
<div dir="ltr"><span style="font-size:12.8px"> IME (I is typo) = ME .</span><br><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Zoran</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 15, 2017 at 5:14 PM, Gregg Levine <span dir="ltr"><<a href="mailto:gregg.drwho8@gmail.com" target="_blank">gregg.drwho8@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>

(I'm working from the office today on a library computer...)<br>

My regular laptop might be wearing one of those dratted things. But<br>

before we start confusing people further, perhaps one of the group<br>

needs to reiterate exactly what that contraption is, and why it was<br>

necessary. Oh and what the cleaner is supposed to do, and why machines<br>

who were cleaned of it, may not work correctly, or even may.<br>

<br>

I've got an interesting idea that I do know what it does, and why, but<br>

there must be a few people there who're confused about what the IME is<br>

and isn't.<br>

-----<br>

Gregg C Levine <a href="mailto:gregg.drwho8@gmail.com">gregg.drwho8@gmail.com</a><br>

"This signature fought the Time Wars, time and again."<br>

<div class="HOEnZb"><div class="h5"><br>

<br>

On Fri, Dec 15, 2017 at 10:00 AM, Philipp Stanner <<a href="mailto:stanner@posteo.de">stanner@posteo.de</a>> wrote:<br>

> Thanks.<br>

><br>

> They didn't seriously include a Java Runtime Environment into the IME??<br>

> I can't believe what's going on with this company.<br>

><br>

> Am Freitag, den 08.12.2017, 16:16 +0100 schrieb Thomas Heijligen:<br>

>> For those who are interested in the Intel ME, the slides and white<br>

>> papers<br>

>> from the Black Hat Europe are public.<br>

>><br>

>> <a href="https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-H" rel="noreferrer" target="_blank">https://www.blackhat.com/docs/<wbr>eu-17/materials/eu-17-<wbr>Goryachy-How-To-H</a><br>

>> ack-A-Turned-Off-Computer-Or-<wbr>Running-Unsigned-Code-In-<wbr>Intel-<br>

>> Management-Engine.pdf<br>

>> <a href="https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-H" rel="noreferrer" target="_blank">https://www.blackhat.com/docs/<wbr>eu-17/materials/eu-17-<wbr>Goryachy-How-To-H</a><br>

>> ack-A-Turned-Off-Computer-Or-<wbr>Running-Unsigned-Code-In-<wbr>Intel-<br>

>> Management-Engine-wp.pdf<br>

>> <a href="https://www.blackhat.com/docs/eu-17/materials/eu-17-Sklyarov-Intel-ME" rel="noreferrer" target="_blank">https://www.blackhat.com/docs/<wbr>eu-17/materials/eu-17-<wbr>Sklyarov-Intel-ME</a><br>

>> -Flash-File-System-Explained.<wbr>pdf<br>

>> <a href="https://www.blackhat.com/docs/eu-17/materials/eu-17-Sklyarov-Intel-ME" rel="noreferrer" target="_blank">https://www.blackhat.com/docs/<wbr>eu-17/materials/eu-17-<wbr>Sklyarov-Intel-ME</a><br>

>> -Flash-File-System-Explained-<wbr>wp.pdf<br>

>><br>

>> In the conclusion they say "[...]. Such a vulnerability has  the<br>

>> potential  to<br>

>> jeopardize a number  of  technologies,  including [...] Intel Boot<br>

>> Guard<br>

>> [...].<br>

>><br>

>> Maybe it's possible to deactivate Boot Guard permanently or inject<br>

>> custom<br>

>> keys to run own firmware.<br>

>><br>

>><br>

>> On 08.12.2017 15:40, Alberto Bursi wrote:<br>

>> > On 12/08/2017 02:59 PM, Timothy Pearson wrote:<br>

>> > ><br>

>> > > That's just the HAP bit.  The ME is limited but NOT disabled, and<br>

>> > > the<br>

>> > > remaining stubs are still hackable [1].<br>

>> > ><br>

>> > > Neither the ME or the PSP can ever be removed from their<br>

>> > > respective<br>

>> > > systems.  They can both be limited to some extent, but to call<br>

>> > > either<br>

>> > > of<br>

>> > > them "disabled" is rather far from the truth.<br>

>> > ><br>

>> > ><br>

>> ><br>

>> > Hacking them requires being able to write in the SPI flash, or to<br>

>> > have<br>

>> > buggy UEFI firmware. Which means most systems are still vulnerable.<br>

>> ><br>

>> > But it is also true that if someone can hack UEFI he pwns you<br>

>> > anyway,<br>

>> > even without ME.<br>

>> ><br>

>> > So imho ME with the HAP bit can be called "disabled", although the<br>

>> > fight<br>

>> > isn't over as ME isn't the only thing that was a threat anyway.<br>

>> ><br>

>> > There is still need to secure the UEFI firmware (which is needed<br>

>> > even<br>

>> > if<br>

>> > ME didn't exist), and doing a hardware mod to have a hardware<br>

>> > switch to<br>

>> > turn the SPI chip read-only at the hardware level (also needed<br>

>> > regardless of ME).<br>

>> ><br>

>> > I think many SPI chips only need some pin pulled high/low to go in<br>

>> > read-only mode, and I frankly trust a dumb switch many orders of<br>

>> > magnitude more than Boot Guard or anything software-based.<br>

>> ><br>

>> > -Alberto<br>

>><br>

>><br>

><br>

> --<br>

> coreboot mailing list: <a href="mailto:coreboot@coreboot.org">coreboot@coreboot.org</a><br>

> <a href="https://mail.coreboot.org/mailman/listinfo/coreboot" rel="noreferrer" target="_blank">https://mail.coreboot.org/<wbr>mailman/listinfo/coreboot</a><br>

<br>

--<br>

coreboot mailing list: <a href="mailto:coreboot@coreboot.org">coreboot@coreboot.org</a><br>

<a href="https://mail.coreboot.org/mailman/listinfo/coreboot" rel="noreferrer" target="_blank">https://mail.coreboot.org/<wbr>mailman/listinfo/coreboot</a><br>

</div></div></blockquote></div><br></div>