Velký skok v boji proti Intel Management Engine. Dell nabízí počítače s ME vypnutým

5
Dell XPS 13 (2017)

Minulý měsíc se nám zase naléhavě připomněla kontroverze okolo privilegovaného – a mimo dosah běžného uživatele běžícího – subsystému Intel Management Engine, který slouží jako řídicí jednotka všech aktuálních počítačů založených na procesorech Intel a umožňuje i věci jako vzdálenou správu. Intel ale měl v tomto kódu řadu zranitelností a velké množství počítačů bude potřebovat aktualizace firmwaru, aby jim nehrozily poměrně závažná napadení malwarem. V návaznosti na tuto šlamastiku zdá se hodně zesílil hlas odpůrců Intel ME a vypadá to, že snahy se ho zbavit se dostávají ze spíše obskurního statusu do mainstreamu.

V poslední době ohlásili dva drobní výrobci počítačů, orientující se na uživatele Linuxu a open source, že ME odstraní z notebooků, které prodávají. Jde o firmy System76 a Purism, které jsou ovšem jen malými okrajovými hráči. Ovšem nyní přichází o poznání větší bomba. Hlasy stěžující si na rizika ME totiž vyslyšel (nebo se alespoň rozhodl zpeněžit) Dell, tedy jeden z pěti největších výrobců počítačů.

Dell nyní v konfigurátoru na svém webu nabízí u několika PC podporujících technologie vPro jako volitelnou možnost odstranění ME. Na žádost je možné tento subsystém „znefunkčnit“ (Dell tomu říká „ME Inoperable“). Tuto možnost lze zatím zvolit u řady notebooků Latitude pro korporátní sféru – modelu Latitude 15 E5570, dále odolného notebooku Latitude 14 Rugged a tabletu Latitude 12 Rugged také v odolné úpravě. Je ovšem možné, že Dell možnost přidá i u některých dalších modelů, když po tom bude poptávka.

Možnos vypnout na přání ME nabízená u notebooku Dell Latitude 15 E5570
Možnost vypnout na přání ME nabízená u notebooku Dell Latitude 15 E5570

Motivace je zde totiž asi jako obvykle finanční. Tato služba stojí 17 až 30 dolarů navíc. Cena je zdá se stejná jako částka, kterou zaplatíte za aktivování vPro proti výchozí konfiguraci počítače. Dell tuto možnost bere jako jednu z variant konfigurace tohoto systému pro vzdálenou správu, což také znamená, že ji nenabízí u běžnějších spotřebitelských strojů jako je Inspiron a XPS, u nichž vPro není aktivní nikdy.

Dell Latitude 15 E5570
Dell Latitude 15 E5570

V jakém rozsahu Dell Management Engine „zlikvidoval“, to těžko říct. Tato součást se nedá odstranit úplně, neboť je zároveň řídícím systémem procesoru a celé platformy, PC bez ní nefunguje. Odstraňování ME tedy znamená spíše odstraňování některých jeho součástí, které nejsou k chodu kriticky nutné. Co přesně Dell provedl, bohužel nevíme. Vzhledem k tomu, že je tato možnost nabízená na počítačích s technologiemi vPro, které podporují vzdálenou správu AMT a podobné funkce, stojící na ME, by teoreticky Dell mohl toliko vypnout tyto funkce, aniž by šel dále.

Takováto úprava by pak ale de facto měla za výsledek, že dostanete počítač ve stejném stavu, jako jsou spotřebitelská PC a notebooky bez funkcí vPro. Sice už u nich nebude hrozit napadení prostřednictvím rozhraní pro vzdálenou správu, ale paranoidnější uživatelé by tímto asi uspokojeni nebyli. I běžný systém ME ve spotřebitelských počítačích ponechává asi nějakou možnost napadení, například skrze bezpečnostní díry, jako jsou ony nedávno odhalené. Doufejme proto, že Dell jde ve skutečnosti dál a používá hlubší okleštění funkcí ME, jako byl například speciální režim High Assurance Platform, který odstavuje většinu jeho modulů pro potřeby PC s náročnými požadavky na bezpečnost. Odstavení ME touto cestou už by asi bylo pro dotyčné náročné uživatele podstatně vítanější.

Aktualizace (7. 12. 2017):

Zdá se, že tato nabídka je poněkud speciálního rázu. Podle vyjádření, které dal Dell například webu PC Perspective, neměla být určena široké veřejnosti. Tuto možnost firma na základě zájmu nabízí jako zvláštní službu pro některé zákazníky, měla ale být dostupná na zvláštní vyžádání a to, že se dostala do běžného online konfigurátoru nebylo záměrné. Není tedy jisté, zda možnost takto objednat systémy Latitude vydrží i pro nás běžné masy, i když pro větší klienty bude dostupná nadále, Dell je vyzývá, aby ho v případě zájmu kontaktovali.

Důvodem, proč jde o speciální možnost, mají být s ní spojené komplikace. Deaktivace ME údajně má další vedlejší účinky. To by mohlo znamenat, že jde skutečně o hlubší řez do tohoto systému, možná pomocí onoho režimu HAP, nikoliv jen o deaktivaci služeb vPro, pro které stačí koupit si nekorporátní spotřebitelský hardware.

„Dell has offered a configuration option to disable the Intel vPro Management Engine (ME) on select commercial client platforms for a number of years (termed Intel vPro – ME inoperable, custom order on Dell.com). Some of our commercial customers have requested such an option from us, and in response, we have provided the service of disabling the Management Engine in the factory to meet their specific needs. As this SKU can also disable other system functionality it was not previously made available to the general public. Recently, this option was inadvertently offered online as a configuration option for a couple of systems on Dell.com. Customers interested in purchasing this SKU should contact their sales representative as it is intended to be offered as a custom option for a select number of customers who specifically require this configuration.“

5 KOMENTÁŘE

  1. Super, takze nevim co vypli, ale vim, ze to bude stat 30 dolacu. 😀

    Jako pokud by odstranili cele Intel MEle, tak to za tech 30 dolacu stoji, ale jak pises, to s pravdepodobnosti hranicici s jistotou nejde, takze co za tech 30 dolacu vlastne je?

  2. Z toho popisu to opravdu vypada, jak jsem se od pocatku domnival, ze pro aktivaci / deaktivaci funkci spravy v ME tam predevsim musi byt platforma vPro. Pokud ji nekdo nema, je pro nej existence ME irelevantni, protoze rozhrani pro spravu chybi. Tohle se musi jasne potvrdit.