Až taková pr.ča to nebude. Už protože ti rovnější (NSA) mají od Intelu nástroj na vypnutí ME.https://www.theregister.co.uk/2017/08/29/intel_manageme...
Autor článku použil zcela zavádějící formulace, které, jak vidím, některé lidi úplně zmátlo. Nejde o to, že by napadení počítače muselo nutně probíhat z nějakého USB-disku. Problém je v tom, že je JTAG připojeno k USB-sběrnici, tedy počítač může takto napadnout jakýkoliv programový kód, který dokáže ovládat USB-sběrnici a obejít ochranné mechanismy. Tedy je jedno, jakou cestou a odkud se do počítače dostane a z jakého místa bude spuštěn. Samozřejmě, jedna z možností je strčit do PC zavirovanou flešku, ale stejně tak může škodlivý kód přijít mailem nebo přes zavirovanou WWW stránku.
zadní vrátka na takové úrovni jsou už docela zadním problémem 🙁
Pokud se někdo nabourá s venčí do nějakého PC, co mu brání aby do zařízeni které je připojené na USB nezavlekl kód, který tyhle zadní vrátka otevře? Třeba přes externí disk.
Pokud to je pravda, tak snad již brzo bude možné stáhnout patch, který tuto zbytečnou a jak vidno nebezpečnou část procesoru natrvalo vypne. Je otázkou zda ten patch bude oficiální od intelu a nebo neofiko od komunity.
Klidek. Intel Management Engine jde vyradit z provozu, existuji k tomu minimalne dve utility, ktere jsou popsany zde:https://puri.sm/posts/deep-dive-into-inte... Asi to neni uplne bez rizika, ale pokud opravdu potrebujete chranit citliva data, tak vas tech par tisic za umrtveny procesor nezajima.
Pokud se nic nezměnilo, tak se bez IME PC po cca 1/2 hodině vypne....
Názor byl 1× upraven, naposled 16. 11. 2017 14:43
Tak infikovaná fleška je dneska běžně dostupná, stačí přepsat firmware a u některých to jde celkem snadno. Taková fleška, co se po čase neaktivity začne chovat jako klávesnice a spustí si backdoor...Takže nahrávat něco do paměti s ASLR nemá úplně smysl, horší bude, až bude možné z paměti vytáhnout třeba šifrovací klíče k disku, tam se ale bude narážet na rychlost a kapacitu...
Možná, že se všichni ptají proč v Intel procesorech to ME vlastně je. Je tam proto, že se takto odesílají tvůrcům procesorů Intel všechny informace o práci těchto procesorů a tyto údaje pak slouží k vytvoření ještě lepších procesorů. Nebo si snad myslíte, že Intel bude tyto procesory dlouhodobě provozovat ve své firmě aby takové údaje získala? Ale kde že. Všichni vlastníci procesorů Intel slouží jako beta testeři těchto procesorů. Kdyby Intel chtěl přes ME škodit, tak by to přece již dávno udělal. A třeba je vše zcela jinak a ME je mimozemská technologie, která řídí procesory a bez níž by procesory nikdy nefungovali. Vyberte si co je pravdědobnější.
Tak tohle byl nejlepší džouk v celé diskusi 😀 Ještě větší legrace by byla, kdyby jsi to s tím odesíláním všech informací do Intelu myslel vážně 😀
Monitoring lze dělat jednostanně a není potřeba k tomu užívat extra operační systém. Problém je jinde.
Tak obecně se dá říci, že všechno lze udělat nebo prolomit. Ale ...Intel ME slouží hlavně pro vPro, tzn. speciální aplikace, speciální bezpečnost atd.Většina zde diskutujících nejspíš neměla dosud potuchy o existenci vPro (procesory např. 73xx), a v reálném životě tuto technologii jen velmi malá část viděla při používání.Bezpečnost počítače je třeba brát v širším kontextu a ne pouze vytrhnout část a s tím laborovat a dělat senzaci.vPro má vzdálený přístup do UEFI, tzn. uživatel nemá (nepotřebuje) přístup do UEFI. Nemůže tedy ovlivnit (vypnout) TPM, SecureBoot, CompuTrace, PIN pro boot, zapnout kameru nebo USB porty prostě to co vyžaduje korporátní bezpečnostní politika.
WPA šifrování taky nikdo na WIFI už nepoužívá, protože lze prolomit tak snadno, jako otevřít láhev piva. Tahle šaškárna přes USB je jenom začátek. Intel by měl okamžitě zjednat nápravu, nebo jít do ( ).( ) .
Můžete používat jakékoliv šifrování, ale pokud mi umožníte přístup ke své wifině, je to šifrování naprosto zbytečné. A je úplně jedno, jestli je to něco prolomeného nebo neprolomeného.Co byste po Intelu chtěl? Aby uživateli zakázal používat počítač, protože je to potenciálně nebezpečné? Nebo aby se vykašlal na pokrok a vrátil se do 70. let, kdy systémový software byl natvrdo zadrátovaný v paměti ROM, která nešla žádným způsobem přepsat a aktualizace se prováděla výměnou čipu?
Ehm, pokud se připojím přes veřejnou wifi kamkoli šifrovaně, tak má jakýkoli návštěvník wifi smůlu, stejně jako kdokoli mezi serverem a mnou... Pokud tedy budu používat ověřené certifikáty, v případě https i hsts
Myšlenka hezká. Problém je, že vy nedokážete ani ověřit, jestli jste přes tu wifi připojen opravdu ke stránce, kam jste chtěl a nebo k nějaké podvržené. A v tom vám nějaké https vůbec nepomůže. Tedy, pokud bude útočník chtít, může se stát retranslační stanicí, kdy vaše požadavky přes https bude přesměrovávat na sebe, se skutečným serverem si otevře sám https přenos. Vše, co vy pošlete přepošle cílovému serveru, co pošle server, prostředník přepošle vám. Vy jste spokojen, cílový server je spokojen a útočník má vše, aniž byste to tušil.
Az na to ze presne tohle HTTPS resi :). Proto vubec certifikaty a certifikacni autority existuji.
Až na to, že přesně na toto samotné HTTPS nestačí a přesně z toho důvodu vznikla hlavička Strict-Transport-Security která tento nedostatek HTTPS do velké míry řeší.HTTPS je sice skvělá věc, ale bez HSTS je to zabezpečení spíš na oko.(Dovolil bych si odkázat na Michala Špačka, který to velmi názorně vysvětluje na několika přednáškách jejichž záznamy se dají nalézt na YT)
Pomocí ME má přístup úplně všude. Můžete komunikovat šifrovaně, ale to co píšete na klávesnici, to má ME k dispozici. Co je uložené na disku taky. Stejně tak má ME přístup do paměti... Máte šifrovací klíče na flashce? tu si taky ME přečte...
Nechápete problém WPA. Prolomení WPA zanemná že nepotřebujete umožnit přístup k WIFI. Znamená to že si ho prostě uděláte sám. To samý teď platí pro intelí ME. Je to prostě tunel do počítače, ke kterému byl nalezený univerzální klíč. Není mi vůbec jasný, proč intel takovou kravinu do procesorů vůbec dával.
Řiť se ikonograficky znázorňuje takhle: (_!_) 😀
Všechny ty řeči "když se někdo dostane fyzicky k mému PC, aby mohl zastrčit flashku..." jsou krásnou ukázkou nepochopení. On to totiž nemusí být vůbec nikdo cizí, můžete si tam tu flashku nebo cokoli jiného zastrčit sami. Může to být vaše příští myš, klávesnice, externí disk... Naprosto cokoli, co si koupíte a u čeho nemáte žádnou kontrolu, co tam reálně výrobce zabudoval (a co klidně nemusí vědět ani samotný výrobce, pokud to dotáhneme dostatečně paranoidně).Jistě, ta pravděpodobnost je mizivá, stejně jako u většiny podobných útoků, podstatné na tom ale je, že opravdu není potřeba, aby k vašemu počítači měl přístup někdo cizí. Můžete si tam upravené zařízení připojit klidně vy sami, aniž byste to věděli.Pro útočníka by pak úplně stačilo, aby se pak napadené zařízení někdy ozvalo... Jakmile má kontrolu nad CPU, sítí, pamětí, může už přidat naprosto cokoli připravené přesně na používaný systém. Klidně kdykoli v budoucnu...
Názor byl 1× upraven, naposled 10. 11. 2017 20:04
A dosud vám nevadilo, že upravená klávesnice měla přístup k celému vašemu počítači? Dosud vám nevadilo, že vaše upravená flashka mohla také dělat cokoli, protože jste ji zcela jistě používal, když jste byl k počítači přihlášen s příslušnými právy?Tím neomlouvám Intel za jeho zadní vrátka, jen trochu krotím vaši představu o tom, že se nyní něco diametrálně změní a rázem váš počítač nebude bezpečný.
Vtip je v tom, že dosud vedla cesta klasicky přes operační systém, u kterého může antivir kontrolovat, co se z USB láduje. Tady se OS vůbec nedostane k lizu. ME běží na ringu -3, OS na 0.https://www.zive.cz/Client.Gallery/show.aspx
Já nevím, ale není už jednodušší to infikovat nějakým běžným softwarem než to tam nějak pracně lámat přes zamořená USB zařízení?
ne všechna zařízení jsou zasviněná winckama, takže u infikování pomocí SW by byli omezeni na hloupého uživatele klikače a experti by se chechatli . Navíc u SW by museli mít jistotu, že na SW omylem nepřijde antivir.
Přes USB je to na houby. To musí jít nějak udělat i po síti, hackování počítače přes USB by bylo celkem k ničemu.
USB je v podstatě SW driver přes CPU (což je obrovská nevýhoda zatěžující procesor), takže když umíš, je cesta otevřena... metoda možnosti přístupu je známa a načata.
Když už někdo získá fyzický přístup k mému PC, tak už nebude problém nabootovat z flashky? Chápu, tohle je rychlejší. Mnohem horší problém by byl, kdyby toto ME mělo přítup k TPM a k jeho paměti. Bylo by pak možné pomocí flashky rozlousknout i zašifrovaný disk.
Názor byl 2× upraven, naposled 10. 11. 2017 19:10
Je otázkou času, než se místo hacku přes USB povede hack přes RJ-45.
+1..nejlepší by bylo donutit intel udělat k tomu v biosu přepínač "ME legacy mode", kterej přepne na záložní (ne-cpu) management..B-]
Takze to znamena, ze vsechny CPU od Intelu obsahuji neopravitelnou vyrobni vadu?Co to znamena pro obycejneho cloveka? Ano, moznost jak vratit smejd-intel v zarucni dobe, reklamovat 3x za sebou, vzit si prachy a koupit si poradne AMD, ktere neni lepene nejakou smejdskou pastou, podava lepsi vykon, stoji mene penez a taky mene zere.
Méně žere? To myslíte vážně? AMD CPU mají nejvyšší TDP ze všech procesorů.
Ty jsi zaspal dobu, chlapče, co?
Nečerpá náhodou z IME technologie AMT (Intel vPro) pro vzdálené ovládání PC např. ve firmě? Bez samostatně funkčního čipu a ME by toto asi možné nebylo...
Intel ME je nezávislý na systéme. Intel vPro podporuje i5 a i7 už od výroby. Taktiež niektoré i3.
Teď můžeme jedině kupovat AMD. Tam je sice taky "Secure Processor" což je v principu to samé, jen se to jinak jmenuje, ale ten zatím prolomený nebyl.
Chtěl jsi napsat: vůbec netuším jestli ho zatím někdo neprolomil...
No, pokud někdo se zlými úmysly získá fyzický přístup k mému PC v mém domě, tak mám myslím docela jiný problém než jen nějaký počítačový virus 😃Hlavně aby nebyla nějaká extra velká zranitelnost zneužitelná z internetu...
Bohate staci kdyz kdokoliv z rodiny zastrci cokoliv do USB, nemuzete vedet co vse se stane. Veci do usb uz je celkem dost
to nemusi bejt ani nikdo z rodiny, to staci aby sel v praci nekdo kolem kompu nebo nekde zahodit na ulici flashku. treba by moh Babis zaridit elektronicky volby a rozdavat zadarmo flashky mist koblih :)
Nebo to nemusí být cizí flashka, klidně to může být flashdisk z Alzy.
Nejde o metodu přes USB. Jde o to, že už znají celý systém a je jen na "mozcích", jak dál metodu průniku zdokonalovat. USB je jen "rozhraní", vše jde přes CPU.Samozřejmě, běžný "user" nebude cílem.
a proč nemít pod kontrolou všechny PC? systém bude hlídat klíčová slova a dávat avízo NSA.
Právě že přes CPU to nejde. tedy ne přes to, co jako CPU berete. V inteláckym procesoru je ještě jeden procesor, na kterém jede Minix a který má na starosti mimo jiné ME. a má přístup úplně všude v PC.
treba holt kupovat amd
To samé v bledě modrém.
AMD má svoji obdobu, ale tuším že až od minulé či této generace procesorů, nejsem si jistý. Také naprosto uzavřený jednočip běžící vedle CPU a dělající kdoví co. Celkem bych rád věděl, čím Intelu i AMD vyhrožovali, aby toto vyvinuli a používali - sami pro to přece nemají důvod
Ano. Jmenuje se to AMD Secure Processor:https://www.cnews.cz/amd-neotevre-svou-analogi...
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.