De-a lungul deceniului trecut, Intel a inclus un mic microcontroller în procesoarele lor. Acest microcontroller este conectat la orice și poate transfera date între hard disk-ul dumneavoastră și adaptorul de rețea. Este pornit tot timpul, chiar și când calculatorul dumneavoastră este oprit și, cu software potrivit, puteți să îl porniți printr-o conexiune la rețea. Părți din acest CIP spion au fost incluse în silicon la porunca NSA. Pe scurt, dacă ați proiecta o piesă hardware care să spioneze pe toată lumea care folosește un calculator Intel, veți obține ceva de genul Intel Management Engine.
Săptămâna trecută, cercetătorii Mark Ermolov și Maxim Goryachy au prezentat o exploatare la BlackHat Europe, care permite execuția de cod arbitrat pe platforma Intel ME. Acesta este doar un atac local, unul care necesită acces fizic la dispozitiv. Secretul a fost dezvăluit, totuși, și aceasta este exploatarea la care ne așteptam cu toții. Aceasta este exploatarea care forțează Intel și OEM-urile (Original Equipment Manufacturer – fabricantul original al echipamentului) să considere implicațiile de securitate ale Intel Management Engine. Ce înseamnă aceasta de fapt?
Ce este Management Engine (motor de management) și ce face
Management Engine-ul lui Intel este doar o mică parte a unei colecții de unelte, hardware și software ascunsă adânc în unele din ultimele procesoare ale Intel. Aceste cipuri și software au apărut prima dată la începutul anului 2000 ca Trusted Platform Modules (module de platformă de încredere). Aceste mici cipuri cripto formau rădăcina de „încredere” a unui computer. Dacă TPM ar putea fi de încredere, tot calculatorul poate fi de încredere. Apoi a venit Active Management Technology (tehnologia de management activ), un set de procesoare încorporate pentru controlere Ethernet. Ideea din spatele acestui sistem a fost de a permite asigurarea accesului la laptop-uri în medii corporatiste. De-a lungul anilor, încă o piesă hardware a fost adăugată la procesor. Aceasta a fost Intel Management Engine, un mic sistem care era conectat la toate componentele periferice ale unui calculator. Intel ME este conectat la interfața de rețea și este conectat la unitățile de stocare. Intel ME este pornit, chiar și atunci când calculatorul dumneavoastră este oprit. Teoretic, dacă tastezi pe o tastatură conectată la un calculator închis, Intel ME poate să trimită acele apăsări la servere necunoscute.
Pe lângă lansarea exploatării ME la Black Hat, noi am învățat mult în ultimele săptămâni. ME rulează de fapt Minix, un sistem de operare tip „hobby” sau „de învățare” creat de Andy Tanenbaum și care a dat naștere la Linux. Este o discuție semnificativă despre licențierea BSD versus licențierea GPL a Minix și Linux, dar acesta este discușie pentru altădată.
De câțiva ani buni, cercetătorii au investigat seturile de cipuri pe care Intel le include în ultimele lor procesoare. Din păcate, Intel a decis că sursa închisă este modalitatea de folosire și cu această securitate cercetătorii au o idee despre ce Intel ME poate face, dar nu au idee cum s-a făcut aceasta și dacă există probleme de securitate sau nu. Săptămâna aceasta, acel perete a fost spart. Acum oricine poate executa un cod arbitrar pe Intel ME cu un stick USB.
Diminiuare
Cu problemele imense ale Intel Management Engine, poate face ceva un ins obișnuit pentru a diminua riscurile de securitate? Există vreun mod de a închide ME pur și simplu? Din fericire da, cu câteva avertismente.
System76, creatorii laptop-urilor și desktop-urilor Linux, au lansat actualizarea lor de firmware pentru a dezactiva ME-ul. În plus, Dell vinde acum un laptop – actualizatul Lattitude 14 – cu opțiunea implicită a unui ME dezactivat. Există, aparent, o piață pentru cei preocupați de securitate.
Totuși, dacă deja dețineți un calculator, sunt șanse mari să aveți un Management Engine undeva în cutia dumneavoastră care să ruleze. Care sunt opțiunile dumneavoastră, în afară de a cumpăra un nou calculator? Primul pas spre îndepărtarea ME este de a vedea dacă într-adevăr rulează. Pentru aceasta, Intel a lansat o unealtă pentru a detecta ME care rulează.
Cu toate acestea, simpla detecție a ME nu este suficientă. Trebuie să îl dezactivați. Din păcate, implementarea ME este lăsată la proiectanții de plăci de bază și nu există un mod generic de a-l opri. Aceasta este poate cea mai mare amenințare de securitate pe care o posedă ME; fără o singură, simplă unealtă pentru a închide ME în orice instanță, ne rămân doar instrucțiuni și tutoriale despre cum să dezactivăm ME pentru modele individuale de calculatoare.
În acest scop, unii producători și OEM de plăci de bază au venit cu metode de a dezactiva ME în ultima săptămână sau cam așa ceva și se așteaptă că va fi un răspuns al industriei de pretutindeni la această problemă, cu ghiduri la îndemână despre cum să dezactivați ME disponibile de la OEM-ul plăcii de bază.
Toate acestea sunt soluții imcomplete. Recenta exploatare Evil Maid pentru Intel ME, care necesită prezență fizică, funcționează doar pe versiuni ale ME mai mari de V.11. Cât timp acesta exclude toate Mac-urile, tot există posibilitatea să se găsească alte exploatări, care să afecteze versiuni mai timpurii ale ME. Cum închideți totul?
Din păcate, nu puteți. Un calculator fără firmware ME valid închide calculatorul după treizeci de minute. Totuși, me_cleaner tool face ceva destul de deștept: păcălește ME-ul făcându-l să creadă că are firmware valid, dar de fapt nu face nimic. Noi am aruncat o privire la acest hack când a fost prima dată lansat și da, dacă ștergeți prima pagină de memorie din memoria ROM a ME, încetează să mai lucreze, dar permite calculatorului dumneavoastră să funcționeze.
Cel mai mare „Ți-am spus eu”
Intel ME este o piesă hardware mică, obscură, fixată în aproape fiecare procesor modern Intel. Este conectat la unitățile dumneavoastră de stocare și la interfața de rețea. Dacă cineva poate accesa ME-ul, vă deține calculatorul. Chiar acum, cea mai bună exploatare pentru ME – sau cea mai rea, depinde de punctul dumneavoastră de vedere – este doar o variație a scenariului Evil Maid. Această exploatare necesită acces fizic la dispozitiv și cu toții știm că accesul fizic este în cele din urmă acces la rădăcină. În acest context, și în orice model realist de amenințare, exploatarea curentă pentru Intel ME este un pic prea umflată.
Considerați aceasta Stagiul unu. Cea mai bună exploatare pentru ME este una prin interfața de rețea. Cu aceasta, oricine poate deține un calculator echipat cu ME de oriunde de pe planetă. Această exploatare nu există încă și noi știm aceasta prin faptul că nu există o rețea masivă de calculatoare infectate cu programe de tip bot care să mineze Bitcoin.
Până vine acea zi, rămânem doar cu realizarea că da, tocilarii aveau dreptate. Ideea că NSA pune hardware în fiecare calculator sună absurd, până realizați că de fapt s-a întâmplat.
În ultimele câteva decenii, populația lumii a fost introdusă forțat în lumea securității informației. În anii 80 era la fel de simplu cum e să nu vă scrieți parola pe o notiță. În câțiva ani, ajunge la conversația despre cum Alexas și Google Homes sunt un coșmar Orwellian. Până atunci, trebuie să folosim exploatarea Intel ME ca un alt exemplu despre cât de importantă e securitatea și cât de vital este să ascultăm de oamenii care vă zic „asta este rău”. Un cod care nu poate fi revizuit este un cod care nu poate fi crezut.
off…
am dat cu searchul pe net cautand ceva si am gasit altceva..o teorie stranie (autorul e rus) care de vreun an a devenit virala pe blogurile adeptilor flat earth. pe ultrascurt este vorba de formatiunile geologice numite „mesa” sau „tepuy” care conform teoriei nu sint formatiuni muntoase cu verful „retezat” ci ..trunchiurile unor copaci antediluvieni cu inaltimi colosale (de kilometrii) doborati de potop..sau taiati de uriasii stravechi..se da ca prim exemplu coloana numita „devil’s tower” din Sua care chiar seamana cu un bustean retezat si o
gramada de „rumegus” la poale. aci gasiti pe larg si cu imagini.
https://www.secretenergy.com/news/are-thes-giant-prehistoric-trees/
.
Exista o solutie foaaaarte simpla……………….. treceti pe AMD.
E simplu, nu ?
Din comentariile unora, reiese ca si AMD ar avea ceva asemanator, numit „TrustZone” sau „ARM”.
Comentariile de aici – https://hackaday.com/2016/11/28/neutralizing-intels-management-engine
Este foarte adevarat.Se poate dezactiva folosind ce ai spus dar pt cei care nu se pricep sa faca nu ar putea sa scoata pursisimplu PC-ul din priza?
Te-as ruga sa pui pe site infoarmatii(cat de multe poti ) despre noul Android 8 Oreo (si cel mai vechi,android 7 Nougat) si ce se afla in spatele lor! Multumesc
articolul asta dezbate o tema prea importanta si tu vii aici cu trunchiuri de copaci ?!? prietene, lucrezi cumva pt intel si vrei sa ne duci cu vorba ?
Ce spune Microsoft despre Windows 10, la partea numita „Data We Collect”:
„Atunci când achiziţionezi, instalezi şi utilizezi Windows 10, Microsoft colectează informaţii despre tine, despre dispozitivele, aplicaţiile şi reţelele tale, dar şi despre modul în care utilizezi acele dispozitive, aplicaţii şi reţele.”
Si mai spune:
„Datele pe care le culegem includ numele, adresa de e-mail, preferinţele şi interesele tale, paginile vizitate, căutarea şi istoricul fişierelor, apelurile telefonice şi SMS-urile; configurarea dispozitivelor şi datele citite de periferice şi utilizarea aplicaţiilor.“
Si mai spune:
„Noi vom avea acces la datele personale, vom putea să le dezvăluim sau să le păstrăm, inclusiv conţinuturile private (cum ar fi conţinutul e-mail-urilor și ale altor date confidențiale sau fişiere din directoarele personale), dacă suntem de părere că aceasta este necesar, pentru respectarea legilor în vigoare sau pentru a răspunde procedurilor juridice, inclusiv ale autorităţilor, pentru urmărirea penală sau pentru alte acţiuni în interesul statului.”
Pare ca nu chiar degeaba a oferit Microsoft gratuit acest update. Se stie ca Microsoft te poate spiona si prin Windows-urile precedente, numai ca acum aduc in public acest lucru, drept urmare acum nu vor mai folosi datele colectate doar in secret si nu vor mai putea fi trasi la raspundere pentru asta, si vor putea spune „Tu ne-ai dat dreptul sa te spionam, acceptand sa folosesti acel Windows”.
Si se pare ca pentru calculatoarele noi, producatorii nu vor oferi decat drivere pentru Winsows 10, deci vei fi obligat sa folosesti acest Windows.
Microsoft ar fi primit plangeri pe tema asta, si din aceasta cauza ar fi introdus in Windows sectiunea „Privacy”, de unde utilizatorii pot opri colectarea datelor care acestia nu doresc sa fie colectate.
Unii spun ca daca opresti serviciul „Connected User Experience and Telemetry” si acele componente din sectiunea „Pivacy”, atunci Windows-ul ar inceta sa te mai spioneze. Alti spun ca si asa, Windows-ul comunica in continuare cu zeci de servere, si spionajul nu a luat sfarsit.
La fel e si cu AMD-ul si ARM-ul.