Onderzoekers verkrijgen toegang tot Intel Management Engine via usb

Onderzoekers van het beveiligingsbedrijf Positive Technologies zeggen volledige toegang tot de Intel Management Engine te hebben verkregen via usb. Zij deden dit met behulp van jtag debugging.

In een Engelse vertaling van hun oorspronkelijke blogpost schrijven de onderzoekers dat hun ontdekking betekent dat er via elke usb 3.0-poort toegang mogelijk is tot jtag debugging via dci. Die laatste techniek, ook wel bekend als Intels Direct Connect Interface, is een van drie manieren om toegang te krijgen tot deze manier van debugging, die vergaande toegang toestaat. Dci is aanwezig bij Intel-processors vanaf de Skylake-generatie, aldus de onderzoekers.

De Intel Management Engine is een aparte microcontroller die deel uitmaakt van de Platform Controller Hub, oftewel pch,van Intel-cpu's, die toegang heeft tot de communicatie tussen cpu en randapparaten. Deze aparte processor werkt los van de cpu zelf en is daarom toegankelijk als de cpu zelf is uitgeschakeld. Als kwaadwillenden toegang krijgen tot de Management Engine, betekent dit volgens de onderzoekers dat een systeem volledig overgenomen kan worden.

Ze zijn van plan om een dergelijke aanval in december op een beveiligingsconferentie te demonstreren, waarbij ze ongesigneerde code draaien op de pch op elk moederbord dat Skylake of later ondersteunt. Daarbij blijft het systeem stabiel, waardoor een doelwit niets hoeft te merken. Malware die deze techniek toepast, kan blijven bestaan ondanks herinstallaties of bios-updates. De precieze details ontbreken bij de huidige ontdekking dus nog.

De onderzoekers van Positive Technologies kwamen er eerder achter hoe de Intel Management Engine uit te schakelen is. Deze wordt door critici ook wel als backdoor aangeduid en Google werkt aan een vervanging. Ook kwamen ze erachter dat het systeem op een aangepaste versie van Minix draait. Daarvan wist Minix-ontwikkelaar Andrew Tanenbaum niets af, zo schreef hij deze week in een reactie.

Tweet PT Intel METweet van een van de onderzoekers naar aanleiding van de ontdekking

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-11-2017 12:00
106 • submitter: Jelle_D

09-11-2017 • 12:00

106

Submitter: Jelle_D

Lees meer

Intel gaat downgrade van Management Engine-firmware hardwarematig voorkomen
Intel gaat downgrade van Management Engine-firmware hardwarematig voorkomen Nieuws van 13 december 2017
Veel systemen met kwetsbare Intel-chips krijgen pas in 2018 een patch
Veel systemen met kwetsbare Intel-chips krijgen pas in 2018 een patch Nieuws van 23 november 2017
Tanenbaum wist niets van integratie van 'zijn' Minix-OS in Intel-processors
Tanenbaum wist niets van integratie van 'zijn' Minix-OS in Intel-processors Nieuws van 7 november 2017
Google werkt aan vervanger voor uefi en inperking Intel ME
Google werkt aan vervanger voor uefi en inperking Intel ME Nieuws van 31 oktober 2017
Bedrijf levert opensourcelaptop met Intels Management Engine uitgeschakeld
Bedrijf levert opensourcelaptop met Intels Management Engine uitgeschakeld Nieuws van 20 oktober 2017
Onderzoekers schakelen Intel Management Engine uit via ongedocumenteerde functie
Onderzoekers schakelen Intel Management Engine uit via ongedocumenteerde functie Nieuws van 29 augustus 2017
Intels zakelijke processors bevatten al sinds 2008 ernstig lek
Intels zakelijke processors bevatten al sinds 2008 ernstig lek Nieuws van 2 mei 2017
Meer producten en artikelen
Processors Netwerk en systeembeheer Intel Security Skylake

Reacties (106)

-Moderatie-faq
106
103
47
8
0
45
Wijzig sortering
Stoelpoot 9 november 2017 12:15
Omdat dit de Intel Management Engine is, is dit alleen van toepassing op Intel-processoren en moederborden, toch? Ik heb het niet heel goed gevolgd, maar nu er een concrete aanval mogelijk is zou ik een overstap naar #TeamRood sterk overwegen.
coolkil @Stoelpoot9 november 2017 12:23
zie: http://www.amd.com/en-us/...are-technologies/security
AMD heeft het ook het zij in een iets ander jasje. Echter is hier zo snel niet echt iets verder over te vinden. Het lijkt in ieder geval een stuk minder extreem te zijn dan Intel ME

mocht je zin hebben in huiswerk. https://genode.org/documentation/articles/trustzone
hier wordt uitgelegd hoe Trustzone ongeveer werkt.

[Reactie gewijzigd door coolkil op 24 juli 2024 22:42]

DCK @coolkil9 november 2017 12:58
AMD was wel later met een dergelijk systeem dan Intel. Als je nog op een AMD FX-processor werkt, dan heb je geen AMD PSP unit op je moederbord. De AMD FX-serie is daarmee de meest krachtige hardware die je kunt gebruiken zonder management engine achtig systeem :)

AMD heeft daarnaast beloofd te gaan kijken naar het openen van hun PSP. Maar goed, dat zijn alleen nog beloftes.
fiftyhillswest @DCK9 november 2017 15:24
In een eerdere reactie liet AMD dat ze geen plannen hebben om de PSP van Ryzen openbaar te maken, afaik. Ik zal even zoeken of ik het kan vinden.

Edit: Inderdaad niet:
https://hothardware.com/n...m-security-processor-code
https://www.reddit.com/r/...g_their_psp_code_anytime/

[Reactie gewijzigd door fiftyhillswest op 24 juli 2024 22:42]

begintmeta @DCK9 november 2017 13:08
Ik vroeg me af of Oracle of IBM ook een dergelijk systeem in de Sparc M9 of POWER9 hebben gebouwd
coolkil @begintmeta9 november 2017 13:17
jazeker bij veel IBM systemen komt in ieder geval een complete computer mee wat ze noemen: het HMC( Hardware Management Console) deze wordt gebruikt voor het inrichten van logische partities en biedt ook een console (directe toegang) in die partities. hier kun je echter als gebruiker gewoon op inloggen. draait overig sinds op os/2
etrans @coolkil9 november 2017 13:31
Geen aangepaste OS/2 versie meer, maar al jaren Linux:

zie: https://www.ibm.com/suppo...partitioningwithanhmc.htm

The PowerVM NovaLink architecture enables management of highly scalable cloud deployment by using the PowerVM technology and OpenStack solutions. The architecture provides a direct OpenStack connection to a PowerVM server. The NovaLink partition runs the Linux operating system and the partition runs on a server that is virtualized by PowerVM. The server is managed by PowerVC or other OpenStack solutions.

en https://en.wikipedia.org/...rdware_Management_Console
coolkil @etrans9 november 2017 14:50
ah weer wat geleerd :*)
DCK @begintmeta9 november 2017 15:39
Ja. Ik had eigenlijk moeten zeggen dat AMD FX het laatste gangbare platform was dat dit kon.

Je kunt namelijk ook de Talos II preorderen van Raptor Engineering. In verschillende configuraties te krijgen: de goedkoopste optie is een moerderbord met daarop een enkele quadcore IBM POWER9. Waarschijnlijk krachtiger dan de FX, heeft 16 DDR4-geheugenbankjes en 5 PCI-E 4.0 slots, draait Power-varianten van verschillende Linux-distro's en geen management engine-achtige taferelen. Voor maar $2300 voor moederbord + processor alleen...
ELD @DCK9 november 2017 17:14
Ik weet het niet of dit klopt voor alle FX processors. De website van AMD is nogal vaag hierover. Volgens mii is dit expres gedaan

Nergens staat dat de FX-9590 geen PSP heeft. Bij de Athlon X4 880K staat er ook niks over terwijl de Kaveri core wel degelijk PSP heeft, maar dit is alleen door externe bronnen te achterhalen, nergens op de website van AMD kun je dit zien.
Ghostier @coolkil9 november 2017 13:19
Juist AMD's samenwerking met ARM over Trustzone is wat er voor zorgt dat hun PSP momenteel niet opensource is. Ze kunnen namelijk niet andermans werk opensource stellen. Mogelijk is daar wel over te onderhandelen. Maar ik weet niet hoe ver ze bereid zijn daarin te gaan, puur voor goede pers.

[Reactie gewijzigd door Ghostier op 24 juli 2024 22:42]

Anoniem: 636203 @Ghostier9 november 2017 16:00
Het gaat om meer dan om goede pers. Mensen vertrouwen IME gewoon niet en overheden willen er al helemaal niets van weten. Ik denk dat het een goede commerciële move zou zijn om het allemaal te open-sourcen. Immers, "security through obscurity" werkt toch niet, dat is al meerdere malen bewezen.
Ghostier @Anoniem: 6362039 november 2017 17:47
Ne hoor. Het is een goede maatschappelijke move. Of het een goede commerciele move is moeten ze afwegen. En dat goede pers heeft voor een bedrijf alles met dat vertrouwen te maken.
batumulia @Stoelpoot9 november 2017 12:24
Je hebt daarin gelijk, dit geld alleen voor Intel. Er zijn al langer geluiden vanuit de AMD community om de PSP (Platform Security Processor) open-source te maken om dit soort dingen te kunnen voorkomen en mogelijk zelfs te fixen. Voor zover ik heb begrepen staat AMD er wel positief tegenover echter beheren ze niet de complete PSP aangezien er onderdelen van ARM in zitten en via die licentie kunnen ze niks opensource maken.
jja2000 @Stoelpoot9 november 2017 12:26
Dit is inderdaad voor Intel ME ja, het probleem is alleen dat AMD ook zijn eigen ME (achtige chip) heeft genaamd de PSP.

Overstappen heeft dus in theorie weinig nut, het is alleen omdat ME nu het meest in beeld komt, blijft PSP het meeste onder de radar.
CH4OS @Stoelpoot9 november 2017 12:41
Moeserborden met Intel chipset en/of de Intel Management Engine functie erop. ;)
himlims_ 9 november 2017 12:02
tjah, was te verwachten ... daarom is het ook zo freaking belangrijk dat fouten/leks bekend gemaakt worden - en dus gefixed. Want wie zegt dat jij de enige bent die de sleutel heeft of deurtje kan openen ..... :N :F *zucht*

//edit; het is nu simpel gezegt "er komt geen intel hardware hier meer binnen" maar hoe zit het met andere fabrikanten, als bijv. een amd

[Reactie gewijzigd door himlims_ op 24 juli 2024 22:42]

kozue @himlims_9 november 2017 12:38
Wat belangrijker is dan het fixen van fouten in code die bijna niemand gebruikt, is het kunnen verwijderen van deze code. Ik zit niet te wachten op Intel ME en zal een van de eersten zijn die het er af pleurt wanneer er een stabiele verwijdermethode komt die geen flinke kans heeft om je hardware te bricken.
Kain_niaK @himlims_9 november 2017 12:27
Er is echt nood aan meer open hardware. Zeker nu crypto currencies langzaam hun opmars aan het maken zijn. Hardware is nu al zo complex en zo krachtig met zo een overvloed aan resources dat je machines binnen machines kunt draaien. Neem een normale harde schijf bijvoorbeeld. Zit een processor in, kun je linux op draaien. Heeft een tweaker ooit voor elkaar gekregen.

Gelukkig worden die hardware "black boxes" altijd uiteindelijk gekraakt. Maar als het nu allemaal wat meer open en transparant is dan is het makkelijker uit te vogelen of je eigen systeem nu veilig is of niet. Voor de gewone computer gebruiker allemaal niet zo erg interessant maar sommige mensen hebben een systeem nodig dat ze kunnen vertrouwen.
bartvdn @Kain_niaK9 november 2017 12:45
Misschien is dit iets voor AMD. Die hebben nu wat momentum met een nieuwe reeks processoren. Als zij nu er voor kiezen om volledig transparant te worden op dit vlak, dan kunnen ze daar ook extra stappen in maken!
Cerberus_tm @bartvdn9 november 2017 13:37
Heeft AMD eigenlijk iets vergelijkbaars in hun processoren/moederborden als deze backdoor van Intel?
526735 @Cerberus_tm9 november 2017 13:45
Ja, AMD PSP (Platform Security Processor).

Bron: https://libreboot.org/faq.html#amd
Cerberus_tm @5267359 november 2017 13:56
Best wel jammer! Ze hebben het daar over DRM; zou dat er echt mee te maken hebben / de reden zijn dat dit überhaupt bestaat?
Nazlive @Cerberus_tm9 november 2017 14:30
Ze zijn er wel over aan het nadenken om daarin te verbeteren en/of opensource te maken als ik het me goed herriner uit een reddit live Q&A. Maar zomaar broncode er van releasen was volgensmij ook niet veilig.
Bastian1 @Cerberus_tm9 november 2017 13:48
Volgens deze post op reddit wel. Nog een hele discussie met bronnen daaronder. AMD trustzone op een ARM kern

https://www.reddit.com/r/...ave_something_like_intel/

[Reactie gewijzigd door Bastian1 op 24 juli 2024 22:42]

Cerberus_tm @Bastian19 november 2017 13:58
Best wel jammer! Anders zou ik zeker voor AMD zijn gegaan. En dan ook nog met gesloten software van een derde partij erop...
gamezfreak @Kain_niaK9 november 2017 13:42
Voor de gewone computer gebruiker allemaal niet zo erg interessant maar sommige mensen hebben een systeem nodig dat ze kunnen vertrouwen.
Ik denk dat de meeste mensen het erg vinden want, doordat ze toegang hebben tot IME, is het dus nog makkelijker om iemands laptop/pc te ruïneren. Desnoods de gehele BIOS verwijderen, kunnen mensen ook niks met hun machine doen en zijn hun data ook kwijt. Iedereen vertrouwd op hun machine die zij hebben gekocht.

Het is wachten totdat de hack uitgevoerd wordt bij een hoge instantie/overheid/scholen/energiecentrales enz. Dan pas zal er actie worden ondernomen, omdat het dan wel gevaarlijk wordt en er levens op het spel staan. Ik juich het niet aan dat er wordt gehacked op een verkeerde manier, maar als het voor onderzoek is en er mensen wakker geschud worden, dan vind ik het wel goed.

Tegenwoordig komt het op neer dat je steeds minder dingen kan vertrouwen (nee, ik heb geen alu hoedje op). IoT devices die slecht beveiligd zijn en dus een makkelijke prooi zijn voor hackers en botnets, cpu's waar de beveiliging blijkbaar niks voorstelt en steeds meer apparaten krijgen een vorm van draadloze communicatie.

Pas als het één keer goed fout gaat, wordt er gevraagd waarom er niet eerder gewaarschuwd is. Want blijkbaar is gebruiksgemak (simpele wachtwoorden, geen encryptie, soms plain tekst naar server of internet) meer belangrijk dan de beveiliging (lange wachtwoord of passphrase, sterke vorm van encryptie ook naar de server toe) van een device. En oh, het mag natuurlijk niet te veel kosten, omdat niet iedereen x aantal euro's wil betalen voor een device...
SuperDre @gamezfreak9 november 2017 13:59
Probleem is dat veel betalen heel vaak niets uit maakt omdat de beveiliging zelf gewoon niet goed is. Ook wat nu veilig is, kan morgen compleet onveilig zijn. Beveiliging is allemaal niet zo simpel als een hoop mensen denken. En dat maakt het problematisch.
TommyboyNL @gamezfreak10 november 2017 11:16
Desnoods de gehele BIOS verwijderen, kunnen mensen ook niks met hun machine doen en zijn hun data ook kwijt.
Het BIOS staat los van de data hoor. Gewoon de HD of SSD uit de conputer trekken en op een andere aansluiten, en door.
Amanoo @Kain_niaK9 november 2017 12:49
Ik qua drivers en dergelijke kan ik het hier erg mee eens zijn. Al die gesloten hardware is totaal niet goed voor compatibiliteit. Dingen werken gewoon niet goed. Als standaard huis-, tuin-, en keukengebruiker met een standaard Windows installatie heb je er misschien niet zo last van, maar ga er echt iets mee doen, en je loopt toch wel een keer ergens tegen aan.
SuperDre @Amanoo9 november 2017 13:57
Leuk als hardware wat open zou zijn, maar in veel gevallen zie je dat het toch niets uit maakt, er is niemand die zin heeft om uberhaupt tijd te steken in het verbeteren van die drivers. Naast dat het ook niet altijd mogelijk is vanwege patenten. open is dus lang niet altijd echt interessant, het idee is wel interessant, maar de praktijk wijst anders uit.
t link @SuperDre9 november 2017 15:23
Natuurlijk maar dan krijg je vanzelf dat mensen flocken naar open dingen zoals je ziet met dingen als LEDE.
Amanoo @t link9 november 2017 17:39
Zelf heb ik toevallig zelfs een router uitgekozen aan de hand van LEDE-ondersteuning. Ik had bepaalde functionaliteit nodig die niet in alle routers ingebakken zit.
t link @Amanoo9 november 2017 23:34
Ik heb op het moment 3 'ziggo' c7 ac1750 archers (gewoon tplink rebranded) die lede draaien in een mesh netwerk, totaal kosten: 90 euro. idioot voordelig.
Amanoo @t link10 november 2017 00:35
Netjes. Ik heb dezelfde, maar dan los gekocht en niet rebranded.

Laatste tijd heb ik wel WiFi problemen, though. Verbinding is niet geheel stabiel. Het lijkt wel uit te maken wat voor LEDE ik precies draai. Misschien dat het aan zijn eind is. Hij heeft het wel altijd goed gedaan. Maar het feit dat het met een aangepaste LEDE beter werkt is dan wel weer raar.

[Reactie gewijzigd door Amanoo op 24 juli 2024 22:42]

totaalgeenhard @himlims_9 november 2017 12:38
Was te verwachten?

Tot op heden wist niemand buiten Intel om dat er minix op moederboard chipset draaide.... en helemaal al niet dat je er via USB drie in debug mode bij kan.

De graag is hoeveel memory dat minix systeem heeft. Of het te vervangen is en of het te patchen is.

Tot op heden hoor je weinig vanuit Intel, terwijl je van hen ondertussen had mogen verwachten dat ze met oplossingen zouden uitkomen zodat toekomstige ontdekkingen zoals dit USB 3 verhaal geen gevolgen hebben.

Als je nu een USB 3 device koopt weet je nooit of je naast de functionaliteit waar je het voor gekocht hebt (muis/keyboard/usb stick/wifi/bluetooth/printer etc.. etc...) je gratis monitoring krijgt van e.a. bedrijf/overheid.....
Cerberus_tm @totaalgeenhard9 november 2017 13:37
Even een domme vraag, maar wat draait er nu precies op het moederbord, en wat in de processor zelf?
TommyboyNL @Cerberus_tm10 november 2017 11:18
De IME en de USB DCI draaien op je CPU zelf, je moederbord staat hier in principe los van.
Cerberus_tm @TommyboyNL10 november 2017 13:23
Ben je het dan oneens met Totaalgeenhard? totaalgeenhard in 'nieuws: Onderzoekers verkrijgen toegang tot Intel Manageme...
TommyboyNL @Cerberus_tm10 november 2017 14:58
Ja, want hij heeft het fout:
The Intel Management Engine (ME) is a subsystem that appears in many of Intel's line of computer processors.
Bron: Wikipedia
Cerberus_tm @TommyboyNL10 november 2017 15:04
In dat artikel staat wel iets vreemds:
Research by Youness Alaoui found that Intel delivers the processors to manufacturers with the Intel ME turned off and the ability to permanently set changes at a later date.
Hoezo levert Intel processors aan fabrikanten? Intel maakt zijn processor, het eindproduct, toch zelf? Gaat het misschien de secondaire processor, die in het moederbord zit en die Intel zelf maakt maar levert aan de fabrikanten van moederborden?

[Reactie gewijzigd door Cerberus_tm op 24 juli 2024 22:42]

TommyboyNL @Cerberus_tm10 november 2017 15:10
Hoezo levert Intel processors aan fabrikanten? Intel maakt zijn processor, het eindproduct, toch zelf?
Hoe moeten computerfabrikanten anders aan Intel processors komen? En ja, Intel maakt zelf HUN eindproduct; processors. Voor conputerfabrikanten is de processor echter een halffabrikaat.
Wat voor de één een afgerond product is wil nog niet zeggen dat dat voor iedereen zo is.
Cerberus_tm @TommyboyNL10 november 2017 15:30
Dat is inderdaad mogelijk. Maar toch ben ik nog niet helemaal overtuigd: op andere plaatsen kreeg ik ook de indruk dat het gebeuren in de chipset zit, en ik vind Wikipedia niet helemaal duidelijk. Is dat jouw enige bron, of hoe weet jij dit? Ik ga proberen meer bronnen te vinden en/of een vraag te stellen op Stack Exchange.

Edit: volgens mij gaat het toch echt over een microprocessor in het moederbord, zie citaten en bronnen hieronder.

[Reactie gewijzigd door Cerberus_tm op 24 juli 2024 22:42]

totaalgeenhard @Cerberus_tm9 november 2017 14:27
CPU gaat gepaard met chipset.

Vroeger had je een CPU en kon je kiezen uit chipsets die niet van zelfde fabrikant hoefde te zijn.

Nu is keuze vaak beperkt (of geen) alleen voor server boarden zie je voor server CPU dat chipset anders is.

In het geval van Intel zijn de meeste systemen in de afgelopen 15 jaar geleverd met dienst chipset en daarin zit dus een eigen CPU met OS die men voor remote management kan gebruiken.

https://nl.m.wikipedia.org/wiki/Northbridge
Cerberus_tm @totaalgeenhard10 november 2017 00:32
Dus deze Management Engine zit op een chip van Intel die in het moederbord geïntegreerd zit (de zogenaamde chipset), en niet in de processor?
Cerberus_tm @totaalgeenhard10 november 2017 13:22
OK check.
TommyboyNL @totaalgeenhard10 november 2017 15:11
Klopt niet. De IME zit in de processor, niet in de chipset.
Cerberus_tm @TommyboyNL10 november 2017 15:39
Het is verwarrend. Zie hier:
Comprising a fully-functional processor, memory, ROM and network interface, the IME, built inside the CPU chipset, became supreme overseer of the rest of the system.
http://www.idgconnect.com...rrying-chip-vulnerability
For those who don't know, for various processor chipset lines, Intel's Management Engine sits inside the Platform Controller Hub, and acts as a computer within your computer.
https://www.theregister.c...r_closer_listen_dump_ime/
There isn't much public knowledge of the workings of the ME, especially in its current state. It's not even clear where the hardware is physically located anymore.
https://m.slashdot.org/story/333471

[Reactie gewijzigd door Cerberus_tm op 24 juli 2024 22:42]

totaalgeenhard @Cerberus_tm10 november 2017 19:35
Je dient even de onderzoekers site moeten bekijken het gaat om de PCH. Dat is niet cpu zelf.
Intel Management Engine (ME)
Introduced in June 2006 in Intel’s 965 Express Chipset Family of (Graphics and) Memory Controller Hubs, or (G)MCHs, and the ICH8 I/O Controller Family, the Intel Management Engine (ME) is a separate computing environment physically located in the (G)MCH chip. In Q3 2009, the first generation of Intel Core i3/i5/i7 (Nehalem) CPUs and the 5 Series Chipset family of Platform Controller Hubs, or PCHs, brought a more tightly integrated ME (now at version 6.0) inside the PCH chip, which itself replaced the ICH. Thus, the ME is present on all Intel desktop, mobile (laptop), and server systems since mid 2006.
https://libreboot.org/faq.html#intel
Cerberus_tm @totaalgeenhard10 november 2017 21:19
Dat klinkt inderdaad wel betrouwbaar. Van Libreboot weten we tenminste zeker dat ze er verstand van hebben.

Ik vraag me af waarom Tommy zo stellig het tegendeel beweert en Wikipedia zo onduidelijk is (iets anders suggereert). Ik heb ook wel op andere plaatsen de suggestie gelezen dat het toch in de normale processor zit, maar dat kan op een misverstand berusten doordat het in een andere, secundaire processor zit in de chipset (als ik Wikipedia moet geloven). (Het woord "chipset" vind ik sowieso extreem slecht gekozen en makkelijk tot verwarring leiden als je het niet al weet.) Ten laatste vraag ik me af waarom dat artikel op Slashdot openlijk zegt dat het niet helemaal zeker is waar het zit.
totaalgeenhard @Cerberus_tm10 november 2017 22:04
http://blog.ptsecurity.co...sabling-intel-me.html?m=1


Dit zijn onderzoekers naar het verhaal.
Cerberus_tm @totaalgeenhard11 november 2017 01:24
Ah, ja, nu herinner ik me die pagina al eens te hebben gezien. Daar zeggen ze ook de Platform Controller Hub (dus de chipset in het moederbord).
totaalgeenhard @TommyboyNL10 november 2017 19:31
PCH is chipset niet de cpu zelf.
LoadedBaton @totaalgeenhard9 november 2017 14:22
Hoe weet jij zo zeker dat niemand buiten Intel dit wist ? Ik zou er geen geld op durven zetten.
totaalgeenhard @LoadedBaton9 november 2017 14:29
Management van client/server op intel platform was wel bekend.

Maar de details niet. Dat een CIA/NSA het wel weten aldaniet dankzij Intel zou me niets verbazen.

Het is heel voordelig om 1 universele manier te hebben om meest gebruikte hardware platform te kunnen benaderen.
Anoniem: 420148 @himlims_9 november 2017 19:53
Team Rood doet het net zo goed, dus dan komt er helemaal geen hardware meer binnen. Beiden zijn ze overigens niet de eerste of de laatste die dit soort meuk heeft ingebakken.
EraYaN @Anoniem: 42014810 november 2017 15:47
Je moet je beseffen dat het gewoon een feature is, die ook gewoon gebruikt wordt voor remote management. Je kan er in sommige gevallen aardig goed een out-of-band management oplossing van je server fabrikant mee vervangen. En dingen als AMT en dergelijke zijn dan ook volledige te configureren om allerhande handige dingen te doen als jee een intel server farm wilt managen. (Op een lokale machine, Ctrl-P om de ME configurator te openen tijdens boot, moet je "bios verbosity" aan zetten.)
In die settings kun je dingen doen als network access en dergelijke en configuratie servers configureren. Of bijvoorbeeld management functies aan of uit zetten.

Mensen doen nu allemaal of dit er alleen maar is om mensen te bespioneren, maar het probleem is eerder dat de default configuratie niet altijd even veilig is van computer vendors. Of dat er bugs zitten in het systeem, niet zo zeer dat het systeem zelf slecht is.
Rudie_V 9 november 2017 12:17
Er is toch intel management engine verification software, kan deze detecteren of er gerommeld is met de ime? En je kan de ime toch ook updaten, dus er komen dan toch wel fixes voor?
kaas-schaaf @Rudie_V9 november 2017 12:47
Dat is allemaal leuk, maar als je de bootloader voor die unit overschrijft (je hebt toegang to ALLES dus dat is prima te doen) kan je alle updates negeren en de gebruiker voorschotelen dat het gewoon succesvol was. De IME verification engine kan simpelweg gemanipuleerd worden door de 'nieuwe' ime, dus ik zie niet in hoe die verificatie altijd succesvol kan zijn.

Dus ja, die kan je wel updaten maar dat heeft geen resultaat bij al overgenomen systemen en de kans is immer aanwezig dat dit te omzijlen is na de update via een volgende exploit.

edit:
Overigens, de DCI is een feature, niet een bug. Alleen de unauthorized toegang is een bug maar de DCI zit er altijd in. Intel is van mening dat dit allemaal geen probleem is want de attacker moet toegang hebben tot de pc, maar het is een kwestie van tijd tot dit via een netwerk exploit kan (die is ook verbonden met de IME) en/of de root key (voor het manipuleren van de firmware op een legale manier) ergens lekt. De nogal 'not our problem' reactie van intel.

[Reactie gewijzigd door kaas-schaaf op 24 juli 2024 22:42]

cavey @kaas-schaaf9 november 2017 13:48
Nou, dat moet toch makkelijk kunnen met iets als AnywhereUSB? Usb over ethernet. \o/

Veelvuldig gebruikt voor USB dongles om licenties uit te serveren. Kleine kunst om keer in een opwelling een usb sticky in zo een unit te prikken (als je wilt, dan doe je dat toch wel met social engineering technieken. Mee laten liften op een licentie bijvoorbeeld), met een malware driveby installeer je de client software al dan niet in rootkit vorm zodat het niet zichtbaar is. En als het om een legitieme licentie gaat, hoef je het niet eens te verbergen. En bam, je hebt toegang.

Social engineering kom je het verst mee :)

edit: bedenk me net dat ik me niet helemaal goed heb ingelezen in de genoemde aanvals vector, dus wellicht dat m'n AnywhereUSB ingang niet zo vanzelfsprekend is.

[Reactie gewijzigd door cavey op 24 juli 2024 22:42]

Rudie_V @kaas-schaaf9 november 2017 13:52
Ik ben niet echt bekend met de ime, maar ik vraag mij af of je een verificatie of update kan doen zonder tussenkomst van de ime zelf of gaat dat altijd via de ime? Als de ime er altijd tussenzit dan klopt je verhaal wel dat een gemanipuleerde ime een verificatie of update kan nabootsen en de gebruiker kan laten denken dat alles goed is terwijl de ime nog steeds gemanipuleerd is.
t1mmy 9 november 2017 12:03
Daar is ie eindelijk! De lang geanticipeerde toegang... ben heel benieuwd wat voor impact dit gaat hebben en of de ontwikkelingen rond dit nu in een stroomversnelling zullen komen...
Iblies @t1mmy9 november 2017 12:26
Het is nu publiekelijk achterhaald dat het een stukje twijfelachtige techniek is.


Maar het is al langer twijfelachtig;
https://www.techrepublic....gement-engine-a-backdoor/
iCore 9 november 2017 12:04
Als kwaadwillenden toegang krijgen tot de Management Engine, betekent dit volgens de onderzoekers dat een systeem volledig overgenomen kan worden.
Maar dat kan (nu) alleen nog via een USB, dus je moet bij de pc zijn. Maar ik denk dat dat later (Of nu al) via het internet kan.

[Reactie gewijzigd door iCore op 24 juli 2024 22:42]

buzzin @iCore9 november 2017 12:16
Ja, maar een USB stick is zo geplaatst natuurlijk, en dan kun je mogelijk ook daarna op afstand dingen aanpassen. Een USB stick plaatsen kan zo snel gaan dat het niet opvalt. Er was al de regel "als iemand fysiek toegang heeft tot een server, is deze al verloren", maar die gaat er wel van uit dat iemand langere tijd toegang heeft......nu kan het dus in een seconde.
RayNbow @buzzin9 november 2017 12:29
Ja, maar een USB stick is zo geplaatst natuurlijk, en dan kun je mogelijk ook daarna op afstand dingen aanpassen. Een USB stick plaatsen kan zo snel gaan dat het niet opvalt.
Sterker nog, een aanvaller hoeft 'm geen eens zelf te plaatsen. Neem een willekeurige USB stick, zet er een tekstbestandje op met je eigen contactgegevens erop en laat vervolgens de USB stick ergens op je werk rondslingeren. Grote kans dat iemand anders de USB stick in z'n computer steekt om te kijken wat er op staat, ziet dat de stick van jou is en 'm dan komt terugbrengen.
FreshMaker @RayNbow9 november 2017 12:34
Alleen is dat vissen in eenheel grote vijver.
Dan moet je wel heel zeker zijn dat je op de betreffende pc / group wil zijn.
HyperBart @FreshMaker9 november 2017 13:37
Grote vijver? Strooi eens 5 USB-sticks van verschillende makelij rond op een parking van een bedrijf. 100% zeker dat minstens
  • één iemand de stick mee naar huis neemt en thuis inplugt, al dan niet in zijn werk-laptop
  • één iemand de stick vindt en aan de receptionist(e) geeft en deze 'm in haar schuif legt tot iemand er achter komt vragen
  • één iemand de stick vindt en aan de receptionist(e) geeft en deze 'm in haar PC steekt om toch maar even te kijken of te vinden is van wij de stick is
Zo een grote vijver is dat dus niet hoor. Vanaf het moment dat binnen de perimeter bent gaat het snel om reconnaissance te doen binnen die perimeter...
Raventhorn @FreshMaker9 november 2017 13:12
Vaak is de PC in kwestie niet zo interessant, maar via die PC kan je weer naar andere PC's in het netwerk.
Zorg dat er een vorm van malware op gevonden wordt, en vaak komt er wel iemand van IT kijken of het te fixen is. Zelfs bij een re-image blijft dit immers gewoon zitten (het gaat buiten het bestandssysteem om) en behoudt je toegang tot het apparaat.

Met vernuftige malware, er van uitgaande dat er voldoende memory in de unit zit, kan je daarmee uiteindelijk aan credentials komen welke meer mogen binnen het netwerk, waardoor je toch uit kan komen bij de interessante PC's of servers.

Zelfs als de persoon in kwestie de stick mee naar huis neemt, is er nog de mogelijkheid om binnen te komen. Je hebt alleen maar zijn of haar credentials nodig; een VPN verbinding opzetten vanaf een geïnfecteerd apparaat kan daarvoor voldoende zijn...
Vergeet niet dat iedere vorm van beveiliging hiermee omzeilt wordt.
Cilph 9 november 2017 12:06
Gefeliciteerd, alle PCs na Skylake zijn nu te hacken met een enkele USB stick. Dank u, Intel.
Anoniem: 685461 9 november 2017 12:35
Dit was te verwachten natuurlijk. En nu afwachten op de eerste malware / virussen die zich hiermee aan de processor "vasthechten" om vervolgens coins te minen of je pc deel uit te maken van een zombie-netwerk, zonder dat je hiervan af kunt komen.
Anoniem: 414757 9 november 2017 12:22
Als je je beveiliging moet beveiligen wanneer houdt dat dan op?
FreshMaker @Anoniem: 4147579 november 2017 12:38
Als je je beveiliging moet beveiligen wanneer houdt dat dan op?
Excuse me .....
Maar als beveiliger valt dit wel op ...

Waarom zouden 'wij' ( beveiliging ) dat niet nodig hebben ?
Elk onderdeel zou even belangrijk moeten zijn, hardwarematig, softwarematig tot personeel.

Ook in de beveiligede delen kunnen zwaktes bestaan, en moeten dus onderzocht en gerepareerd worden
Anoniem: 414757 @FreshMaker9 november 2017 13:15
Ik beweer niet dat we geen beveiliging nodig hebben.

Maar die creabea oplossing van Intel vraagt om problemen. Sterker nog het is niet alleen je eigen toegepaste OS dat je hoeft te beveiligen, je krijgt er eentje gratis bij. Hoe mooi de oplossing ook klinkt, de problemen zijn alleen toegenomen en niet af.

Als je de hardware al niet kunt vertrouwen is alles wat je daarop bouwt niet te vertrouwen.
Skywalker27 @Anoniem: 4147579 november 2017 12:54
Dat is al heel lang het geval weet je hoeveel gaten er gedicht worden in AV software.
Rudie_V @Anoniem: 4147579 november 2017 12:31
Lastig om voor de toekomst te praten, maar voorlopig zal software altijd te hacken zijn. En zo vreemd is het niet om je beveiliging te updaten, of update jij nooit je besturingssysteem of je antivirus of je firewall? Het probleem met dit is dat het erg diep in het systeem zit en onafhankelijk van het besturingssysteem kan opereren, maar ook de ime ontvangt gewoon updates(als ik even googlet).
Anoniem: 414757 @Rudie_V9 november 2017 12:35
Dat begrijp ik wel, maar vaak zit het hem in implementaties van software en het gebrek aan kwaliteit. Bij het oplossen van problemen moet je ze oplossen en niet een systeem bedenken die de symptomen bestrijd en nieuwe problemen opleverd.
FreezeXJ @Anoniem: 4147579 november 2017 13:44
Security through obscurity (wat Intel hier probeerde) is heel populair, want totdat het ontdekt wordt is het de allergoedkoopste oplossing. Management blij, en devs halen hun targets... Als de boel omvalt hoop je dat je al lang vertrokken bent... De meeste partijen hebben er overigens geen belang bij om dit soort lekken naar buiten te brengen, alleen die vermaledijde white hats moeten weer de pers opzoeken. Verbieden dus die lui!
Rudie_V @Anoniem: 4147579 november 2017 13:38
Dat kan je natuurlijk ook over andere beveilgingsprodukten zeggen zoals antivirus en firewalls, deze bestrijden ook bepaalde problemen, maar kunnen zelf ook fouten bevatten. Software blijft nog mensenwerk en kan dus fouten bevatten.
Kwaliteit is een ander verhaal ja en van een bedrijf als intel en de mogelijkheden van de ime mag je wel iets goeds verwachten. Of dit slecht programmeer werk is of iets 'by design' durf ik niet te zeggen. Maar het is onrealistisch om te denken dat iets als de ime niet vatbaar voor hacks zou zijn.
Cerberus_tm @Rudie_V9 november 2017 13:49
Is het probleem niet dat het feit dat je bepaalde software kunt updaten, er ook voor zorgt dat je die met malware kunt infecteren? Even een extreem voorbeeld: als je van een DVD met Linux boot, kan je OS in principe nooit langer dan 1 sessie geïnfecteerd raken. Zodra je de computer uitzet is de infectie in principe verholpen, omdat er bij het opstarten geen code wordt uitgevoerd buiten de (onschrijfbare) DVD. En je wordt niet vanuit het niets geïnfecteerd: daarvoor moet je toch echt het Internet op en/of foute bestanden uitvoeren.
Rudie_V @Cerberus_tm9 november 2017 13:57
Niet zozeer de update-functionaliteit, maar eerder het feit dat het systeem modificeerbaar is, als in dat het beschrijfbaar is. Genoeg virussen die gebruik maken van fouten in andere stukjes software dan de update-functionaliteit om zo het systeem te veranderen waardoor het virus elke keer wordt geladen. Een read-only medium voorkomt dat zo'n modificatie mogelijk is, maar neemt niet weg dat het systeem te infecteren is.
Cerberus_tm @Rudie_V9 november 2017 14:02
Ja, laat ik het zo zeggen: de enige reden waarom veel firmware op een beschrijfbaar medium staat, is omdat die dan geüpdate kan worden, en zo is die updatebaarheid dus indirect een oorzaak van onveiligheid.
Rudie_V @Cerberus_tm9 november 2017 14:15
Ow bedoel je het op die manier. Ja dan heb je gelijk, doordat het updatebaar moet zijn staat het op een beschrijfbaar medium en kunnen exploits dus ook weggeschreven worden. Maar als je het niet updatebaar maakt kan je weer geen fouten herstellen en kan het net zo goed vatbaar blijven voor hacks. Komen we weer uit bij goede software schrijven. :)
Cerberus_tm @Rudie_V10 november 2017 00:29
Goede software is altijd goed! Maar ja, in de Management Engine zit blijkbaar Minix, dat toch extreem goed geschreven schijnt te zijn. En toch is dat niet veilig genoeg (vanwege de andere software die daaromheen zit, vermoedelijk). Wat mij betreft mag het geheugen van de processor/chipset onbeschrijfbaar zijn, maar makkelijk vervangbaar, opdat Intel mensen indien nodig per post een klein chipje kan zenden om het te vervangen. Of desnoods wel via het Internet beschrijfbaar zoals nu, maar dan met een hardware-switch die je even om moet zetten voordat het beschrijfbaar wordt.
Rudie_V @Cerberus_tm10 november 2017 10:32
Een chip zenden naar de miljoenen klanten is geen doen. :) Als de ime dan echt zo'n belangrijk ding is zou ik liever zien dat je bijvoorbeeld een jumper om moet zetten om het beschrijfbaar te maken, of misschien een optie in het bios/uefi waar je het van read-only naar writable kan zetten.
Cerberus_tm @Rudie_V10 november 2017 13:22
Dat is wat ik bedoelde met een hardware-switch inderdaad.
TWyk 9 november 2017 13:37
USB lekken zijn wel poulair momenteel:
http://webwereld.nl/secur...nel-zit-vol-met-usb-gaten
Anoniem: 28912 @TWyk9 november 2017 14:17
USB is natuurlijk per definitie onveilig. Wel eens van USB killers gehoord? Steek je in een computer en het blaast de USB bus; danwel de hele computer op.
GekkePrutser @Anoniem: 289129 november 2017 14:47
Dat is niet echt een beveiligingsprobleem. Het is een hardware denial of service. Net zoals een hamer dat is :)

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 22:42]

SCS2 @Anoniem: 289129 november 2017 19:16
Het tijdschrift C'T heeft net heel veel van dat soort ongein besproken in nummer Nov-2017 pag 41.
Je schrikt je rot, wat er allemaal bestaat.
Anoniem: 28912 @SCS210 november 2017 09:53
Ja, de laatste editie heb ik inderdaad ook even doorgekeken. Sommige van die 'speeltjes' zijn gelukkig niet aan de goedkope kant. Hopelijk zet het mensen aan het denken, dat ze de volgende keer niet zomaar op de gratis WiFi verbinding springen om vervolgens al hun apps gewoon te gebruiken.

@GekkePrutser : Klopt inderdaad.
vanthome 9 november 2017 12:08
Ik weet niet zeker of dit een typo is, maar in de een na laatste zin van de een na laatste alinea staat "kan blijven bestaan ondanks herinstallaties op bios-updates" moet hier "op" niet "of" zijn?

[Reactie gewijzigd door vanthome op 24 juli 2024 22:42]

Anoniem: 896479 @vanthome10 november 2017 15:21
Dan mag je dat hier melden Geachte Redactie

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq