In een vorig artikel las je over Intel ATM en de bijbehorende Management Engine, die er beide voor zorgen dat Intel je pc in een houdgreep vast heeft. Is de Intel Management Engine uitschakelen een optie, of is het niet zo eenvoudig?

Lees eerst: Intel AMT: Waarom je nooit helemaal de baas bent over je pc

Wat zijn nu je mogelijkheden als je beslist dat je de controle over je pc niet aan een obscure processor wilt geven? Terwijl je in de eerste versies de Management Engine nog kon uitschakelen door enkele waardes in het SPI-flashgeheugen in te stellen en daarna de firmware uit het flashgeheugen te verwijderen, is dat sinds de Core i3/i5/i7-processoren uit 2009 niet meer mogelijk.

De Management Engine zorgt voor een deel van de hardware-initialisatie. Als het opstartprogramma van de Management Engine geen firmwaremanifest met geldige ondertekening door Intel vindt, schakelt de pc zichzelf na 30 minuten uit.

Het is onmogelijk om de Management Engine te vervangen, bijvoorbeeld door een vrijer alternatief waarvan je de broncode kunt inkijken. Alleen Intel is in staat om de firmware te vervangen, omdat het opstartprogramma alleen firmware accepteert die door Intel ondertekend is.

Neutralize this

Ben je dan gedoemd om een pc met de Management Engine te gebruiken? In veel gevallen helaas wel. Op moderne Intel-machines is het zelden mogelijk om de Management Engine te verwijderen. Een andere aanpak is om de Management Engine te ‘neutraliseren’. Zie hiervoor http://tiny.cc/neutr.

Je laat dan een minimaal deel van de Management Engine intact, zodat je pc na 30 minuten nog blijft werken, maar verwijdert alle dubieuze functies uit de firmware.

Dat neutraliseren is mogelijk door de modulaire opbouw van de Management Engine: elke module is in een afzonderlijk deel van het SPI-flashgeheugen opgeslagen en wordt afzonderlijk geverifieerd door de opstartcode. Je kunt dus voorkomen dat individuele modules worden geladen.

Vorig jaar is er heel wat vooruitgang gemaakt op dit gebied. Trammell Hudson ontdekte toen dat zijn Lenovo ThinkPad X230 functioneel bleef als hij alle modules van de Management Engine verwijderde en alleen de partitie met de ThreadX-kernel overhield. Nicola Corna en Federico Amedeo Izzo bouwden daarop verder en ontwikkelden het script me_cleaner dat dit op elke Sandy Bridge-pc automatiseerde.

Hiermee verwijder je dus de dubieuze modules zoals de netwerkstack, de DRM-module en veel meer. Het overblijvende deel van de firmware neemt dan nog maar 80 kbyte in. Je hebt wel een externe flash programmer nodig, omdat het geheugen niet door de processor van je pc te benaderen is.

Pc zonder Management Engine

De Management Engine volledig verwijderen lijkt dus niet mogelijk te zijn, maar neutraliseren zodat ze relatief onschuldig wordt, kan wel. Alleen vereist het wat handigheid en loop je het risico dat je je pc ‘brickt’. Gelukkig zijn er enkele producenten die computers aanbieden waarvan de Management Engine is geneutraliseerd.

Zo verkoopt het Britse bedrijf Minifree vanaf het einde van dit jaar de Libreboot X220, een vrijgemaakte versie van de Lenovo Thinkpad X220. De ontwikkeling is nog bezig, maar als je nu een pre-order doet, betaal je mee aan de ontwikkeling daarvan.

De Libreboot X220 vervangt het propriëtaire BIOS door de opensourcefirmware Libreboot. De oprichter van Minifree is ook de oprichter en hoofdontwikkelaar van Libreboot, en de winst van je aankopen bij Minifree gaat integraal naar het Libreboot-project. Minifree levert zijn Libreboot X220 met Debian Jessie en de desktopomgeving MATE, maar je kunt er elke Linux-distributie op draaien.

Volgens de productbeschrijving is Minifree aan het proberen om de Management Engine volledig uit te schakelen zonder hardwaremodificaties. Als dat niet lukt, krijgen kopers een Libreboot X220 met geneutraliseerde Management Engine.

Ook het Amerikaanse bedrijf Purism heeft een aantal laptops voor wie graag meer controle over zijn pc wil. De Librem 11 is een 2-in-1 laptop en tablet met verwijderbaar toetsenbord, aanraakscherm en stylus. De Librem 13 is een ultraportable en de Librem 15 is een laptop met 15,6 inch scherm.

Ook Purism biedt zijn laptops net zoals Minifree momenteel aan met geneutraliseerde Management Engine. Bovendien kiest het voor Intel-processoren zonder vPro (en dus zonder Active Management Technology), de consumentenversie van de Management Engine en geen netwerkchips van Intel. Door deze keuzes vermijdt Purism de grootste risico’s.

En ook Purism streeft er nog altijd naar om uiteindelijk het kleine overblijvende stukje van de Management Engine te verwijderen. De ontwikkelaars zijn dit deel aan het reverse-engineeren en dringen er ook bij Intel op aan om een ontwerp zonder Management Engine mogelijk te maken.

Wat kun je nog meer doen?

Purism doet nog meer in zijn computers om te voorkomen dat je eigen pc je bespioneert. Zo hebben de Librem-computers hardwarematige kill-switches. De laptops bevatten schakelaars die de verbinding tussen het moederbord en de camera, microfoon, wifi en bluetooth fysiek verbreken.

Als je een van deze onderdelen van je laptop niet nodig hebt, kun je ze dus eenvoudig uitschakelen met de garantie dat een of andere malware je niet stiekem bespioneert. In alle andere laptops die op de markt zijn, zijn deze schakelaars ofwel in software geïmplementeerd, ofwel via een controller, die te programmeren en dus uit te buiten is.

Purism heeft ook bij de keuze van zijn chips voor de camera, audio, graphics, usb, wifi enzovoort belang gehecht aan openheid en vrijheid. Samen met de hardwareproducenten en de vrije-software-community heeft het voor hardware gekozen die je privacy respecteert en veiligheid hoog in het vaandel heeft. Ook zet Purism op zijn laptops PureOS, een van Debian afgeleide Linux-distributie die de nadruk legt op privacy, beveiliging en vrijheid.

Trusted Platform Module

De Intel Management Engine is zoals gezegd niet de enige component die heimelijk controle over je pc heeft. Een ander oud zeer bij kritische computergebruikers is de Trusted Platform Module (TPM). Dat is een cryptoprocessor die encryptiesleutels bevat en gegevens kan versleutelen. Onder andere Microsofts BitLocker Drive Encryption zet de TPM in om de sleutels te beschermen waarmee het de schijf versleutelt.

Elke TPM-chip bevat een zogenoemde endorsement key, een 2048-bits RSA-sleutelpaar. Die is fundamenteel voor de veiligheid van de chip. Het sleutelpaar wordt door de fabrikant bij de productie van de chip willekeurig gegenereerd en in de chip gestoken, en de privésleutel van het paar verlaat op geen enkel moment de chip. Met de bijbehorende publieke sleutel kan de computer gevoelige gegevens naar de chip versturen met de garantie dat die alleen voor de chip leesbaar zijn, of door de chip ondertekende gegevens verifiëren en zo zeker weten dat die gegevens uit de TPM-chip komen.

Of niet? Bij de productie van de chip moet de fabrikant die geheime sleutel weten om ze in de chip te kunnen bakken. Wat houdt de fabrikant tegen om alle endorsement keys van zijn TPM-chips bij te houden? Of aan een overheidsinstelling door te spelen? Weet jij wie de TPM-chip in je pc produceert en uit welk land de producent komt?

Maar het gaat nog veel verder. Bijna alle hardware heeft voor zijn werking firmware nodig, waarvan de broncode niet beschikbaar is. We spraken al over het BIOS/UEFI, dat in de praktijk moeilijk te vervangen is. Projecten die alternatieve firmware ontwikkelen zijn onder andere coreboot en Libreboot, maar door de beperkingen die de Intel Management Engine oplegt zijn ze amper ondersteund op moderne pc’s.

Ook de gpu (graphical processing unit) heeft eigen firmware, net zoals harde schijven en ssd’s, de ethernetcontroller, de geluidskaart, webcam enzovoort. Voor bijna geen van deze apparaten is er opensource firmware beschikbaar, zodat je niet weet wat er allemaal achter je rug gebeurt.

En wie zegt dat Intel in de circuits van zijn processoren geen backdoor heeft ingebouwd, die onmogelijk te verwijderen is omdat het om hardware gaat? We hebben geen toegang tot de blauwdrukken van Intels chips. Uiteindelijk moet je dus toch op de hardware vertrouwen...

Met de Omni E25 wil het Chinese merk Eufy een krachtige midrange robotstofzuiger op de markt brengen, die de concurrentie aangaat met de Roomba's en Dreames van deze wereld. De adviesprijs bedraag 899 euro. Hoe vergaat het de Eufy Omni E25 in de praktijk?

Naast de Eufy Omni E25 heeft de fabrikant ook een duurdere variant op de markt gebracht, namelijk de E28. Nog geen jaar eerder lanceerde het merk de S1 Pro, een model dat vooral inzet op dweilprestaties. De drie robotstofzuigers delen bepaalde eigenschappen, maar verschillen op andere punten juist flink. Het is dus de moeite waard om die verschillen en overeenkomsten naast elkaar te zetten. Zeker als je overweegt een van deze autonome, dweilende modellen in huis te halen. Een interessante concurrent is bovendien Dreame L50 Pro Ultra.

Eufy Omni E25 vs. Eufy Omni E28

De Eufy Omni E25 beschikt over een indrukwekkende zuigkracht van 20.000 Pa. Het HydroJet-dweilsysteem reinigt actief met neerwaartse druk en reinigt zichzelf tussendoor. De DuoSpiral-borstels voorkomen dat haren vastdraaien, terwijl de uitschuifbare CornerRover-arm randen en hoeken beter meepakt. Dankzij het AI See-systeem met RGB-camera herkent de robot honderden objecten en rijdt hij daar netjes omheen. Het Omni-basisstation neemt het meeste werk uit handen: het leegt, reinigt, vult en droogt de robot automatisch en voegt schoonmaakmiddel toe. Zo blijft de E25 wekenlang zonder omkijken schoonmaken.

De Eufy Omni E28 is technisch vrijwel identiek aan de E25. Je krijgt dezelfde krachtige zuigfunctie, hetzelfde dweilsysteem, dezelfde slimme arm en obstakelherkenning. Het verschil zit in de toevoeging van een afneembare, draagbare dieptereiniger. Daarmee kun je ook handmatig moeilijk bereikbare plekken reinigen, zoals traptreden of bankkussens. Ook bij de E28 zorgt het uitgebreide Omni-basisstation voor een grotendeels onderhoudsvrij gebruik.

©Wesley Akkerman

©Wesley Akkerman

Eufy Omni E25 vs. Eufy Omni S1 Pro

Daartegenover staat de Eufy Omni S1 Pro, die zich juist richt op een geavanceerde dweilervaring. Het Always Clean Mop-systeem maakt gebruik van een continu roterende dweilrol die zichzelf schoonhoudt (net als bij de E25 en E28) en die met één kilo neerwaartse druk stevig over de vloer gaat. De zuigkracht ligt met 8.000 Pa wel een stuk lager dan bij die twee modellen. Door het slanke, lage ontwerp komt de S1 Pro makkelijker onder meubels. Dat is mede te danken aan de geïntegreerde 3D MatrixEye--obstakelvermijding, die binoculair infrarood en een camera combineert voor nauwkeurige navigatie zonder LiDAR-toren (zoals op een Dreame).

Alle drie modellen maken gebruik van het Omni-basisstation, dat automatisch leegt, reinigt, vult en droogt. Welke je kiest, hangt af van je prioriteiten: de E25 biedt maximale zuigkracht en pakt randen en hoeken goed mee, de E28 voegt daar een draagbare dieptereiniger aan toe, en de S1 Pro blinkt uit in dweilen en wendbaarheid. Extra hygiëne krijg je bij de S1 Pro bovendien via Eco-Clean: een ozonreinigingssysteem in het basisstation dat het water zuivert.

©Wesley Akkerman

©Wesley Akkerman

Praktisch ontwerp

Het ontwerp van de Eufy Omni E25 is niet alleen gestroomlijnd, maar ook. Bovenop zitten twee knoppen waarmee je de robotstofzuiger activeert of naar de basis stuurt. Haal je de glanzende plastic kap eraf, dan krijg je toegang tot de uitneembare stofbak en afneembare watercontainer. Aangezien het basisstation deze zelf respectievelijk leegt en vult, heb je er weinig omkijken naar. Maar mocht er iets misgaan, of wil je de bakken even schoonmaken omdat je dat prettig vindt, dan kun je er dus moeiteloos bij.

Voorop zitten de camera en een led-lamp, zodat de robot ook in donker ziet waar hij heen moet. Onderop zit de uitschuifbare robotarm, samen met een antihaarborstel en de dweilrol. Die draait 180 keer per minuut en is 29 centimeter lang. Ook is daar een schraper gepositioneerd die het vuil van de rol haalt. Na controle van de waterbak zien we inderdaad dat er wat vuil in zit, dat helaas niet helemaal door het basisstation opgezogen wordt. Daarom is het handig om die bak zo nu en dan zelf even grondig schoon te maken, om nare geurtjes te voorkomen.

Installeren en go

De installatie van de Eufy Omni E25 is zo gebeurd. Je bent even bezig met uitpakken en alles een plek geven, maar het koppelen aan de – hier en daar wat knullig vertaalde – app verloopt snel. Na de eerste schoonmaakronde verschijnt er een gedetailleerde kaart van je woning. Je kunt meerdere kaarten maken voor verschillende verdiepingen, en wisselen tussen een 2D- en 3D-weergave. Binnen de app stel je no-go-zones in, markeer je zones zoals een vloerkleed, en geef je per kamer of ruimte nauwkeurige instructies.

Zodra de E25 aan het werk gaat, valt één ding op: hij lijkt soms wel dronken. Dit valt vooral op wanneer hij langs een muur rijdt. In plaats van een rechte lijn aan te houden maakt hij constant schijnbewegingen. De robot neemt een korte bocht richting de muur, wil niet botsen, rijdt terug en herhaalt dit gedrag totdat hij de hele muur heeft afgerond met datzelfde wiebelige patroon. Waarom hij dit doet, is onduidelijk. Opvallend is dat dit gedrag alleen optreedt bij muren en meubels. In open ruimtes rijdt de E25 namelijk wél strak in rechte lijnen.

Stofzuigprestaties en navigatie

Met een zuigkracht van 20.000 Pa – gelijk aan die van de veel duurdere Dreame X50 Pro – laat de Eufy Omni E25 nauwelijks iets liggen. Het maakt daarbij niet uit of het een tapijt of harde vloer betreft. Toch merkten we dat hij op een vloerkleed af en toe wat haren mist, maar daar hebben duurdere modellen ook last van. Qua geluidsniveau is de E25 niet storend aanwezig. Je hoort hem duidelijk werken, maar het is prima uit te houden als je thuis bent terwijl hij z'n ronde doet.

Omdat de Eufy Omni E25 geen LiDAR heeft, mist hij wat precisie in het inschatten van zijn omgeving. De camera geeft voldoende overzicht om botsingen grotendeels te voorkomen, maar het navigeren verloopt soms iets te voorzichtig. Daardoor stuurt hij nét te vroeg bij of laat hij een klein randje liggen. Het resultaat is dat je soms ziet waar hij wel geweest is en waar niet – bijvoorbeeld doordat er nog wat vuil ligt of de vloer op een plek droog is gebleven.

Dweilt goed, maar…

Vooral dat laatste is opvallend. Hoewel de Eufy Omni E25 de vloer netjes achterlaat, zie je altijd precies waar hij wel en niet geweest is. Dat komt door de dweilrol onderop. Die doet zijn werk goed, schraapt zichzelf schoon en drukt stevig op de vloer om ook hardnekkigere vlekken aan te pakken. Maar omdat hij niet naar buiten kan draaien – iets wat de Dreame L50 Pro wél kan – mis je altijd een deel van de vloer. We hebben dat met een foto vastgelegd ter illustratie. Het is iets om rekening mee te houden.

Tot slot het basisstation. Dat is compact en oogt modern, maar vraagt wel om een plek die een beetje centraal ligt in huis. De transparante waterbakken geven het station een eigen uitstraling, al zie je daardoor ook duidelijk het verdampte water op de bovenkant zitten. Dat maakt het geheel soms wat rommelig. Jammer is ook dat Eufy een eigen zeepsysteem gebruikt, waardoor je niet je eigen schoonmaakmiddel kunt toevoegen. Verder valt op dat het station zelf snel vies wordt op de plek waar het de stofopvangbak voor je leegt.

©Wesley Akkerman

©Wesley Akkerman

Eufy Omni E25 kopen?

De Eufy Omni E25 is een ambitieuze middenklasser met opvallende specificaties: een zuigkracht van 20.000 Pa en een basisstation dat het legen, bijvullen en schoonmaken grotendeels uit handen neemt. Functies als een CornerRover-arm en AI-objectherkenning zorgen voor een premium ervaring, op budget.

Helaas heeft het apparaat wel te kampen met wat navigatieproblemen. Vooral langs muren maakt de E25 rare schijnbewegingen, alsof hij constant kleine bochtjes maakt om niet te dicht bij de rand te komen. Dit 'dronken' patroon vertraagt niet alleen het schoonmaken, maar zorgt er ook voor dat smalle stroken langs de wanden soms worden overgeslagen. In open ruimtes rijdt hij wél strak in rechte banen, wat het verschil nog opvallender maakt.

De dweilfunctie is degelijk, maar weet de randen vaak niet goed mee te nemen. Dat heeft alles te maken met de dweilrol onderop: die kan niet naar buiten draaien, waardoor hij standaard een smalle strook langs de rand mist. Ook rijdt het systeem op sommige plekken zó voorzichtig, dat delen van de vloer simpelweg worden overgeslagen. Een ander nadeel is dat je vastzit aan Eufy's eigen zeepsysteem.

Hoewel het basisstation veel onderhoud uit handen neemt, spelen dergelijke minpunten wel mee. Maar eerlijk is eerlijk: dit systeem kost minder dan veel concurrenten, terwijl het toch zeer scherpe specificaties biedt. De Dreame L50 Pro is iets duurder, maar zou zomaar de meerprijs waard kunnen zijn.

Op zoek naar slimme verlichting die méér doet dan alleen een kamer verlichten? De nieuwe Philips Hue Play wall washer projecteert kleurrijke lichteffecten op je muur en tilt sfeer naar een hoger niveau, ideaal voor films, muziek en ontspannen avondjes.

Een lege muur is vaak gewoon… nou ja, leeg. Praktisch misschien, maar niet echt spannend. Daar wil Philips Hue met de nieuwe Play wall washer iets aan veranderen. Deze compacte designlamp projecteert een kleurrijk lichtspel op je wand, waarmee je in één beweging sfeer aan je kamer toevoegt. Van subtiele achtergrondverlichting tot passende effecten tijdens een film of game, de wall washer is verrassend veelzijdig.

©Philips

Lavalamp 2.0: licht dat meer doet dan verlichten

De Philips Play wall washer is ontworpen om je muren tot leven te brengen. Dankzij een nieuwe techniek, ColorCast genaamd, ontstaan vloeiende kleurverlopen die echt iets doen met de ruimte. Het licht voelt rijk en dynamisch aan, alsof je muur zelf begint te ademen. Sluit je de lamp aan op je Hue-entertainmentsysteem, dan reageert het licht bovendien op wat je kijkt of luistert – of dat nu een film is, een game of je favoriete playlist.

Ook lezen: Review Philips Hue Play Gradient Lightstrip - duur, maar wel leuk

Je bepaalt zelf hoe groot het projectiegebied moet zijn: zet je de lamp dichter bij de muur, dan krijg je een strakke lichtbundel; plaats je hem verder weg, dan spreidt het effect zich breder uit. Via de Hue-app stel je alles eenvoudig in, inclusief richting, helderheid en de snelheid waarmee de kleuren worden afgewisseld.

©Philips

Designlamp met een slimme binnenkant

Wat meteen opvalt, is dat de lamp zelf geen aandacht opeist. De behuizing is strak, mat en gemaakt van aluminium – geen plastic spul dus. In zwart of wit past hij moeiteloos in een modern interieur. Het projectievenster is transparant en subtiel, zodat het vooral het licht is dat de show steelt. Daardoor ervaar je de wall washer meer als een designobject dan als tech-gadget.

De lamp werkt naadloos samen met het Hue-ecosysteem. Of je nu gebruikmaakt van een afstandsbediening, je smartphone of je stem via Siri, Alexa of Google Assistant, alles werkt zoals je mag verwachten van Hue. De wall washer is bovendien volledig compatibel met accessoires zoals de Hue HDMI Sync Box en de desktop-apps voor pc en tv.

Niet goedkoop, wel doordacht

Met een prijs van 199,99 euro (en 349 euro voor een 2-pack) voor een enkele lamp is de wall washer duidelijk bedoeld als luxe toevoeging, niet als basisverlichting. Maar als je van sfeer, detail en controle houdt én je hebt al wat spullen van Philips Hue hangen, dan is dit een opvallend compleet pakket. De combinatie van slim licht, subtiel design en – nou ja, laten we het creatieve vrijheid noemen, maakt deze lamp interessant voor iedereen die meer uit z'n lege muren wil halen.

Meer informatie is te vinden op de site van Philips Hue.