Der US-amerikanische Hersteller System76, der auf Linux-Notebooks und PCs spezialisiert ist, gab bekannt, Intels umstrittene proprietäre Management Engine (ME) in den von ihnen vertriebenen Geräten abschalten zu wollen. Dazu will der Hersteller demnächst automatisiert eine Firmware anbieten, die die ME abschaltet. Möglich wurde das, nachdem Forscher von Positive Technologies eine undokumentierte High Assurance Platform (HAP)-Einstellung in der Intel ME-Firmware entdeckt hatten. HAP wurde von der NSA für Secure Computing entwickelt. Das Setzen des Bits „reserve_hap“ auf 1 deaktiviert laut System 76 die ME. Damit ist System 76 der zweite Hersteller von Linux-Notebooks, die ihre Notebooks mit abgeschalteter ME ausliefern. Bereits im Oktober hatte der Linux-Notebook-Hersteller Purism, der auch das freie Smartphone Librem 5 entwickelt, die Abschaltung der ME für seine Notebooks angekündigt.

System76 ohne ME

Im Juli dieses Jahres begann bei System 76 ein Projekt zur automatischen Bereitstellung von Firmware für ihre Laptops, ähnlich der Art und Weise, wie Software derzeit über das Betriebssystem ausgeliefert wird. Das Werkzeug zur Auslieferung der Firmware ist Open Source und wird auf GitHub entwickelt. Nach Intels Ankündigung der Sicherheitslücken in der ME vom 20. November fiel die Entscheidung, automatisch aktualisierte Firmware mit deaktivierter ME auf betroffene Laptops mit Intels letzten drei Chip-Generationen 6, 7 und 8 anzubieten. Die ME bietet keine Funktionalität für System76 Laptop-Kunden und ist sicher zu deaktivieren.

Künftig möglichst auch für andere Notebooks

Der Rollout erfolgt im Laufe der Zeit und die Kunden werden vor der Auslieferung per E-Mail benachrichtigt. Sie müssen Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop!_OS 17.10 oder ein Ubuntu-Derivat sowie den System76-Treiber installiert haben, um die neueste Firmware mit deaktivierter ME zu erhalten. System76 will zudem untersuchen, wie man ein distro-agnostisches Kommandozeilen-Firmware-Installations-Tool erstellen kann, damit auch andere Notebooks davon profitieren können. Auch für PCs von System 76 wird zeitnah eine entsprechende Firmware bereitgestellt.

System 76 ohne ME

Minnich im Vortrag: Habt ihr schon Angst? Wir schon!

 

Googles Coreboot-Entwickler Ronald Minnich und sein Team gehen mit ihren Nachforschungen darüber weit hinaus. Er möchte Intel ME und UEFI für Googles Server ersetzen. Dazu wurde das Projekt NERF aufgelegt, was für Non-Extensible Reduced Firmware steht. Darunter stellt sich Minnich eine ME-ROM auf der Basis von Open Source sowie eine UEFI-Implementation vor, die reduziert auf die unbedingt notwendigen Teile beschränkt wird. Da dies laut Minnich ein weiter Weg ist, sollen zunächst die Reichweite und die Möglichkeiten von Intels ME und UEFI eingeschränkt werden.

 

 

Beitrag kommentieren