neo80 Δημοσ. 5 Απριλίου Δημοσ. 5 Απριλίου (επεξεργασμένο) Από το 2008, τα περισσότερα chipset της Intel περιείχαν έναν μικροσκοπικό υπολογιστή που ονομάζεται "Management Engine" (ME). Το ME είναι ένας σε μεγάλο βαθμό μη τεκμηριωμένος κύριος ελεγκτής για την CPU σας: λειτουργεί με το υλικολογισμικό του συστήματος κατά την εκκίνηση και έχει άμεση πρόσβαση στη μνήμη του συστήματος, την οθόνη, το πληκτρολόγιο και το δίκτυο. Όλος ο κώδικας μέσα στο ME είναι μυστικός, υπογεγραμμένος και ελέγχεται αυστηρά από την Intel. Την περασμένη εβδομάδα, τα τρωτά σημεία στη μονάδα Active Management (AMT) σε ορισμένες Μηχανές Διαχείρισης έχουν προκαλέσει πολλά μηχανήματα με επεξεργαστές Intel να είναι καταστροφικά ευάλωτα σε απομακρυσμένους και τοπικούς εισβολείς. Ενώ το AMT μπορεί να απενεργοποιηθεί, προς το παρόν δεν υπάρχει τρόπος να απενεργοποιήσετε ή να περιορίσετε τη Μηχανή Διαχείρισης γενικά. Η Intel χρειάζεται επειγόντως να παράσχει ένα. Αυτή η ανάρτηση θα περιγράψει τη φύση των τρωτών σημείων (ευχαριστώ τον Matthew Garrett που τα κατέγραψε καλά) και την πιθανότητα παρόμοιων σφαλμάτων στο μέλλον. Το EFF πιστεύει ότι η Intel πρέπει να παρέχει ένα ελάχιστο επίπεδο διαφάνειας και ελέγχου από τον χρήστη των Μηχανών Διαχείρισης εντός των υπολογιστών μας, προκειμένου να αποφευχθεί η επανάληψη αυτής της καταστροφής στον κυβερνοχώρο. Αν δεν συμβεί αυτό, ανησυχούμε ότι μπορεί να μην είναι σκόπιμο να χρησιμοποιηθούν επεξεργαστές Intel σε πολλά είδη συστημάτων υποδομής ζωτικής σημασίας. Τι είναι το AMT; Πώς είναι ευάλωτο; Δεν είναι κάθε μηχανή επιρρεπής στην επίθεση. Για να λειτουργήσει, το AMT πρέπει να είναι ενεργοποιημένο και εφοδιασμένο (συνήθως το AMT είναι ενεργοποιημένο αλλά δεν παρέχεται από προεπιλογή). Μόλις παρασχεθεί, το AMT έχει ορίσει έναν κωδικό πρόσβασης και ακούει πακέτα δικτύου και θα ελέγχει το σύστημα ως απόκριση σε αυτά.3 Μπορεί να παρέχεται από προεπιλογή εάν οι προμηθευτές χρησιμοποιούσαν μια δυνατότητα που ονομάζεται "Απομακρυσμένη διαμόρφωση" με τη ρύθμιση OEM, από έναν χρήστη με πρόσβαση διαχειριστή, διαδραστικά ή με USB stick κατά την εκκίνηση του συστήματος ή (μέσω της ευπάθειας LMS) από μη προνομιούχους χρήστες σε συστήματα Windows με LMS. Οι Mac έχουν ME, αλλά δεν αποστέλλονται με AMT καθόλου. Η προστασία με κωδικό πρόσβασης είναι ζωτικής σημασίας για μηχανήματα με παροχή AMT, αλλά η ευπάθεια αυτής της εβδομάδας επέτρεψε την παράκαμψή της. Πώς μπορούν οι χρήστες να προστατευτούν; Πολλοί οργανισμοί θα πρέπει να λάβουν μέτρα για την προστασία τους διασφαλίζοντας ότι το AMT είναι απενεργοποιημένο στο BIOS τους και ότι δεν είναι εγκατεστημένο το LMS ή ενημερώνοντας το υλικολογισμικό της Intel. Δυστυχώς, ακόμα κι αν το AMT είναι απενεργοποιημένο αυτήν τη στιγμή, αυτό δεν σημαίνει ότι μια επίθεση δεν ήταν ποτέ δυνατή - ένας εισβολέας μπορεί να είχε απενεργοποιήσει το AMT μετά την ολοκλήρωση της επίθεσης, για να κλείσει την πόρτα κατά την έξοδό του. Δυστυχώς όμως, το AMT είναι μόνο μία από τις πολλές υπηρεσίες/ενότητες που είναι προεγκατεστημένες σε Μηχανές Διαχείρισης. Η καλύτερη σύσταση που μπορούμε να κάνουμε για την αντιμετώπιση αυτής της ευπάθειας σήμερα είναι να απενεργοποιήσετε τη συγκεκριμένη μονάδα AMT, επειδή η Intel δεν παρέχει κανέναν τρόπο γενικά περιορισμού της ισχύος του ME. Αλλά τα τρωτά σημεία σε οποιαδήποτε από τις άλλες μονάδες θα μπορούσαν να είναι εξίσου επιζήμια, αν όχι χειρότερα, για την ασφάλεια. Ορισμένες από τις άλλες μονάδες περιλαμβάνουν κώδικα ελέγχου ταυτότητας που βασίζεται σε υλικό και ένα σύστημα εντοπισμού θέσης και απομακρυσμένου σκουπίσματος φορητών υπολογιστών για αντικλεπτικούς σκοπούς. Αν και αυτά μπορεί να είναι χρήσιμα σε ορισμένους ανθρώπους, εναπόκειται στους κατόχους υλικού να αποφασίσουν εάν αυτός ο κωδικός θα εγκατασταθεί στους υπολογιστές τους ή όχι. Ίσως το πιο ανησυχητικό είναι ότι υπάρχει επίσης μια μονάδα DRM που λειτουργεί ενεργά ενάντια στα συμφέροντα του χρήστη και δεν πρέπει ποτέ να εγκατασταθεί σε ένα ME από προεπιλογή. Για έμπειρους χρήστες σε μηχανήματα χωρίς Verified Boot, υπάρχει ένα έργο Github που ονομάζεται ME cleaner και μπορεί να χρησιμοποιηθεί για την απενεργοποίηση ενός Management Engine. Ωστόσο, προειδοποιήστε: η χρήση αυτού του εργαλείου έχει τη δυνατότητα να δημιουργήσει πρόβλημα υλικού και τα ενδιαφερόμενα μέρη θα πρέπει να είναι προσεκτικά πριν επιχειρήσουν να προστατεύσουν τα συστήματά τους. Μια πραγματική λύση θα απαιτήσει βοήθεια από την Intel. Τι πρέπει να κάνει η Intel για να διορθώσει αυτό το χάος. Οι χρήστες χρειάζονται την ελευθερία να επιλέξουν τι θέλουν να εκτελείται στο σύστημά τους και τη δυνατότητα να αφαιρέσουν κώδικα που μπορεί να περιέχει ευπάθειες. Επειδή η Μηχανή Διαχείρισης εκτελεί μόνο μονάδες κώδικα υπογεγραμμένες από την Intel, αυτό σημαίνει ότι έχετε έναν τρόπο να απενεργοποιήσετε το ME ή να το ανανεώσετε με ελάχιστο, ελεγχόμενο υλικολογισμικό. Ενώ η Intel μπορεί να καταβάλει μεγάλη προσπάθεια στην αναζήτηση σφαλμάτων ασφαλείας, θα υπάρχουν αναπόφευκτα τρωτά σημεία και το να κρύβονται σε ένα εξαιρετικά προνομιακό στοιχείο χαμηλού επιπέδου χωρίς ορατότητα λειτουργικού συστήματος ή αξιόπιστη καταγραφή είναι ένας εφιάλτης για την αμυντική ασφάλεια στον κυβερνοχώρο. Η σχεδιαστική επιλογή της τοποθέτησης ενός μυστικού, μη τροποποιήσιμου τσιπ διαχείρισης σε κάθε υπολογιστή ήταν τρομερή και το να αφήνουν τους πελάτες τους εκτεθειμένους σε αυτούς τους κινδύνους χωρίς εξαίρεση είναι μια πράξη ακραίας ανευθυνότητας. Αυτό που θα ήταν καλύτερο για τους χρήστες και για την ικανότητα του κοινού να ελέγχει μηχανήματα που έχουν αγοράσει θα ήταν η Intel να παράσχει επίσημη υποστήριξη για τη μείωση της επιφάνειας επίθεσης για τον περιορισμό της πιθανής βλάβης του ME. Καλούμε λοιπόν την Intel να: Παρέχετε σαφή τεκμηρίωση για τις ενότητες λογισμικού που είναι προεγκατεστημένες σε διάφορες Μηχανές Διαχείρισης. Ποιες εντολές HECI παρέχουν μια πλήρη λίστα των εγκατεστημένων μονάδων/υπηρεσιών; Ποιες είναι οι διεπαφές με αυτές τις υπηρεσίες; Παρέχουν έναν τρόπο στους πελάτες τους να ελέγχουν τον κώδικα ME για τρωτά σημεία. Αυτό είναι επί του παρόντος αδύνατο επειδή ο κωδικός διατηρείται μυστικός. Προσφέρετε έναν υποστηριζόμενο τρόπο απενεργοποίησης του ME. Εάν αυτό είναι κυριολεκτικά αδύνατο, οι χρήστες θα πρέπει να μπορούν να αναβοσβήνουν μια απολύτως ελάχιστη, ελεγχόμενη από την κοινότητα εικόνα υλικολογισμικού ME. Σε συστήματα όπου το ME είναι βασική απαίτηση για άλλες λειτουργίες ασφαλείας που είναι σημαντικές για ορισμένους χρήστες (όπως το Boot Guard), προσφέρετε μια πρόσθετη επιλογή μιας σχεδόν ελάχιστης εικόνας υλικολογισμικού ME που μπορεί να ελεγχθεί από την κοινότητα που εκτελεί αυτές τις λειτουργίες ασφαλείας και τίποτα άλλο . Ή εναλλακτικά, ένας υποστηριζόμενος τρόπος δημιουργίας και αναλαμπής εικόνων υλικολογισμικού όπου ο χρήστης μπορεί να επιθεωρήσει και να ελέγξει ποιες υπηρεσίες/ενότητες υπάρχουν, προκειμένου να διαχειριστεί τους κινδύνους ασφαλείας από αυτές τις μονάδες. Έως ότου η Intel λάβει αυτά τα βήματα, έχουμε λόγους να φοβόμαστε ότι ο μη τεκμηριωμένος κύριος ελεγκτής μέσα στα τσιπ της Intel θα μπορούσε να συνεχίσει να αποτελεί πηγή σοβαρών τρωτών σημείων σε προσωπικούς υπολογιστές, διακομιστές και κρίσιμη ασφάλεια στον κυβερνοχώρο και φυσική υποδομή. Η Intel πρέπει να ενεργήσει γρήγορα για να παράσχει στην κοινότητα μια ελεγχόμενη λύση σε αυτές τις απειλές. πηγές : https://www.eff.org/el/node/95854 www.youtube.com Επεξ/σία 5 Απριλίου από neo80 3
pirmen56 Δημοσ. 5 Απριλίου Δημοσ. 5 Απριλίου Όποιος αγοράζει αμερικάνικα προϊόντα βάζει τη CIA σπίτι του. Αντίστοιχα και για την Κίνα. Δεν υπάρχει τίποτα πραγματικά ασφαλές(π.χ. Veracrypt, Tor κτλ.) από τη στιγμή που τρέχει σε hw εταιρειών που συνεργάζονται/ελέγχονται από τις ΗΠΑ. 4
neo80 Δημοσ. 5 Απριλίου Μέλος Δημοσ. 5 Απριλίου 5 minutes ago, pirmen56 said: Όποιος αγοράζει αμερικάνικα προϊόντα βάζει τη CIA σπίτι του. Αντίστοιχα και για την Κίνα. Δεν υπάρχει τίποτα πραγματικά ασφαλές(π.χ. Veracrypt, Tor κτλ.) από τη στιγμή που τρέχει σε hw εταιρειών που συνεργάζονται/ελέγχονται από τις ΗΠΑ. Υπάρχει λύση open source και στο hardware όχι μόνο στο κομμάτι του κώδικα. Δεν ξέρω τι λες συμφωνείς; Για να μην πω επιβάλετε.
pirmen56 Δημοσ. 5 Απριλίου Δημοσ. 5 Απριλίου 1 λεπτό πριν, neo80 είπε Υπάρχει λύση open source και στο hardware όχι μόνο στο κομμάτι του κώδικα. Δεν ξέρω τι λες συμφωνείς; Για να μην πω επιβάλετε. Υπάρχει όντως open source hw; Άντε πες ότι ο σχεδιασμός είναι φανερός. Τι γίνεται με την κατασκευή; Ποιος ελέγχει τους κατασκευαστές; 1
neo80 Δημοσ. 5 Απριλίου Μέλος Δημοσ. 5 Απριλίου 1 minute ago, pirmen56 said: Άντε πες ότι ο σχεδιασμός είναι φανερός. Τι γίνεται με την κατασκευή; Ποιος ελέγχει τους κατασκευαστές; Εμείς ο κόσμος κάποιος που έχει γνώσεις τόσο σε hardware όσο και σε software (προγραμματισμό). Και φυσικά οι εταιρείες antivirus όπως kaspersky, bitdefender, mcaffe κτλ. Εγώ πάντως μετά απο αυτό ποτέ ξανά intel μόνο AMD και αυτή υπο προϋποθέσεις
neo80 Δημοσ. 5 Απριλίου Μέλος Δημοσ. 5 Απριλίου 5 minutes ago, pirmen56 said: Ποια open source chips ξέρεις; αυτό λέω ότι δεν υπάρχει open source επιβάλετε να δημιουργηθεί όμως.
pirmen56 Δημοσ. 5 Απριλίου Δημοσ. 5 Απριλίου 11 λεπτά πριν, neo80 είπε αυτό λέω ότι δεν υπάρχει open source επιβάλετε να δημιουργηθεί όμως. Μόνο low end chips και πάλι δύσκολο το ελέγξεις.
dpolal Δημοσ. 5 Απριλίου Δημοσ. 5 Απριλίου 49 λεπτά πριν, neo80 είπε αυτό λέω ότι δεν υπάρχει open source επιβάλετε να δημιουργηθεί όμως. Υπάρχει open source εδώ και αιώνες. Άβακας λέγεται. 2 2
jgeorgiou Δημοσ. 6 Απριλίου Δημοσ. 6 Απριλίου Στις 5/4/2024 στις 5:55 ΜΜ, neo80 είπε ποτέ ξανά intel μόνο AMD τωρα τον έδεσες τον γαιδαρο σου , κράτα τον σφικτα 1
cpc464 Δημοσ. 7 Απριλίου Δημοσ. 7 Απριλίου Οποιός νομίζει οτι μόνο η Intel έχει τέτοια λειτουργία ας ψάξει τι είναι το psp (Platform Security Processor) της AMD, δεν υπάρχει μεγάλη εταιρεία που να μήν έχει κάποιο είδος backdoor στο pc μας, "για το καλό μας" πάντα, αυτή είναι η πικρή αλήθεια και ο λόγος που Ρωσσία και Κίνα ανέπτυξαν cpu για τα κρατικά data center τους. 4
J0hn82 Δημοσ. 7 Απριλίου Δημοσ. 7 Απριλίου Παιδιά ήμαρτον… Σε μεγάλες εταιρείες δεν μπαίνει ούτε server ούτε pc που να μην έχει monitoring & remote control χαρακτηριστικά. Δουλειά του IT δεν είναι ούτε να νταντεύει κάθε σύστημα ούτε να τρέχει να κάνει εγκαταστάσεις λογισμικού κλπ. Όλα αυτά γίνονται αυτοματοποιημένα με πλατφόμες όπως το Microsoft System Center ή τα αντίστοιχα της HP κλπ. Κουμπώνεις το hardware στο δίκτυο και τέλος. Το ότι υπάρχουν bugs, και κενά στην ασφάλεια είναι αυτονόητο οπότε λαμβάνονται και τα απαραίτητα μέτρα ασφάλειας με το ελάχιστο να είναι αυτά να τρέχουν σε δικό τους δίκτυο μόνο για τη διαχείρηση. Οπότε Intel & AMD παρέχουν την υποδομή για να μπορούν να γίνουν τα παραπάνω. Το πρόβλημα εδώ είναι ότι στις περιπτώσεις που δεν χρειάζεται όπως σε οικιακή χρήση να μπορεί να κλείσει αυτή η δυνατότητα για να μην χρειάζεται να αντιμετωπίσει κανείς τις αδυναμίες τους. Μειώνεις το attack surface, security basics…
ICE-T Δημοσ. 11 Απριλίου Δημοσ. 11 Απριλίου να μου δειξετε ενα εδω μεσα που ειχε προβλημα απο επιθεση σε οικιακο υπολογιστη τοσο σε intel οσο και σε amd ,ελεος ,τι αλλο θα ακουσουμε . 1
Eloy Δημοσ. 12 Απριλίου Δημοσ. 12 Απριλίου (επεξεργασμένο) On 05/04/2024 at 17:55, neo80 said: ... Εγώ πάντως μετά απο αυτό ποτέ ξανά intel μόνο AMD και αυτή υπο προϋποθέσεις Ρε συ, με την Ιντελ ξέρεις με τι μπορεί να σε παρακολουθεί και να ψάξεις να βρεις τρόπο να το παλέψεις... Με την AMD απλά δεν ξέρεις ακόμα... Επεξ/σία 12 Απριλίου από Eloy
neo80 Δημοσ. 30 Απριλίου Μέλος Δημοσ. 30 Απριλίου On 11/04/2024 at 11:27, ICE-T said: να μου δειξετε ενα εδω μεσα που ειχε προβλημα απο επιθεση σε οικιακο υπολογιστη τοσο σε intel οσο και σε amd ,ελεος ,τι αλλο θα ακουσουμε . 1ον Δεν θα το πάρεις πρέφα ούτε εσύ ούτε το antivirus, μόνο αν χρησιμοποιήσεις το wireshark!! 2ον Γιατί η NSA ζήτησε απο την ιντελ να είναι απενεργοποιημένο το intel me οεο? 3ον Γιατί η Ρωσία έδιωξε όλες της μεγάλε Αμερικάνικες εταιρείες; 2
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα