Procesory Intel Sandy Bridge je možno vzdáleně vyřadit, dokonce i vypnuté

Dal jsem si tu práci a přečetl jsem si odkazovaný článek (který opět jenom odkazoval na nějaký mluvený projev jakéhosi hlavouna z intelu) a taky komentáře pod odkazovaným článkem. V komentářích byl odkaz na Intelí WWW stránku o "anti-theft technology", která byla sice sama o sobě technicky vatová, ale obsahovala tenhle obrázek:
http://www.intel.com/Assets/Image/thumbnails/techrefresh-info-antitheftfull.gif

Co z obrázku plyne:

• Notebook se dá zamknout těmito způsoby:
  
  1. watchdogem
  2. (nejspíš) chassis intrusion switchem (jak jinak si vysvětlit "tampering")
  3. nastaveným počtem nesprávných loginů (ve Windows? Nebo v BIOSu?)
  4. serviskou pod Windows, která potají "volá domů" kdykoli má internetovou konektivitu (přes LAN, WiFi, nebo třeba 3G) - údajně i pomocí SMS, ale to mi přijde lehce přitažené za vlasy, protože poměrně hardwarově specifické pro použitý 3rd-party GSM mobil/modem (a to pořád mluvím o implementaci serviskou ve Windows).
• "Nastražit pastičku" lze pomocí nějakých administrativních kryptonástrojů, dělá to IT admin ve firmě pro své uživatele.
• Stejný admin je pak také schopen "zamčený" notebook znovu odemknout, ať už se zamknul v důsledku krádeže, nebo neobratnou manipulací ze strany právoplatného uživatele.

Ohledně zmínky že to "funguje i bez napájení": no jasně. Informaci o tom, že je notebook zamčený, lze uložit do CMOS NVRAM zálohované knoflíkovým článkem, nebo ještě líp do flashky - buď do hlavní BIOSové, nebo do přídavné 24C01 a spol. Takže vyndat hlavní akumulátor z notebooku je úplně k ničemu - až ho znovu zapnete, bude notebook pořád zamčený. Kdo se někdy pokoušel dostat přes banální administrátorské heslo v BIOSu třeba u noťasů Acer (neřku-li IBM), tak má určitě představu.

V obrázku se sice nikde nepíše Anti-Theft "3.0" (není udána verze), ale opravdu bych se dost divil, kdyby zrovna verze 3 znamenala "možnost odpálit procesor na dálku přes 3G síť i ve vypnutém stavu".

Že Intelí "Anti-Theft" technologie nějak souvisí s AMT, to mě nijak nepřekvapuje - i když popravdě řečeno by na tyto funkce stačil na dnešním základním hardwaru trochu upravený BIOS zejména ve spolupráci se serviskou pod Windows.
IPMI/AMT je obecně "počítač v počítači", který umí leccos zařídit i nezávisle na hlavním procesoru / čipsetu / operačním systému. Tenhle přídavný procesor (zvaný BMC) ale bývá poměrně slaboučký mikrořadič s miniaturní RAMkou a flashkou a přitroublým OS, možná v nejnovějších generacích už obsahuje dokonce plnohodnotný IP stack (dřív uměl víceméně parazitovat na síťovce a jel komplet přes UDP). Firmware BMC je vždycky nějaký základ od výrobce "BMC platformy", dosochaný výrobcem motherboardu. Od výrobce motherboardu pochází také klientská utilita pro "dálkové ovládání". Prakticky většinou oboje oplývá bugy různého druhu, a některé principielní nedostatky má samo IPMI, zejména v ranějších verzích. Open-source utility prakticky fungují pouze pro vybrané konkrétní značky hardwaru.
Tuším i bez přítomnosti BMC ("IPMI procesoru") jsou v moderních intelských platformách občas vidět výčnělky IPMI/AMT potrubí, například jako nefunkční menu v BIOSu, zapomenutá option ROMka, nebo otravný žlutý otazník v device manageru, pro který těžko hledáte ovladač, a když ho najdete, tak sice zalepíte tlamu otazníku, ale praktický užitek z toho žádný.
Základními funkcemi IPMI se zamontovaným BMC je zapnutí/vypnutí/reset na dálku, dále pak čtení HW monitoring senzorů, případně vzdálená sériová konzola (prasoprotokolem SoL nad UDP), v nejlepším případě i plnohodnotný "IP KVM" přenos v grafickém VGA režimu (ale ten umí spíš KVM karty, které mají IPMI jako vedlejší efekt).
Teoreticky to má být nezávislé na hostitelském OS, prakticky jsem před pár lety potkal případ, kdy v Linuxu po natažení ovladače e1000 a po aktivaci eth rozhraní přestal fungovat "parazitní komunikační kanál" BMC z dané síťovky.

Ovládat cosi v počítači na dálku, dokonce ve "vypnutém" stavu, na to vlastně ani nepotřebujete IPMI BMC. Zapnout na dálku počítač, na to stačí Wake On Lan, nebo telefonní modem na sériovém portu. Funkce WoL a IPMI/AMT BMC jsou napájeny "stand-by větví" napájení - u síťových ATX zdrojů "jede furt", nevím jak u notebooků (trvalý odběr řádově 0.5 - 3A na +5V by asi baterku rychle vymlátil).

Teoreticky bychom mohli spekulovat, že by se i ve "vypnutém stavu" dalo komunikovat s BMC přes nějaký GSM/GPRS/3G modem - ovšem muselo by oboje trvale běžet na "stand-by power" (z baterky? Chachachá a kromě toho je tu principielní problém, že způsobů jak připojit GSM/GPRS/3G modem k počítači je několik (232/USB/ETH), navíc by se tohle muselo multiplexovat mezi BMC a hostitelským systémem, a ovládání modemů má i v rámci relativního standardu drobné odchylky, které tuhle fičuru činí přinejmenším vázanou na konkrétní modely GSM modemů. Všimněte si, že Intel žádné GSM modemy nevyrábí. Podobně vyznívají případné úvahy o "WakeOnWifi" nebo něčem na ten způsob (ačkoli tady Intel má i svoje WiFi rádio).

Podle mého rozhodně nejde o to "zabít na dálku samotný procesor bez spolupráce dalších součástek okolo". Že by bylo GSM/GPRS/3G rádio zapečené na procesoru? To je halucinace, zapomeňte. Proč:
Vytvořit anténu na čipu? To snad ano. Ale bude skryta pod chladičem někde uvnitř plechové kastle počítače. Takhle v plastovém notebooku si vyrobit anténu na plošáku motherboardu - no snad by to šlo. Vytvořit rádiový front-end na čipu pohromadě s moderním procesorem? Nikdo to nikdy nerealizoval - skoro se mi chce hodně nahlas smát, akorát u Intelu jeden nikdy neví... Nejrozsáhlejší kus analogových obvodů na velkém čipu poblíž procesoru jsou integrované VGA RAMDAC v intelských GMCH. Intel nemá v oblasti GSM a spol. vůbec žádné know-how. Ale to není všecko. Provozovat na čipu hostitelského CPU vedle GSM radio front-endu ještě taky "GSM protocol stack"? Tady ta halucinace teprve vykvetla. A dokonce bez napájení? Zapomeňte úplně. I pokud by to jelo na stand-by power, pořád by musel čip procesoru obsahovat navíc jedno či několik MCU/DSP jader, která se normálně nacházejí v GSM modemech a telefonech. Spousta složitých obvodů a docela velká spotřeba (i když třeba mobil v pasivním stavu vydrží na malou baterku klidně přes 10 dní).

Suma sumárum mám trochu strach, že to bude zase jedna technologie, která sice není nijak zvlášť užitečná, zato skýtá potenciál k fatálním omylům.
Představte si, že některou z těch pastiček "sklapnete" omylem. Vzpomeňte si třeba, jak svého času konkrétní verze ovladače e1000e gumovala konfigurační EEPROMky na síťovkách (takže síťovky přestávaly fungovat, bylo třeba je flashnout utilitou od výrobce) - téhle varianty se bojím nejvíc, totiž že tu věc půjde odpálit úplně bezděčně nějakým irelevantním kusem softwaru.
Za druhé: určitě už jste taky potkali amatérské/domácí uživatele notebooků, kteří si zaheslovali vstup do BIOSu v dobré víře, že dělají něco pro bezpečnost svých dat, pak heslo zapomněli, a Vy jako údržbář hardwaru jste se pak do BIOSu nedokázali dostat, třeba kvůli změně boot device při zálohování OS apod.
Osobně jsem potkal uživalele (admina serveru), který si v BIOSu zapnul resetovací watchdog, nastavil ho na 1 minutu, a pak reklamoval server, že mu "v průběhu bootování Linuxu náhodně padá".

Neměly svůj vlastní "Anti-Theft" lepší značkové notebooky už dávno? To je fuk, prostě teď to budou mít šmahem všecky notebooky na bázi Intel Sandy Bridge... A těch bugů, co člověk vidí v BIOSech různých PC i u relativně triviálních funkcí... jaj, to bude zmatek.