptopul trebuie demontat, accesul prin scoaterea capacului de mentenanță fiind facilitat doar către cipul BIOS-ului (25Q32 în T440p).
Altfel spus, în cazul laptopurilor, de cele mai multe ori este mai complicat să ajungi la cipul cu pricina decât citirea firmware-ului de pe el, modificarea și scrierea celui modificat.
Dacă este pentru prima dată când îl demontați, realizați fotografii înainte de fiecare etapă.
Când aveți acces fizic la cip, (25Q64 în T440p), pregătiți laptopul de lucru.
Pentru început veți avea nevoie de programul flashrom. Acesta se instalează în Ubuntu cu ajutorul comenzii:
sudo apt install flashrom
Când bateria laptopului de lucru este încărcată complet, fără a-l deconecta de la priză, opriți-l.
IMPORTANT! Asigurați-vă că placa de bază căreia doriți să-i dezactivați Intel Management Engine nu este alimentată în vreun fel!
!!! DEOCAMDATĂ NU CONECTAȚI PROGRAMATORUL DE MEMORIE LA USB !!!
Montați și conectați cleștele programatorul de memorie CH341A la cipul plăcii de bază căreia doriți să-i dezactivați Intel Management Engine.
IMPORTANT! Poziționați cleștele astfel încât cablul roz să conecteze la pinul din dreptul scobiturii de pe cip:
Asigurați-vă că acesta calcă perfect pe fiecare pin:
Conectați programatorul CH341A la unul dintre porturile USB ale laptopului de lucru:
După ce vă asigurați că totul este în regulă, puteți porni laptopul de lucru.
Descărcarea firmware-ului Intel ME
Pentru a descărca firmware-ului Intel ME actual, accesați din Terminal folderul în care veți lucra și executați comanda:
În cazul în care după scrierea firmware-ului modificat computerul nu va funcționa, veți avea nevoie de firmware-ul original. Pentru asta, realizați un backup al acestuia cu ajutorul comenzii:
Iar dacă tot aveți două fișiere BIN, le puteți compara folosind diff:
diff rom_me.bin rom_me2.bin
Dacă nu primiți niciun răspuns la comandă, fișierele sunt identice, puteți continua fără griji.
Recomandare: Pentru a nu-l atinge din greșeală, după ce opriți laptopul de lucru, scoateți programatorul de memorie de la portul USB și deconectați cleștele. În acestă ordine!
Modificarea firmware-ului Intel Management Engine
Pentru modificarea firmware-ului Intel Management Engine veți avea nevoie de me_cleaner, acesta se află în pachetul coreboot:
git clone --depth=1 https://review.coreboot.org/coreboot cd coreboot/util/ifdtool make
Pentru a vă asigura că fișierul BIN este valid pentru modificare, deschideți un Terminal în folderul ifdtool, copiați în acesta fișierul rom_me.bin și executați comanda:
Dacă în loc de un pomelnic asemănător celui din captura de ecran de mai sus primiți un mesaj de eroare, cel mai probabil ați descărcat firmware-ului altui cip. De regulă, în astfel de cazuri vi se va răspunde cu „unknown image„.
O altă modalitate de verificare a firmware-ului:
Important: Dacă ați deconectat programatorul de memorie, opriți laptopul de lucru, fixați cleștele pe cip și conectați programatorul de memorie la USB. În această ordine!
Când sunteți siguri că totul este în regulă, puteți realiza procedura de neutralizare a Intel Management Engine executând comanda:
Câteva secunde mai târziu, me_cleaner va termina de modificat firmware-ul Intel Management Engine și va genera fișierul rom_me_disabled.bin de care veți avea nevoie pentru a realiza dezactivarea propriu-zisă:
Încărcați firmware-ul rom_me_disabled.bin în cip:
Opriți laptopul și deconectați programatorul de memorie. Montați placa de bază și porniți PC-ul. Dacă acesta pornește și funcționează corect, operația de neutralizare a Intel Management Engine a reușit.
Dacă sunt probleme, încărcați în cip fișierul rom_me2.bin cu ajutorul comenzii:
sudo flashrom -p ch341a_spi -w rom_me2.bin
Realizați conectarea programatorului de memorie respectând indicațiile anterioare.
Verificarea Intel Management Engine în BIOS
În cazul Thinkpad-urilor cu meniul avansat activat în prealabil, dacă înainte de neutralizarea Intel Management Engine vedeam asta în secțiunea ME Configuration:
După neutralizare au dispărut atât firmware-ul cât și versiunea acestuia:
În Windows, dacă accesați administratorul de dispozitive, veți vedea că Intel Management Engine a dispărut din lista dispozitivelor de sistem. În GNU/Linux puteți utiliza intelmetool:
În concluzie, deși nu poate fi eliminat complet din sistem (Intel a avut grijă să-l implementeze astfel încât funcționarea PC-ului sa fie condiționată de acesta), prin metoda prezentată putem neutraliza Intel Management Engine eliminând din firmware toate componentele ce-l fac vulnerabil și suspect de activități neautorizate.
Resurse utile:
- me_cleaner
- Dezactivare Intel ME 11
- Eliminare wireless whitelist și activare meniu avansat în Thinkpad T440p
- CH341A-ul pe care l-am folosit.
Notă: Deși mereu o fac, de această dată n-am publicat comenzile de teama celor care le iau cu copy/paste fără să înțeleagă ce fac, în acest mod îi descurajez.
Foarte bun articolul. O scurta intrebare, doresc sa-mi cumpar (in viitor ) un laptop cu procesor AMD. Sper ca nu au si ei (AMD-ul adica) vreo dracovenie gen Intel ME ?
Nu de alta, dar acum 7 ani mi-am cumparat laptopul SONY cu un i3 si de atunci nu am mai cumparat nimic portabil ( exceptand Samsung telefon mobil si tableta) si ma gandesc sa cumpar cu AMD. Vreau unul cu 6 sau 8 core-uri. Oricum nu-i graba mare, pt ca intrun an, utilizez laptopul doar de doua ori, atat. Adica, nu-l prea folosesc.
Dar, doresc poate, noul laptop sa-l folosesc cuplat la monitor sau TV si in felul asta sa mai scad ceva bani la factura de curent. Desktop-urile, consuma mai mult, si nu le mai vad rostul, daca laptop-urile au putere de procesare asa mare. Pare convenabil , cred. In rest nu-mi vine vreo idee acum, la ce as putea folosi laptopul.
Da, au, se numește AMD Platform Security Processor.