Názory k článku Intel potvrzuje: v Management Engine jsou vážné bezpečnostní díry
-
VM (neregistrovaný)
ME co spouští neznámý kód, nejde vypnout a má kontrolu nad celým systémem je samozřejmě malware by design. Škoda že se nenašel mechanismus, jak Intelu vysvětlit, že tohle fakt ne. Ví se to už několik let, a nevadí to ani velkým firmám, které by na Intel měly páky. Jediný úspěch o kterém vím je že NSA donutila Intel, aby to v nových verzích už vypnout šlo.
-
Přezdívka (neregistrovaný)
Zneužívat zranitelností k vyřazení ME není potřeba, protože minimálně některé verze ME se dají po (doufejme jen) inicializaci hardwaru (opět doufejme) kompletně a nezvratně vyřadit z provozu použitím vestavěného kill switche, vyhrazeného pro NSA a podobně. Otázkou zůstává, jestli je takto umrtvený ME skutečně naprosto neškodný, takže dalším krokem je náhrada veškeré nepostradetelné funkcionality všeho až po BUP a nalezení způsobu, jak tím nahradit ROMB.
-
ldx (neregistrovaný)
Zajímavé.
Ale zkoušet to vlastním CPU asi zatím nebudu :) Ideální by bylo, kdyby to šlo normálně vypnout v BIOSu, jako každá (skoro) jiná feature.
Na druhou stranu, ještě lepší by bylo, kdybych mohl tohle defakto další, riscové jádro procesoru využít pro vlastní účely, třeba na provádění úloh při počítači který je ve sleep režimu. Nějaké jednoduché úlohy na úrovni chytrých hodinek, pokud v tom běží MINIX, by to mohlo v pohodě zvládat (např. ve spojení s LED displejem)... Prostě počítač by se ve vypnutém stavu choval tak trochu jako Raspberry. Mohlo by to obsluhovat periferie, bezpečnostní kameru, meteostanici a další gadgety a já nevím co ještě...
-
Přezdívka (neregistrovaný)
> Ideální by bylo, kdyby to šlo normálně vypnout v BIOSu, jako každá (skoro) jiná feature.
Ne ideální, ale - jak říkáte - naprosto normální. To, že to takhle nejde, ale po letech v tom byl objeven skrytý kill switch pro "bezpečnostní agentury" podle mě mluví víceméně za vše.
-
romano bongo (neregistrovaný)
pokud vim, tak minimalne Googlu to hooodne vadi, oni prece jen par masin s Intel processory maji.... docela usilovne zkoumaji jak se IME uplne zbavit nebo ho aspon poradne oklestit. jestli se nemylim, tak tu nedavno byla zprava s PDF dokumentem a nejakymi podrobnostmi..
-
. . (neregistrovaný)
no, oni s tím primárně začali kvůli rychlosti bootu chromeOS, když se v tom začali motat daleko více, zjistili co to je za prasárnu.
Michodem stejnou či podobnou věc dělá Apple, jeho macbooky se chovají trochu jinak a už několik generací mají uvnitř schovaný vlastní management cpu, nedávno i tady proběhla zprávička, že oficiálně s toho chtějí úplně zbavit.
Dokud ale tenhle SW nebude plně otevřený, je to z bláta do louže.
-
A to když budete mít firmware s otevřeným zdrojákem, tak budete prostě věřit, že ve flash ROM máte opravdu přeložený ten zdroják? Víte že CPU jako takový má microcode, který se dá měnit za běhu? Že síťová karta má firmware? A že další firmware najdete na HDD? Přitom už tu byly případy, když útočníci přepsali firmware HDD, takže podvrhoval falešný MBR a poskytoval interface pro skryté úložiště. Takový malware přežije i reinstalaci OS. Doporučuji kapitolu 10, začíná na stránce 16. Ve srovnání s tím mi připadá pár chyb v IME jako dost nuda.
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf -
To si zdroják přeložíte nebo necháte zkontrolovat. A co pak? Můžete ho zkusit do zařízení nacpat, jenže to zařízení už má firmware, který často nemůžete číst, a který může ovlivnit proces flashování. Další problém je samotný návrh čipů, a od toho je ještě oddělený problém toho že vyrobený čip musí sedět s designem, který továrna dostala.
Prostě vždycky dojdete do bodu, kdy musíte někomu věřit. A pokud je o otevřené zdrojáky, tak tam věříte autorům. Přitom paradoxně do open source projektů může přispět kdokoliv (po pár dobrých commitech je code review poměrně laxní), a zanést do kódu backdoor, který se tváří jako přehlédnutelná chybka v kódu (příklad: Debian SSL keys FUBAR). Takže nakonec místo abyste věřil společnosti Intel, u které víte že v tom má miliardy dolarů a má existující, prověřené, dohledatelné a trestně stíhatelné zaměstnance, tak chcete důvěřovat nespočetnému množství lidí, kteří prostě zašlou commit, nemusí fyzicky existovat, nemají žádnou odpovědnost a nejsou dohledatelní.
-
Trident (neregistrovaný)
Jen klid a nohy v teple. Ten clovek duni jak prazdny sud. Pravdepodobne predstavy o tom jak komplexni muze byt HW a SW treba pro HDD zde nejsou. V poslednich 10ti letech doslo ke znacnemu zjednoduseni diky tomu ze to co delal v minulosti specializovany DSP nebo ASIC, tak dneska udelate softwarove pripadne s generickym DSP v te SoCce.
Ale ono staci klidne vzit ASICy pro xDSL. Tam ten firmware je zaplacen velmi drahym vyzkumem v oblasti zpracovani signalu a narocnymi akceptacnimy testy (zejmena na laboratorni vybaveni a know how). To ze bude k dispozici zdrojak je bez specialnich kompileru k nicemu. -
och, ale och, samozrejme ze v tom rozdiel je a dava moznosti zistit rozdiely.
Ma prepisany firmware akehokolvek externeho komponentu je sice neprijemne, ale stale to viac-menej izoluje dosah upraveneho firmware na malu podmnozinu funkcii pocitaca. Firmware podvrhnuty do diskoveho radica ma moznost modifikovat data. To je mocny nastroj, ale uplne k nicomu, ak sa disk hodi do kosa, alebo sa externou citackou vycita / preflashuje firmware. To obvykle ide spravit aj bez toho aby sa svab vybral von. Pri komponentoch v PC su casto flashky CPU spristupnene inou cestou, nez zariadenie samotne, takze ani zmena FW zariadenia neumozni zabranit vycitaniu firmware, pripadne jeho preflashovaniu. Istou vynimkou v dosahu by mohla byt sietova a graficka karta, specialne ta druha. Tam je problem s tym, ze pamatovy priestor postihnuty grafickou kartou je tak velky, ze je nastavena ako bus master a moze si pristupovat kam sa jej zache. Dostatocne sofistikovany malware by bol potom schopny svoju pritomnost vo FW grafickej karty schovat velmi dobre.
Kazdopadne ak v urovni -3 nie je entita o ktorej vierohodnosti nemozno nic povedat, vzdy ide system preklepnut zdola hore. Ak malicious graficku kartu ide v konecnom dosledku uspat, alebo zistit pritomnost niecoho, co tam byt nema heuristikou. Napr. procesory na HDD nie su extremne vykonne, co sa tyka behu beznych uloh, takze firmware by mohol vyrazne spomalit pri pokuse o citanie niecoho, co tam akoze byt nema.
Ked si ale nemozem byt isty obsahom pamate, pretoze management engine mi ju moze pod rukou prepisat . Toho podla mna mikrokod v procesore schopny nie je, akokolvek by sa mikrokod editoval, stale bude obmedzeny tym, co smie a nesmie jedna instrukcia. Takze ziadne spustis tuto super instrukciu a ono to prepise polku procesora sa nekona. Plus tento prepis nie je permanentny, takze funkcnost takehoto malware je zavisly od existencie a funkcnosti malware na inej velmi vysokej urovni - bios/bootloader/kernel alebo exploitu umoznujuce ziskat prava kernelu
Pri ME samozrejme nejde o problemy, ktore ma. Problemom je samotna pritomnost ME, pretoze to, ze testovanie alebo audit chyby nenasli neznamena, ze tam nie su.
-
Trident (neregistrovaný)
Vezmeme-li to sekackem. PC neni trusted HW. Tecka. Pokud chci mit trusted HW tak ho poridim. A nejspis to ani nebude x86. Pokud ne tak jakkekoli plkance nad moznostmi jsou zbytecne. Protoze je to derave ze vsech stran.
Ta architektura ani nikdy nebyla navrzena tak aby se overovaly komponenty proti sobe aby byla vysoka granularita jejich oddeleni a aby hw bylo auditovano jako celek tak jako treba moje domovska firma dodavala trusted HW/ trusted SW pro letadlove lode. A neverte tomu kdyz mate kontrolu nad vsim. Od procesoru pres chipset az po backplane a operacni system. -
qwertyuiop (neregistrovaný)
Apple o tom zrejme vedel mnohem driv protoze CPU pro nej Intel dodaval bez ME.
"It's not thought Apple x86 machines are affected as they do not ship with Intel's ME"
Vlastni management Apple nema na urovni CPU ale proste na desce je extra cip, v podstate to jsou dalsi biosy.
-
Kdyz ti jde z UEFI/BIOSu zaplatovat, proc to z nej nejde i vypnout?
Nejsem si jistý, ale tipuji, že to je proto, protože by design, když se ten firmware nespustí na tom speciálním CPU uvnitř hlavního CPU, tak je celý stroj nejpozději po 30 minutách natvrdo resetován.
A na co je to i v Atomech a a tabletovych CPU?
IMO to je ze stejného důvodu, ze kterého mají tyhle procáky např. podporu ECC narozdíl od jejich dražších desktopových bratříčků a sice protože jejich použití směřuje do různých NAS ap. "serverových řešení", kde se použití ME předpokládá jako užitečná funkce.
-
Přezdívka (neregistrovaný)
Pokud máte zájem, můžete zkusit ME cleaner, ale ani ten to svinstvo nemůže odstranit úplně, protože část kódu ME je fyzicky v ROM chipu a ve FLASH paměti desky zůstane všechno až po modul inicializující hardware (RBE, KERNEL, SYSLIB a BUP).
-
Petr M (neregistrovaný)
Když se úředník nudí, dělá kraviny. Když ho zabavíš něčím smysluplným, nemá čas škodit. Platí to i v případě EK.
To je jak nás to učili v autoškole - problém na silnici (třeba chybí víko od kanálu), volej benga. Telefonát je nahraný a musí se postarat, aby závada ve sjízdnosti co nejrychlej zmizela, protože kdyby se tam něco stalo, mají problém. A než to dojedou ověřit, dají tam kužely a seženou někoho, kdo to pořeší definitivně, nemají čas stát s mikrovlnkou za bukem.
-
Tak presne vznikaji myti o EU. Lidi vymysli blbosti pak se toho chytne europoslanec (vsimnete si ze voleny zastupce ne nevoleny urednik) a na novinky.cz je super clanek. Co na tom ze navrh neprosel ani ctenim a ze urednici v bruselu dodali podklady kde to cele stavi do praveho svetla. Vid. kadernice a prsteny.
-
ldx (neregistrovaný)
Prozatím bych tuto možnost raději nevyužil, dokud existují jiné prostředky jako je nátlak na Intel anebo vlády.
Taková věc jako plošný útok je IMHO až krajní řešení, kdyby se tomu třeba Intel a podobné firmy chtěly vysmát. Nechtěl bych, aby se mi někdo nahackoval do pc nebo vyřadil funkčnost internetu, jen kvůli tomu, že chtěl zasáhnout korporace. Vedlejší ztráty jsou v takových případech myslím obvyklé.
-
Jenže už teď máme na světě nejspíš víc než miliardu zařízení postavených na linuxovém kernelu, které mají kritické chyby, a nikdo je nikdy neopraví. Jde o telefony s Androidem, televize, multimediální centra, ledničky, domácí routery atd. Teoreticky je sice může opravit kdokoliv, ale v praxi je neopraví nikdo. Tak nevím jestli je lepší přidat do každého zařízení stovky zranitelností ročně už na úrovni firmwaru, nebo jestli nechat ME na Intelu, který alespoň poskytuje podporu.
https://www.intel.com/content/www/us/en/support/articles/000025619/software.html -
Neviditelný (neregistrovaný)
Vývojáři linuxového jádra přece poskytují podporu také, problém je v downstreamu u výrobců těch zařízení, kteří vydané opravy nedoručí k uživatelům. V případě Intel ME je to stejné, starší notebooky a pracovní stanice s postiženým ME velmi pravděpodobně taky Lenovo či HP nezazáplatuje, rozhodně ne pořádně. Např. oprava na podobnou díru v AMT vyšla pro T420 s dost značným zpožděním a ještě ve formátu, který třeba já nemůžu nainstalovat.
-
aaaa (neregistrovaný)
Librem se snazi u svych notebooku o kompletni odstraneni iME, zatim celkem uspesne!
https://puri.sm/posts/primer-to-reverse-engineering-intel-fsp/ -
barney (neregistrovaný)
Mam intel i5 430m . Je tam intel ME vo verzii 6.0 . Procesor nepodporuje vPro, ktore by malo obsahovat AMT.
Predpokladam ze spominana zranitelnost sa nachadza aj v tejto generaciii procesorov, ale uz sa im to nechce udrziavat.
Bezi mi tam v mojom pripade nejaky sietovy stack, na ktory sa da zvonku pripojit? Ked nemam vPro? -
Worker (neregistrovaný)
Zaujimalo by ma, ako je na tom AMD. Pokial viem, maju podobnu technologiu, len:
a) je mozno bezpecnejsia (preto som o nej nenasiel mnoho info)
b) nehovori sa o nej tolko (zaujima to vobec niekoho?)
c) nie je natolko rozsirena/e aby to niekoho zaujimalo.Vie niekto ako to funguje u nich?
-
Přezdívka (neregistrovaný)
AMD má na chipu CPU vedle x86 jader ještě ARM jádro s TrustZone, jehož software je samozřejmě opět privilegovanější než uživatelův OS, takže může se systémem dělat bůh ví co, aniž by tomu šlo jakkoliv bránit, je digitálně podepsán, kdyby se ho chtěl uživatel nedej bože z očividných důvodů násilím zbavit a bez něj ten ARM nikdy nepustí x86ky z resetu. Otevírat nic nehodlají a vymlouvají se na tzv. "nezávislé" bezpečnostní audity třetích stran. Jinak řečeno útěk k AMD nikomu nepomůže, protože to už je na tom člověk líp s Intelem, kde se dá použít nedávno nalezený vestavěný kill switch.
-
LDASCZ (neregistrovaný)
Tyhle války Intel vs AMD.... Jseš za Intel jak je vidno...
Tak tě asi muj fakt nasere... Protože to ARM jádro s TrustZone nekomunikuje odděleně za zády s jinými servy a celkově přes ethernet a wifi k tomu nevede cesta... Ovšem u Intelu je to opak.Ono to je jedno kam půjdeš... hlavně aby vyhovovalo.. Všude bude nějaké, ale ať chceš nebo ne... Ale rok mám velké, ale u NV za jejich ovladače, které jsou handbou a to i ten jejich pekelnej sráč program na updaty.
Nehledě na fakt, že NV Experience taky někam do píči odesílá data... Nevybereš si. -
Přezdívka (neregistrovaný)
Těsně vedle :-) Ve skutečnosti mám směs obojího - v desktopech 100% DAAMIT (K6-2 až Phenom II + Radeon) a v laptopech Intel. Intel v desktopu jsem zavrhl, když začal používat LGA patice a v laptopech mi nevadil jen proto, že je tam v době jejich pořizování nepoužíval (navíc jsem tam ani nepředpokládal upgrady CPU) a měl lepší poměr výkon/spotřeba. To, že je v současnosti jediným dodavatelem výkonných GPU s plně open source drivery jen utvrzuje mou důvěru k AMD. Pouze říkám (a velmi mě mrzí, že nemohu říct opak), že kdo z očividných důvodů nechce protiuživatelské svinstvo hluboko v HW (CPU, chipset), ten se ho v současných AMDčkách nemá jak zbavit, zatímco u Intelů už to "nějak" jde. Navíc odmítají prodej SKU bez podobných "vychytávak" i vypnutelnost, takže konec.
-
Petr M (neregistrovaný)
Chjo, tak znovu.
Na MB potřebuješ většinou věci jako kontrolu, měření a sekvencování napájení, měření teploty, řízení a kontrolu větráků,... Dneska je nejlevnější a nejjednodušší tam hodit procák. AMD má licenci na ARM, ten málo žere a výkonově dostačuje, tak si tam na tohle prostě dali ARM. Je to dostupbý na nějakým rozhraní, FW se dá upgradovat a to zachovali, ale pod podmínkou podpisu. Když tam chceš jiný FW, musí být podepsaný od nich a musíš to aktualizovat z aplikace.
Současně patrně využili toho, že Cortex A má crypto engine a udělali z toho šifrovací koprocesor (nejspíš i s oddělenou pamětí pro klíče atd). Ale zpracovává, co mu pošle hlavní CPU. Ven to bez spolupráce s OS nemůže.A vypnout tp by byla nejenom ztráta crypto, ale i napájení, watchdogu,... Potenciálně nebezpečný to není a šetří to systému práci s hlídáním blbostí. Takže proti tomuhle řešení nic nemám. Vypínat to by bylo jak vypnout procesor v klávesnici nebo v monitoru.
S*e mě Intel, tam to má TCP/IP stack, web server, může ovládnout cokoliv a má rozhraní na LANku.
-
Jednoznačně nedá. Úplně stejně nejde věřit žádnému CPU od Intelu kvůli mikrokódu, a od AMD kvůli mikrokódu i TrustZone. A pevným diskům, protože obsahují firmware, který se dá přepsat a může podvrhovat data (EquationGroup to prokazatelně umí). A síťovým kartám, které obsahují firmware. A všem počítačům, protože obsahují firmware. A žádnému čipu, protože nikdy nevidíte do návrhu čipu ani do výrobního procesu. Naopak Debianu můžete určitě věřit že umí dobře generovat SSL klíče, protože je to open source ;)
Takže to pojďme do 25.5.2018, kdy se GDPR stane vymahatelným, všechny ty počítače a internety zrušit. Stejně tyhle aféry jenom každého obtěžují.
-
BobTheBuilderStříbrný podporovatelJenže Intel má opravu a teď je na výrobcích, aby ji formou updatu BIOSu vůbec vydali. Termín vydání opravy u různých modelů je často TBD (to be determined - možná tedy, až naprší a uschne): Lenovo 7 (to je docela dobrý), Acer 240, Dell pouhých 191. A u ostatních modelů to máte prosinec 2017, leden 2018, únor 2018...
Nápadně to připomíná opravené chyby v Androidu - sice jsou, ale nemusí vám to být nic platné.
ČLÁNKY DO MAILU
