A je to! Hackeři dokázali otevřít zadní vrátka do procesorů Intel

Až taková pr.ča to nebude. Už protože ti rovnější (NSA) mají od Intelu nástroj na vypnutí ME.
https://www.theregister.co.uk/2017/08/29/intel_manageme...

Autor článku použil zcela zavádějící formulace, které, jak vidím, některé lidi úplně zmátlo.
Nejde o to, že by napadení počítače muselo nutně probíhat z nějakého USB-disku. Problém je v tom, že je JTAG připojeno k USB-sběrnici, tedy počítač může takto napadnout jakýkoliv programový kód, který dokáže ovládat USB-sběrnici a obejít ochranné mechanismy. Tedy je jedno, jakou cestou a odkud se do počítače dostane a z jakého místa bude spuštěn. Samozřejmě, jedna z možností je strčit do PC zavirovanou flešku, ale stejně tak může škodlivý kód přijít mailem nebo přes zavirovanou WWW stránku.

zadní vrátka na takové úrovni jsou už docela zadním problémem

Pokud se někdo nabourá s venčí do nějakého PC, co mu brání aby do zařízeni které je připojené na USB nezavlekl kód, který tyhle zadní vrátka otevře? Třeba přes externí disk.

Pokud to je pravda, tak snad již brzo bude možné stáhnout patch, který tuto zbytečnou a jak vidno nebezpečnou část procesoru natrvalo vypne. Je otázkou zda ten patch bude oficiální od intelu a nebo neofiko od komunity.

Klidek. Intel Management Engine jde vyradit z provozu, existuji k tomu minimalne dve utility, ktere jsou popsany zde:https://puri.sm/posts/deep-dive-into-inte... Asi to neni uplne bez rizika, ale pokud opravdu potrebujete chranit citliva data, tak vas tech par tisic za umrtveny procesor nezajima.

Tak infikovaná fleška je dneska běžně dostupná, stačí přepsat firmware a u některých to jde celkem snadno. Taková fleška, co se po čase neaktivity začne chovat jako klávesnice a spustí si backdoor...Takže nahrávat něco do paměti s ASLR nemá úplně smysl, horší bude, až bude možné z paměti vytáhnout třeba šifrovací klíče k disku, tam se ale bude narážet na rychlost a kapacitu...

Možná, že se všichni ptají proč v Intel procesorech to ME vlastně je. Je tam proto, že se takto odesílají tvůrcům procesorů Intel všechny informace o práci těchto procesorů a tyto údaje pak slouží k vytvoření ještě lepších procesorů. Nebo si snad myslíte, že Intel bude tyto procesory dlouhodobě provozovat ve své firmě aby takové údaje získala? Ale kde že. Všichni vlastníci procesorů Intel slouží jako beta testeři těchto procesorů. Kdyby Intel chtěl přes ME škodit, tak by to přece již dávno udělal. A třeba je vše zcela jinak a ME je mimozemská technologie, která řídí procesory a bez níž by procesory nikdy nefungovali. Vyberte si co je pravdědobnější.

Tak obecně se dá říci, že všechno lze udělat nebo prolomit. Ale ...
Intel ME slouží hlavně pro vPro, tzn. speciální aplikace, speciální bezpečnost atd.
Většina zde diskutujících nejspíš neměla dosud potuchy o existenci vPro (procesory např. 73xx), a v reálném životě tuto technologii jen velmi malá část viděla při používání.
Bezpečnost počítače je třeba brát v širším kontextu a ne pouze vytrhnout část a s tím laborovat a dělat senzaci.
vPro má vzdálený přístup do UEFI, tzn. uživatel nemá (nepotřebuje) přístup do UEFI. Nemůže tedy ovlivnit (vypnout) TPM, SecureBoot, CompuTrace, PIN pro boot, zapnout kameru nebo USB porty prostě to co vyžaduje korporátní bezpečnostní politika.

WPA šifrování taky nikdo na WIFI už nepoužívá, protože lze prolomit tak snadno, jako otevřít láhev piva. Tahle šaškárna přes USB je jenom začátek. Intel by měl okamžitě zjednat nápravu, nebo jít do ( ).( ) .

Všechny ty řeči "když se někdo dostane fyzicky k mému PC, aby mohl zastrčit flashku..." jsou krásnou ukázkou nepochopení. On to totiž nemusí být vůbec nikdo cizí, můžete si tam tu flashku nebo cokoli jiného zastrčit sami. Může to být vaše příští myš, klávesnice, externí disk... Naprosto cokoli, co si koupíte a u čeho nemáte žádnou kontrolu, co tam reálně výrobce zabudoval (a co klidně nemusí vědět ani samotný výrobce, pokud to dotáhneme dostatečně paranoidně).Jistě, ta pravděpodobnost je mizivá, stejně jako u většiny podobných útoků, podstatné na tom ale je, že opravdu není potřeba, aby k vašemu počítači měl přístup někdo cizí. Můžete si tam upravené zařízení připojit klidně vy sami, aniž byste to věděli.Pro útočníka by pak úplně stačilo, aby se pak napadené zařízení někdy ozvalo... Jakmile má kontrolu nad CPU, sítí, pamětí, může už přidat naprosto cokoli připravené přesně na používaný systém. Klidně kdykoli v budoucnu...

Názor byl 1× upraven, naposled 10. 11. 2017 20:04

Přes USB je to na houby. To musí jít nějak udělat i po síti, hackování počítače přes USB by bylo celkem k ničemu.

Když už někdo získá fyzický přístup k mému PC, tak už nebude problém nabootovat z flashky? Chápu, tohle je rychlejší. Mnohem horší problém by byl, kdyby toto ME mělo přítup k TPM a k jeho paměti. Bylo by pak možné pomocí flashky rozlousknout i zašifrovaný disk.

Názor byl 2× upraven, naposled 10. 11. 2017 19:10

Takze to znamena, ze vsechny CPU od Intelu obsahuji neopravitelnou vyrobni vadu?Co to znamena pro obycejneho cloveka?
Ano, moznost jak vratit smejd-intel v zarucni dobe, reklamovat 3x za sebou, vzit si prachy a koupit si poradne AMD, ktere neni lepene nejakou smejdskou pastou, podava lepsi vykon, stoji mene penez a taky mene zere.

Nečerpá náhodou z IME technologie AMT (Intel vPro) pro vzdálené ovládání PC např. ve firmě? Bez samostatně funkčního čipu a ME by toto asi možné nebylo...

Teď můžeme jedině kupovat AMD. Tam je sice taky "Secure Processor" což je v principu to samé, jen se to jinak jmenuje, ale ten zatím prolomený nebyl.

No, pokud někdo se zlými úmysly získá fyzický přístup k mému PC v mém domě, tak mám myslím docela jiný problém než jen nějaký počítačový virus :DHlavně aby nebyla nějaká extra velká zranitelnost zneužitelná z internetu...

treba holt kupovat amd