System 76: Linux-Hardware-Hersteller deaktiviert Intel ME

Seit Jahren baut und verkauft der Hersteller System 76 Rechner unterschiedlicher Produktkategorien mit vorinstalliertem Linux. Für die Geräte werden Intel-CPUs genutzt, so dass sich der Hersteller nun auch mit dem Problem konfrontiert sieht, die aktuellen Sicherheitslücken in der Intel Management Engine (ME) zu beheben. Doch statt einfach die Updates von Intel einzuspielen, will System 76 die ME gleich vollständig deaktivieren.

System 76 ist nicht der erste Hersteller, der ME in seinen Geräten deaktiviert. Der auf die Produktion von Geräten mit komplett freier Software und Firmware fokussierte Hersteller Purism setzt dies ebenfalls um. Selbst Google arbeitet mit einigen anderen Interessierten daran, die Firmware-Bestandteile von Intels ME soweit es geht auf seinem eigenen Server zu deaktivieren, beziehungsweise darauf zu verzichten.

Dass die proprietäre Intel ME überhaupt einfach bei Updates deaktiviert werden kann, ist auf Forschungsarbeiten von den Entwicklern des Unternehmens Positive Technologies zurückzuführen, die die Management Engine per Reverse Engineering untersuchen. Diese fanden nicht nur heraus, dass sie auf Minix basiert und diverse, teils gravierende Sicherheitslücken hat, sondern eben auch ein sogenanntes Kill-Bit. So gibt es eine nicht dokumentierte Einstellung, die bei einem Bit-Flip zur dauerhaften Deaktivierung der ME führt.

Die so angepasste Variante der ME wird bereits von Purism verwendet und nun will dies auch System 76 umsetzen. Das Update zum Deaktivieren will der Hersteller schrittweise über sein eigenes Update-Tool verteilen, was derzeit nur für Ubuntu sowie das hauseigene Ubuntu-Derivat Pop OS verfügbar ist. Der Hersteller will darüber hinaus aber auch an Methoden arbeiten, das Firmware-Update leicht in anderen Distributionen einspielen zu können.