Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers verkrijgen toegang tot Intel Management Engine via usb

Onderzoekers van het beveiligingsbedrijf Positive Technologies zeggen volledige toegang tot de Intel Management Engine te hebben verkregen via usb. Zij deden dit met behulp van jtag debugging.

In een Engelse vertaling van hun oorspronkelijke blogpost schrijven de onderzoekers dat hun ontdekking betekent dat er via elke usb 3.0-poort toegang mogelijk is tot jtag debugging via dci. Die laatste techniek, ook wel bekend als Intels Direct Connect Interface, is een van drie manieren om toegang te krijgen tot deze manier van debugging, die vergaande toegang toestaat. Dci is aanwezig bij Intel-processors vanaf de Skylake-generatie, aldus de onderzoekers.

De Intel Management Engine is een aparte microcontroller die deel uitmaakt van de Platform Controller Hub, oftewel pch,van Intel-cpu's, die toegang heeft tot de communicatie tussen cpu en randapparaten. Deze aparte processor werkt los van de cpu zelf en is daarom toegankelijk als de cpu zelf is uitgeschakeld. Als kwaadwillenden toegang krijgen tot de Management Engine, betekent dit volgens de onderzoekers dat een systeem volledig overgenomen kan worden.

Ze zijn van plan om een dergelijke aanval in december op een beveiligingsconferentie te demonstreren, waarbij ze ongesigneerde code draaien op de pch op elk moederbord dat Skylake of later ondersteunt. Daarbij blijft het systeem stabiel, waardoor een doelwit niets hoeft te merken. Malware die deze techniek toepast, kan blijven bestaan ondanks herinstallaties of bios-updates. De precieze details ontbreken bij de huidige ontdekking dus nog.

De onderzoekers van Positive Technologies kwamen er eerder achter hoe de Intel Management Engine uit te schakelen is. Deze wordt door critici ook wel als backdoor aangeduid en Google werkt aan een vervanging. Ook kwamen ze erachter dat het systeem op een aangepaste versie van Minix draait. Daarvan wist Minix-ontwikkelaar Andrew Tanenbaum niets af, zo schreef hij deze week in een reactie.

Tweet van een van de onderzoekers naar aanleiding van de ontdekking

Door Sander van Voorst

Nieuwsredacteur

09-11-2017 • 12:00

106 Linkedin Google+

Submitter: Jelle_D

Reacties (106)

Wijzig sortering
Omdat dit de Intel Management Engine is, is dit alleen van toepassing op Intel-processoren en moederborden, toch? Ik heb het niet heel goed gevolgd, maar nu er een concrete aanval mogelijk is zou ik een overstap naar #TeamRood sterk overwegen.
zie: http://www.amd.com/en-us/...are-technologies/security
AMD heeft het ook het zij in een iets ander jasje. Echter is hier zo snel niet echt iets verder over te vinden. Het lijkt in ieder geval een stuk minder extreem te zijn dan Intel ME

mocht je zin hebben in huiswerk. https://genode.org/documentation/articles/trustzone
hier wordt uitgelegd hoe Trustzone ongeveer werkt.

[Reactie gewijzigd door coolkil op 9 november 2017 12:34]

AMD was wel later met een dergelijk systeem dan Intel. Als je nog op een AMD FX-processor werkt, dan heb je geen AMD PSP unit op je moederbord. De AMD FX-serie is daarmee de meest krachtige hardware die je kunt gebruiken zonder management engine achtig systeem :)

AMD heeft daarnaast beloofd te gaan kijken naar het openen van hun PSP. Maar goed, dat zijn alleen nog beloftes.
In een eerdere reactie liet AMD dat ze geen plannen hebben om de PSP van Ryzen openbaar te maken, afaik. Ik zal even zoeken of ik het kan vinden.

Edit: Inderdaad niet:
https://hothardware.com/n...m-security-processor-code
https://www.reddit.com/r/...g_their_psp_code_anytime/

[Reactie gewijzigd door fiftyhillswest op 9 november 2017 15:31]

Ik vroeg me af of Oracle of IBM ook een dergelijk systeem in de Sparc M9 of POWER9 hebben gebouwd
jazeker bij veel IBM systemen komt in ieder geval een complete computer mee wat ze noemen: het HMC( Hardware Management Console) deze wordt gebruikt voor het inrichten van logische partities en biedt ook een console (directe toegang) in die partities. hier kun je echter als gebruiker gewoon op inloggen. draait overig sinds op os/2
Geen aangepaste OS/2 versie meer, maar al jaren Linux:

zie: https://www.ibm.com/suppo...partitioningwithanhmc.htm

The PowerVM NovaLink architecture enables management of highly scalable cloud deployment by using the PowerVM technology and OpenStack solutions. The architecture provides a direct OpenStack connection to a PowerVM server. The NovaLink partition runs the Linux operating system and the partition runs on a server that is virtualized by PowerVM. The server is managed by PowerVC or other OpenStack solutions.

en https://en.wikipedia.org/...rdware_Management_Console
ah weer wat geleerd :*)
Ja. Ik had eigenlijk moeten zeggen dat AMD FX het laatste gangbare platform was dat dit kon.

Je kunt namelijk ook de Talos II preorderen van Raptor Engineering. In verschillende configuraties te krijgen: de goedkoopste optie is een moerderbord met daarop een enkele quadcore IBM POWER9. Waarschijnlijk krachtiger dan de FX, heeft 16 DDR4-geheugenbankjes en 5 PCI-E 4.0 slots, draait Power-varianten van verschillende Linux-distro's en geen management engine-achtige taferelen. Voor maar $2300 voor moederbord + processor alleen...
Ik weet het niet of dit klopt voor alle FX processors. De website van AMD is nogal vaag hierover. Volgens mii is dit expres gedaan

Nergens staat dat de FX-9590 geen PSP heeft. Bij de Athlon X4 880K staat er ook niks over terwijl de Kaveri core wel degelijk PSP heeft, maar dit is alleen door externe bronnen te achterhalen, nergens op de website van AMD kun je dit zien.
Juist AMD's samenwerking met ARM over Trustzone is wat er voor zorgt dat hun PSP momenteel niet opensource is. Ze kunnen namelijk niet andermans werk opensource stellen. Mogelijk is daar wel over te onderhandelen. Maar ik weet niet hoe ver ze bereid zijn daarin te gaan, puur voor goede pers.

[Reactie gewijzigd door Ghostier op 9 november 2017 13:45]

Het gaat om meer dan om goede pers. Mensen vertrouwen IME gewoon niet en overheden willen er al helemaal niets van weten. Ik denk dat het een goede commerciële move zou zijn om het allemaal te open-sourcen. Immers, "security through obscurity" werkt toch niet, dat is al meerdere malen bewezen.
Ne hoor. Het is een goede maatschappelijke move. Of het een goede commerciele move is moeten ze afwegen. En dat goede pers heeft voor een bedrijf alles met dat vertrouwen te maken.
Je hebt daarin gelijk, dit geld alleen voor Intel. Er zijn al langer geluiden vanuit de AMD community om de PSP (Platform Security Processor) open-source te maken om dit soort dingen te kunnen voorkomen en mogelijk zelfs te fixen. Voor zover ik heb begrepen staat AMD er wel positief tegenover echter beheren ze niet de complete PSP aangezien er onderdelen van ARM in zitten en via die licentie kunnen ze niks opensource maken.
Dit is inderdaad voor Intel ME ja, het probleem is alleen dat AMD ook zijn eigen ME (achtige chip) heeft genaamd de PSP.

Overstappen heeft dus in theorie weinig nut, het is alleen omdat ME nu het meest in beeld komt, blijft PSP het meeste onder de radar.
Moeserborden met Intel chipset en/of de Intel Management Engine functie erop. ;)
tjah, was te verwachten ... daarom is het ook zo freaking belangrijk dat fouten/leks bekend gemaakt worden - en dus gefixed. Want wie zegt dat jij de enige bent die de sleutel heeft of deurtje kan openen ..... :N :F *zucht*

//edit; het is nu simpel gezegt "er komt geen intel hardware hier meer binnen" maar hoe zit het met andere fabrikanten, als bijv. een amd

[Reactie gewijzigd door himlims_ op 9 november 2017 12:43]

Wat belangrijker is dan het fixen van fouten in code die bijna niemand gebruikt, is het kunnen verwijderen van deze code. Ik zit niet te wachten op Intel ME en zal een van de eersten zijn die het er af pleurt wanneer er een stabiele verwijdermethode komt die geen flinke kans heeft om je hardware te bricken.
Er is echt nood aan meer open hardware. Zeker nu crypto currencies langzaam hun opmars aan het maken zijn. Hardware is nu al zo complex en zo krachtig met zo een overvloed aan resources dat je machines binnen machines kunt draaien. Neem een normale harde schijf bijvoorbeeld. Zit een processor in, kun je linux op draaien. Heeft een tweaker ooit voor elkaar gekregen.

Gelukkig worden die hardware "black boxes" altijd uiteindelijk gekraakt. Maar als het nu allemaal wat meer open en transparant is dan is het makkelijker uit te vogelen of je eigen systeem nu veilig is of niet. Voor de gewone computer gebruiker allemaal niet zo erg interessant maar sommige mensen hebben een systeem nodig dat ze kunnen vertrouwen.
Misschien is dit iets voor AMD. Die hebben nu wat momentum met een nieuwe reeks processoren. Als zij nu er voor kiezen om volledig transparant te worden op dit vlak, dan kunnen ze daar ook extra stappen in maken!
Heeft AMD eigenlijk iets vergelijkbaars in hun processoren/moederborden als deze backdoor van Intel?
Ja, AMD PSP (Platform Security Processor).

Bron: https://libreboot.org/faq.html#amd
Best wel jammer! Ze hebben het daar over DRM; zou dat er echt mee te maken hebben / de reden zijn dat dit überhaupt bestaat?
Ze zijn er wel over aan het nadenken om daarin te verbeteren en/of opensource te maken als ik het me goed herriner uit een reddit live Q&A. Maar zomaar broncode er van releasen was volgensmij ook niet veilig.
Volgens deze post op reddit wel. Nog een hele discussie met bronnen daaronder. AMD trustzone op een ARM kern

https://www.reddit.com/r/...ave_something_like_intel/

[Reactie gewijzigd door Bastian1 op 9 november 2017 13:49]

Best wel jammer! Anders zou ik zeker voor AMD zijn gegaan. En dan ook nog met gesloten software van een derde partij erop...
Voor de gewone computer gebruiker allemaal niet zo erg interessant maar sommige mensen hebben een systeem nodig dat ze kunnen vertrouwen.
Ik denk dat de meeste mensen het erg vinden want, doordat ze toegang hebben tot IME, is het dus nog makkelijker om iemands laptop/pc te ruïneren. Desnoods de gehele BIOS verwijderen, kunnen mensen ook niks met hun machine doen en zijn hun data ook kwijt. Iedereen vertrouwd op hun machine die zij hebben gekocht.

Het is wachten totdat de hack uitgevoerd wordt bij een hoge instantie/overheid/scholen/energiecentrales enz. Dan pas zal er actie worden ondernomen, omdat het dan wel gevaarlijk wordt en er levens op het spel staan. Ik juich het niet aan dat er wordt gehacked op een verkeerde manier, maar als het voor onderzoek is en er mensen wakker geschud worden, dan vind ik het wel goed.

Tegenwoordig komt het op neer dat je steeds minder dingen kan vertrouwen (nee, ik heb geen alu hoedje op). IoT devices die slecht beveiligd zijn en dus een makkelijke prooi zijn voor hackers en botnets, cpu's waar de beveiliging blijkbaar niks voorstelt en steeds meer apparaten krijgen een vorm van draadloze communicatie.

Pas als het één keer goed fout gaat, wordt er gevraagd waarom er niet eerder gewaarschuwd is. Want blijkbaar is gebruiksgemak (simpele wachtwoorden, geen encryptie, soms plain tekst naar server of internet) meer belangrijk dan de beveiliging (lange wachtwoord of passphrase, sterke vorm van encryptie ook naar de server toe) van een device. En oh, het mag natuurlijk niet te veel kosten, omdat niet iedereen x aantal euro's wil betalen voor een device...
Probleem is dat veel betalen heel vaak niets uit maakt omdat de beveiliging zelf gewoon niet goed is. Ook wat nu veilig is, kan morgen compleet onveilig zijn. Beveiliging is allemaal niet zo simpel als een hoop mensen denken. En dat maakt het problematisch.
Desnoods de gehele BIOS verwijderen, kunnen mensen ook niks met hun machine doen en zijn hun data ook kwijt.
Het BIOS staat los van de data hoor. Gewoon de HD of SSD uit de conputer trekken en op een andere aansluiten, en door.
Ik qua drivers en dergelijke kan ik het hier erg mee eens zijn. Al die gesloten hardware is totaal niet goed voor compatibiliteit. Dingen werken gewoon niet goed. Als standaard huis-, tuin-, en keukengebruiker met een standaard Windows installatie heb je er misschien niet zo last van, maar ga er echt iets mee doen, en je loopt toch wel een keer ergens tegen aan.
Leuk als hardware wat open zou zijn, maar in veel gevallen zie je dat het toch niets uit maakt, er is niemand die zin heeft om uberhaupt tijd te steken in het verbeteren van die drivers. Naast dat het ook niet altijd mogelijk is vanwege patenten. open is dus lang niet altijd echt interessant, het idee is wel interessant, maar de praktijk wijst anders uit.
Natuurlijk maar dan krijg je vanzelf dat mensen flocken naar open dingen zoals je ziet met dingen als LEDE.
Zelf heb ik toevallig zelfs een router uitgekozen aan de hand van LEDE-ondersteuning. Ik had bepaalde functionaliteit nodig die niet in alle routers ingebakken zit.
Ik heb op het moment 3 'ziggo' c7 ac1750 archers (gewoon tplink rebranded) die lede draaien in een mesh netwerk, totaal kosten: 90 euro. idioot voordelig.
Netjes. Ik heb dezelfde, maar dan los gekocht en niet rebranded.

Laatste tijd heb ik wel WiFi problemen, though. Verbinding is niet geheel stabiel. Het lijkt wel uit te maken wat voor LEDE ik precies draai. Misschien dat het aan zijn eind is. Hij heeft het wel altijd goed gedaan. Maar het feit dat het met een aangepaste LEDE beter werkt is dan wel weer raar.

[Reactie gewijzigd door Amanoo op 10 november 2017 00:36]

Was te verwachten?

Tot op heden wist niemand buiten Intel om dat er minix op moederboard chipset draaide.... en helemaal al niet dat je er via USB drie in debug mode bij kan.

De graag is hoeveel memory dat minix systeem heeft. Of het te vervangen is en of het te patchen is.

Tot op heden hoor je weinig vanuit Intel, terwijl je van hen ondertussen had mogen verwachten dat ze met oplossingen zouden uitkomen zodat toekomstige ontdekkingen zoals dit USB 3 verhaal geen gevolgen hebben.

Als je nu een USB 3 device koopt weet je nooit of je naast de functionaliteit waar je het voor gekocht hebt (muis/keyboard/usb stick/wifi/bluetooth/printer etc.. etc...) je gratis monitoring krijgt van e.a. bedrijf/overheid.....
Even een domme vraag, maar wat draait er nu precies op het moederbord, en wat in de processor zelf?
De IME en de USB DCI draaien op je CPU zelf, je moederbord staat hier in principe los van.
Ja, want hij heeft het fout:
The Intel Management Engine (ME) is a subsystem that appears in many of Intel's line of computer processors.
Bron: Wikipedia
In dat artikel staat wel iets vreemds:
Research by Youness Alaoui found that Intel delivers the processors to manufacturers with the Intel ME turned off and the ability to permanently set changes at a later date.
Hoezo levert Intel processors aan fabrikanten? Intel maakt zijn processor, het eindproduct, toch zelf? Gaat het misschien de secondaire processor, die in het moederbord zit en die Intel zelf maakt maar levert aan de fabrikanten van moederborden?

[Reactie gewijzigd door Cerberus_tm op 10 november 2017 15:31]

Hoezo levert Intel processors aan fabrikanten? Intel maakt zijn processor, het eindproduct, toch zelf?
Hoe moeten computerfabrikanten anders aan Intel processors komen? En ja, Intel maakt zelf HUN eindproduct; processors. Voor conputerfabrikanten is de processor echter een halffabrikaat.
Wat voor de één een afgerond product is wil nog niet zeggen dat dat voor iedereen zo is.
Dat is inderdaad mogelijk. Maar toch ben ik nog niet helemaal overtuigd: op andere plaatsen kreeg ik ook de indruk dat het gebeuren in de chipset zit, en ik vind Wikipedia niet helemaal duidelijk. Is dat jouw enige bron, of hoe weet jij dit? Ik ga proberen meer bronnen te vinden en/of een vraag te stellen op Stack Exchange.

Edit: volgens mij gaat het toch echt over een microprocessor in het moederbord, zie citaten en bronnen hieronder.

[Reactie gewijzigd door Cerberus_tm op 11 november 2017 01:25]

CPU gaat gepaard met chipset.

Vroeger had je een CPU en kon je kiezen uit chipsets die niet van zelfde fabrikant hoefde te zijn.

Nu is keuze vaak beperkt (of geen) alleen voor server boarden zie je voor server CPU dat chipset anders is.

In het geval van Intel zijn de meeste systemen in de afgelopen 15 jaar geleverd met dienst chipset en daarin zit dus een eigen CPU met OS die men voor remote management kan gebruiken.

https://nl.m.wikipedia.org/wiki/Northbridge
Dus deze Management Engine zit op een chip van Intel die in het moederbord geïntegreerd zit (de zogenaamde chipset), en niet in de processor?
Klopt niet. De IME zit in de processor, niet in de chipset.
Het is verwarrend. Zie hier:
Comprising a fully-functional processor, memory, ROM and network interface, the IME, built inside the CPU chipset, became supreme overseer of the rest of the system.
http://www.idgconnect.com...rrying-chip-vulnerability
For those who don't know, for various processor chipset lines, Intel's Management Engine sits inside the Platform Controller Hub, and acts as a computer within your computer.
https://www.theregister.c...r_closer_listen_dump_ime/
There isn't much public knowledge of the workings of the ME, especially in its current state. It's not even clear where the hardware is physically located anymore.
https://m.slashdot.org/story/333471

[Reactie gewijzigd door Cerberus_tm op 10 november 2017 15:53]

Je dient even de onderzoekers site moeten bekijken het gaat om de PCH. Dat is niet cpu zelf.
Intel Management Engine (ME)
Introduced in June 2006 in Intel’s 965 Express Chipset Family of (Graphics and) Memory Controller Hubs, or (G)MCHs, and the ICH8 I/O Controller Family, the Intel Management Engine (ME) is a separate computing environment physically located in the (G)MCH chip. In Q3 2009, the first generation of Intel Core i3/i5/i7 (Nehalem) CPUs and the 5 Series Chipset family of Platform Controller Hubs, or PCHs, brought a more tightly integrated ME (now at version 6.0) inside the PCH chip, which itself replaced the ICH. Thus, the ME is present on all Intel desktop, mobile (laptop), and server systems since mid 2006.
https://libreboot.org/faq.html#intel
Dat klinkt inderdaad wel betrouwbaar. Van Libreboot weten we tenminste zeker dat ze er verstand van hebben.

Ik vraag me af waarom Tommy zo stellig het tegendeel beweert en Wikipedia zo onduidelijk is (iets anders suggereert). Ik heb ook wel op andere plaatsen de suggestie gelezen dat het toch in de normale processor zit, maar dat kan op een misverstand berusten doordat het in een andere, secundaire processor zit in de chipset (als ik Wikipedia moet geloven). (Het woord "chipset" vind ik sowieso extreem slecht gekozen en makkelijk tot verwarring leiden als je het niet al weet.) Ten laatste vraag ik me af waarom dat artikel op Slashdot openlijk zegt dat het niet helemaal zeker is waar het zit.
Ah, ja, nu herinner ik me die pagina al eens te hebben gezien. Daar zeggen ze ook de Platform Controller Hub (dus de chipset in het moederbord).
PCH is chipset niet de cpu zelf.
Hoe weet jij zo zeker dat niemand buiten Intel dit wist ? Ik zou er geen geld op durven zetten.
Management van client/server op intel platform was wel bekend.

Maar de details niet. Dat een CIA/NSA het wel weten aldaniet dankzij Intel zou me niets verbazen.

Het is heel voordelig om 1 universele manier te hebben om meest gebruikte hardware platform te kunnen benaderen.
Team Rood doet het net zo goed, dus dan komt er helemaal geen hardware meer binnen. Beiden zijn ze overigens niet de eerste of de laatste die dit soort meuk heeft ingebakken.
Je moet je beseffen dat het gewoon een feature is, die ook gewoon gebruikt wordt voor remote management. Je kan er in sommige gevallen aardig goed een out-of-band management oplossing van je server fabrikant mee vervangen. En dingen als AMT en dergelijke zijn dan ook volledige te configureren om allerhande handige dingen te doen als jee een intel server farm wilt managen. (Op een lokale machine, Ctrl-P om de ME configurator te openen tijdens boot, moet je "bios verbosity" aan zetten.)
In die settings kun je dingen doen als network access en dergelijke en configuratie servers configureren. Of bijvoorbeeld management functies aan of uit zetten.

Mensen doen nu allemaal of dit er alleen maar is om mensen te bespioneren, maar het probleem is eerder dat de default configuratie niet altijd even veilig is van computer vendors. Of dat er bugs zitten in het systeem, niet zo zeer dat het systeem zelf slecht is.
Er is toch intel management engine verification software, kan deze detecteren of er gerommeld is met de ime? En je kan de ime toch ook updaten, dus er komen dan toch wel fixes voor?
Dat is allemaal leuk, maar als je de bootloader voor die unit overschrijft (je hebt toegang to ALLES dus dat is prima te doen) kan je alle updates negeren en de gebruiker voorschotelen dat het gewoon succesvol was. De IME verification engine kan simpelweg gemanipuleerd worden door de 'nieuwe' ime, dus ik zie niet in hoe die verificatie altijd succesvol kan zijn.

Dus ja, die kan je wel updaten maar dat heeft geen resultaat bij al overgenomen systemen en de kans is immer aanwezig dat dit te omzijlen is na de update via een volgende exploit.

edit:
Overigens, de DCI is een feature, niet een bug. Alleen de unauthorized toegang is een bug maar de DCI zit er altijd in. Intel is van mening dat dit allemaal geen probleem is want de attacker moet toegang hebben tot de pc, maar het is een kwestie van tijd tot dit via een netwerk exploit kan (die is ook verbonden met de IME) en/of de root key (voor het manipuleren van de firmware op een legale manier) ergens lekt. De nogal 'not our problem' reactie van intel.

[Reactie gewijzigd door Sloerie op 9 november 2017 12:52]

Nou, dat moet toch makkelijk kunnen met iets als AnywhereUSB? Usb over ethernet. \o/

Veelvuldig gebruikt voor USB dongles om licenties uit te serveren. Kleine kunst om keer in een opwelling een usb sticky in zo een unit te prikken (als je wilt, dan doe je dat toch wel met social engineering technieken. Mee laten liften op een licentie bijvoorbeeld), met een malware driveby installeer je de client software al dan niet in rootkit vorm zodat het niet zichtbaar is. En als het om een legitieme licentie gaat, hoef je het niet eens te verbergen. En bam, je hebt toegang.

Social engineering kom je het verst mee :)

edit: bedenk me net dat ik me niet helemaal goed heb ingelezen in de genoemde aanvals vector, dus wellicht dat m'n AnywhereUSB ingang niet zo vanzelfsprekend is.

[Reactie gewijzigd door cavey op 9 november 2017 13:51]

Ik ben niet echt bekend met de ime, maar ik vraag mij af of je een verificatie of update kan doen zonder tussenkomst van de ime zelf of gaat dat altijd via de ime? Als de ime er altijd tussenzit dan klopt je verhaal wel dat een gemanipuleerde ime een verificatie of update kan nabootsen en de gebruiker kan laten denken dat alles goed is terwijl de ime nog steeds gemanipuleerd is.
Daar is ie eindelijk! De lang geanticipeerde toegang... ben heel benieuwd wat voor impact dit gaat hebben en of de ontwikkelingen rond dit nu in een stroomversnelling zullen komen...
Het is nu publiekelijk achterhaald dat het een stukje twijfelachtige techniek is.


Maar het is al langer twijfelachtig;
https://www.techrepublic....gement-engine-a-backdoor/
Als kwaadwillenden toegang krijgen tot de Management Engine, betekent dit volgens de onderzoekers dat een systeem volledig overgenomen kan worden.
Maar dat kan (nu) alleen nog via een USB, dus je moet bij de pc zijn. Maar ik denk dat dat later (Of nu al) via het internet kan.

[Reactie gewijzigd door iCore op 9 november 2017 12:05]

Ja, maar een USB stick is zo geplaatst natuurlijk, en dan kun je mogelijk ook daarna op afstand dingen aanpassen. Een USB stick plaatsen kan zo snel gaan dat het niet opvalt. Er was al de regel "als iemand fysiek toegang heeft tot een server, is deze al verloren", maar die gaat er wel van uit dat iemand langere tijd toegang heeft......nu kan het dus in een seconde.
Ja, maar een USB stick is zo geplaatst natuurlijk, en dan kun je mogelijk ook daarna op afstand dingen aanpassen. Een USB stick plaatsen kan zo snel gaan dat het niet opvalt.
Sterker nog, een aanvaller hoeft 'm geen eens zelf te plaatsen. Neem een willekeurige USB stick, zet er een tekstbestandje op met je eigen contactgegevens erop en laat vervolgens de USB stick ergens op je werk rondslingeren. Grote kans dat iemand anders de USB stick in z'n computer steekt om te kijken wat er op staat, ziet dat de stick van jou is en 'm dan komt terugbrengen.
Alleen is dat vissen in eenheel grote vijver.
Dan moet je wel heel zeker zijn dat je op de betreffende pc / group wil zijn.
Grote vijver? Strooi eens 5 USB-sticks van verschillende makelij rond op een parking van een bedrijf. 100% zeker dat minstens
  • één iemand de stick mee naar huis neemt en thuis inplugt, al dan niet in zijn werk-laptop
  • één iemand de stick vindt en aan de receptionist(e) geeft en deze 'm in haar schuif legt tot iemand er achter komt vragen
  • één iemand de stick vindt en aan de receptionist(e) geeft en deze 'm in haar PC steekt om toch maar even te kijken of te vinden is van wij de stick is
Zo een grote vijver is dat dus niet hoor. Vanaf het moment dat binnen de perimeter bent gaat het snel om reconnaissance te doen binnen die perimeter...
Vaak is de PC in kwestie niet zo interessant, maar via die PC kan je weer naar andere PC's in het netwerk.
Zorg dat er een vorm van malware op gevonden wordt, en vaak komt er wel iemand van IT kijken of het te fixen is. Zelfs bij een re-image blijft dit immers gewoon zitten (het gaat buiten het bestandssysteem om) en behoudt je toegang tot het apparaat.

Met vernuftige malware, er van uitgaande dat er voldoende memory in de unit zit, kan je daarmee uiteindelijk aan credentials komen welke meer mogen binnen het netwerk, waardoor je toch uit kan komen bij de interessante PC's of servers.

Zelfs als de persoon in kwestie de stick mee naar huis neemt, is er nog de mogelijkheid om binnen te komen. Je hebt alleen maar zijn of haar credentials nodig; een VPN verbinding opzetten vanaf een geïnfecteerd apparaat kan daarvoor voldoende zijn...
Vergeet niet dat iedere vorm van beveiliging hiermee omzeilt wordt.
Gefeliciteerd, alle PCs na Skylake zijn nu te hacken met een enkele USB stick. Dank u, Intel.
Dit was te verwachten natuurlijk. En nu afwachten op de eerste malware / virussen die zich hiermee aan de processor "vasthechten" om vervolgens coins te minen of je pc deel uit te maken van een zombie-netwerk, zonder dat je hiervan af kunt komen.
Als je je beveiliging moet beveiligen wanneer houdt dat dan op?
Als je je beveiliging moet beveiligen wanneer houdt dat dan op?
Excuse me .....
Maar als beveiliger valt dit wel op ...

Waarom zouden 'wij' ( beveiliging ) dat niet nodig hebben ?
Elk onderdeel zou even belangrijk moeten zijn, hardwarematig, softwarematig tot personeel.

Ook in de beveiligede delen kunnen zwaktes bestaan, en moeten dus onderzocht en gerepareerd worden
Ik beweer niet dat we geen beveiliging nodig hebben.

Maar die creabea oplossing van Intel vraagt om problemen. Sterker nog het is niet alleen je eigen toegepaste OS dat je hoeft te beveiligen, je krijgt er eentje gratis bij. Hoe mooi de oplossing ook klinkt, de problemen zijn alleen toegenomen en niet af.

Als je de hardware al niet kunt vertrouwen is alles wat je daarop bouwt niet te vertrouwen.
Dat is al heel lang het geval weet je hoeveel gaten er gedicht worden in AV software.
Lastig om voor de toekomst te praten, maar voorlopig zal software altijd te hacken zijn. En zo vreemd is het niet om je beveiliging te updaten, of update jij nooit je besturingssysteem of je antivirus of je firewall? Het probleem met dit is dat het erg diep in het systeem zit en onafhankelijk van het besturingssysteem kan opereren, maar ook de ime ontvangt gewoon updates(als ik even googlet).
Dat begrijp ik wel, maar vaak zit het hem in implementaties van software en het gebrek aan kwaliteit. Bij het oplossen van problemen moet je ze oplossen en niet een systeem bedenken die de symptomen bestrijd en nieuwe problemen opleverd.
Security through obscurity (wat Intel hier probeerde) is heel populair, want totdat het ontdekt wordt is het de allergoedkoopste oplossing. Management blij, en devs halen hun targets... Als de boel omvalt hoop je dat je al lang vertrokken bent... De meeste partijen hebben er overigens geen belang bij om dit soort lekken naar buiten te brengen, alleen die vermaledijde white hats moeten weer de pers opzoeken. Verbieden dus die lui!
Dat kan je natuurlijk ook over andere beveilgingsprodukten zeggen zoals antivirus en firewalls, deze bestrijden ook bepaalde problemen, maar kunnen zelf ook fouten bevatten. Software blijft nog mensenwerk en kan dus fouten bevatten.
Kwaliteit is een ander verhaal ja en van een bedrijf als intel en de mogelijkheden van de ime mag je wel iets goeds verwachten. Of dit slecht programmeer werk is of iets 'by design' durf ik niet te zeggen. Maar het is onrealistisch om te denken dat iets als de ime niet vatbaar voor hacks zou zijn.
Is het probleem niet dat het feit dat je bepaalde software kunt updaten, er ook voor zorgt dat je die met malware kunt infecteren? Even een extreem voorbeeld: als je van een DVD met Linux boot, kan je OS in principe nooit langer dan 1 sessie geïnfecteerd raken. Zodra je de computer uitzet is de infectie in principe verholpen, omdat er bij het opstarten geen code wordt uitgevoerd buiten de (onschrijfbare) DVD. En je wordt niet vanuit het niets geïnfecteerd: daarvoor moet je toch echt het Internet op en/of foute bestanden uitvoeren.
Niet zozeer de update-functionaliteit, maar eerder het feit dat het systeem modificeerbaar is, als in dat het beschrijfbaar is. Genoeg virussen die gebruik maken van fouten in andere stukjes software dan de update-functionaliteit om zo het systeem te veranderen waardoor het virus elke keer wordt geladen. Een read-only medium voorkomt dat zo'n modificatie mogelijk is, maar neemt niet weg dat het systeem te infecteren is.
Ja, laat ik het zo zeggen: de enige reden waarom veel firmware op een beschrijfbaar medium staat, is omdat die dan geüpdate kan worden, en zo is die updatebaarheid dus indirect een oorzaak van onveiligheid.
Ow bedoel je het op die manier. Ja dan heb je gelijk, doordat het updatebaar moet zijn staat het op een beschrijfbaar medium en kunnen exploits dus ook weggeschreven worden. Maar als je het niet updatebaar maakt kan je weer geen fouten herstellen en kan het net zo goed vatbaar blijven voor hacks. Komen we weer uit bij goede software schrijven. :)
Goede software is altijd goed! Maar ja, in de Management Engine zit blijkbaar Minix, dat toch extreem goed geschreven schijnt te zijn. En toch is dat niet veilig genoeg (vanwege de andere software die daaromheen zit, vermoedelijk). Wat mij betreft mag het geheugen van de processor/chipset onbeschrijfbaar zijn, maar makkelijk vervangbaar, opdat Intel mensen indien nodig per post een klein chipje kan zenden om het te vervangen. Of desnoods wel via het Internet beschrijfbaar zoals nu, maar dan met een hardware-switch die je even om moet zetten voordat het beschrijfbaar wordt.
Een chip zenden naar de miljoenen klanten is geen doen. :) Als de ime dan echt zo'n belangrijk ding is zou ik liever zien dat je bijvoorbeeld een jumper om moet zetten om het beschrijfbaar te maken, of misschien een optie in het bios/uefi waar je het van read-only naar writable kan zetten.
Dat is wat ik bedoelde met een hardware-switch inderdaad.
USB is natuurlijk per definitie onveilig. Wel eens van USB killers gehoord? Steek je in een computer en het blaast de USB bus; danwel de hele computer op.
Dat is niet echt een beveiligingsprobleem. Het is een hardware denial of service. Net zoals een hamer dat is :)

[Reactie gewijzigd door GekkePrutser op 9 november 2017 16:57]

Het tijdschrift C'T heeft net heel veel van dat soort ongein besproken in nummer Nov-2017 pag 41.
Je schrikt je rot, wat er allemaal bestaat.
Ja, de laatste editie heb ik inderdaad ook even doorgekeken. Sommige van die 'speeltjes' zijn gelukkig niet aan de goedkope kant. Hopelijk zet het mensen aan het denken, dat ze de volgende keer niet zomaar op de gratis WiFi verbinding springen om vervolgens al hun apps gewoon te gebruiken.

@GekkePrutser : Klopt inderdaad.
Ik weet niet zeker of dit een typo is, maar in de een na laatste zin van de een na laatste alinea staat "kan blijven bestaan ondanks herinstallaties op bios-updates" moet hier "op" niet "of" zijn?

[Reactie gewijzigd door vanthome op 9 november 2017 12:35]

Dan mag je dat hier melden Geachte Redactie

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True