Intel gaat downgrade van Management Engine-firmware hardwarematig voorkomen

Intel gaat in een nieuwe versie van zijn Management Engine, met nummer 12, een downgrade naar vorige versienummers hardwarematig voorkomen. Inschakelen van de functie is optioneel voor fabrikanten, maar wordt sterk aangeraden door Intel.

Intel beschrijft zijn plannen in een vertrouwelijk document, dat werd ontdekt door The Register op de GitHub-pagina van de tool om de Management Engine, oftewel ME, uit te schakelen. De chipfabrikant schrijft dat de huidige bescherming tegen het installeren van een oudere versie van de ME-firmware het mogelijk maakt dat er alsnog een nieuwe versie wordt geflasht, door middel van fysieke toegang. Dat kan bijvoorbeeld met een flashtool van fabrikant DediProg, aldus Intel. Om een dergelijke fysieke downgrade te voorkomen wil het bedrijf hardwarematige bescherming inzetten.

Dat doet de fabrikant door middel van een zogenaamd svn, dat wordt opgeslagen in field programmable fuses. Dat is geheugen dat eenmalig beschreven kan worden en daarna niet meer eenvoudig aan te passen is. Het svn wordt elke keer verhoogd als er een kwetsbaarheid is gepatcht, aldus Intel. Vanaf versie 12 van de Management Engine wordt de nieuwe waarde van het nummer opgeslagen. Het ME-rom controleert elke keer bij het starten of de firmware een correct svn heeft. Bovendien zijn alle cryptografische sleutels gekoppeld aan het nummer, zodat een aanvaller geen toegang tot de sleutels kan krijgen door een fysieke downgradeaanval.

Een systeem start alleen als het versienummer van de ME-firmware groter of gelijk is aan het nummer dat is opgeslagen in de fpf's. Een systeem dat om die reden niet start, kan alleen hersteld worden door de juiste versie van de firmware te flashen. Fabrikanten hebben de keuze of ze de beschermingsmaatregel in Coffee Lake- of Cannon Lake-processors aanzetten, maar Intel schrijft dat dit 'sterk wordt aangeraden'. De standaardinstelling is dat de functie is uitgeschakeld, maar volgens de chipmaker kan dit in de toekomst veranderen. In dat geval hebben fabrikanten de mogelijkheid van een opt-out.

De plannen volgen op de Intels publicatie van een aantal kwetsbaarheden in versie 11 van zijn Management Engine, die aanwezig is in cpu's vanaf de Skylake-generatie. Een aanvaller kan de lekken misbruiken om code uit te voeren zonder dat gebruikers dit merken, waarschuwde de chipmaker eind november. Intel ontdekte de lekken na een eigen analyse, die het uitvoerde naar aanleiding van ontdekkingen van onderzoekers van beveiligingsbedrijf Positive Technologies. Dat ontdekte onder meer dat de ME uit te schakelen is. Verschillende fabrikanten, zoals Purism en System76, maken van die optie gebruik. Critici noemen de ME een backdoor, omdat deze vergaande toegang tot het systeem biedt.

Reacties (82)

BugsNL 13 december 2017 11:41

Kan iemand mij uitleggen wat voor een impact dit heeft op de "normale gebruiker" van een systeem?

vlaaing peerd @BugsNL • 13 december 2017 12:01

Weinig. Nog steeds is je netwerkkaart actief als de PC uit staat mits de stroom/netwerkkabel er maar inzit, kan het data vanaf de harde schijf uitlezen en zit er een obscuur stukje code in een hidden gedeelte van de BIOS die je er met een normale flash niet uithaalt.

Het verschil is nu dat kwaadwillenden die niet voor Intel werken, er wat moeilijker bij kunnen. Tot de volgende exploit tenminste.

Beter was het dat ME er helemaal niet inzit, want de toegevoegde waarde voor de "normale gebruiker" is ook nagenoeg 0,0 terwijl de exploitability ermee wel enorm is gestegen.

0xygen500 @vlaaing peerd • 13 december 2017 12:22

Waarvoor gebruik je ME wel ?

vlaaing peerd @0xygen500 • 13 december 2017 12:53

Ja, goeie vraag. Je kan het gebruiken voor remote beheer en onderhoud in een netwerk. Niet bepaald iets wat me nodig lijkt in een consumenten PC. In servers kan ik me de handigheid van remote beheer wel voorstellen, maar daar heb je de BMC/iKVM al voor.

CAPSLOCK2000

Security
Netwerk en systeembeheer

@vlaaing peerd • 13 december 2017 13:44

In servers kan ik me de handigheid van remote beheer wel voorstellen, maar daar heb je de BMC/iKVM al voor.

Zo'n BMC/KVM/ moet ergens aan de rest van je systeem gekoppeld worden. Daar kun je die ME voor gebruiken. Het kan ook anders maar dan moet de fabrikant z'n eigen chip ontwerpen en integreren. De meesten zullen er voor kiezen om zoveel mogelijk gebruik te maken van de tools die Intel levert.
Op zich is er ook niks mis met die ME-chip, er is een legitieme behoefte aan dat soort functionaliteit. Waar het mis gaat is dat Intel niet open is over de werking van deze chip. Er blijkt een berg software op te draaien waar niemand iets van af wist, waar dan ook nog eens ernstige beveiligingsfouten in zaten. Toen dat werd ontdekt bleef Intel geheimzinnig doen.

Het vertrouwen in Intel is daardoor flink beschadigd, en dat is niet zo best voor een bedrijf dat de processoren maakt in vrijwel al onze computer. Het nieuwtje van vandaag (dat downgrades worden geblokkeerd) wordt dan ook door velen met argusogen bekeken. Doet Intel dit om de gebruikers te helpen of om haar eigen geheimen te beschermen? De wat meer paranoide gebruikers vragen zich af of Intel dit doet om te voorkomen dat gebruikers de ingebouwde backdoor uitschakelen.

Waarschijnlijk zijn die verdenkingen allemaal onterecht, maar Intel heeft het over zichzelf afgeroepen door belangrijke informatie achter te houden.

CMD-Snake @CAPSLOCK2000 • 13 december 2017 15:58

Zo'n BMC/KVM/ moet ergens aan de rest van je systeem gekoppeld worden. Daar kun je die ME voor gebruiken. Het kan ook anders maar dan moet de fabrikant z'n eigen chip ontwerpen en integreren. De meesten zullen er voor kiezen om zoveel mogelijk gebruik te maken van de tools die Intel levert.
Op zich is er ook niks mis met die ME-chip, er is een legitieme behoefte aan dat soort functionaliteit. Waar het mis gaat is dat Intel niet open is over de werking van deze chip. Er blijkt een berg software op te draaien waar niemand iets van af wist, waar dan ook nog eens ernstige beveiligingsfouten in zaten. Toen dat werd ontdekt bleef Intel geheimzinnig doen.

AMD heeft exact hetzelfde met PSP, welke hun variant op Intel ME. PSP mag je ook niets van weten, mede omdat het in licentie van ARM gemaakt is.

Intel ME is gebouwd rondom minix. Toch moest een aanvaller voor de exploit van Intel ME fysiek toegang hebben tot de computer. Het is niet dat je over het internet systemen kon aanvallen ermee.

GeroldM @CMD-Snake • 13 december 2017 17:29

De vraag is dan of AMD zelf niets wil vermelden over PSP of dat MD vanwege de licentie niets mag melden over PSP.

Voor het uiteindelijke resultaat maakt het niet uit, de klant zit met de brokken. Intel is daar duidelijker in, zij willen niet dat er informatie over ME word uitgebracht. Niet meer dan strikt noodzakelijk, in ieder geval.

En daar is Intel helemaal vrij in. Net zoals ik dat ben door een moederbord voor een processor van een andere fabrikant aan te schaffen. AMD Ryzen is voor mijn doen en laten dan toch het betere alternatief.

Als ik dan toch hetzelfde gezeik over me heen krijg, dan wil ik er zo min mogelijk voor betalen.

DragonSupremacy @GeroldM • 13 december 2017 23:45

Je kunt inmiddels de PSP al uitzetten op een Ryzen systeem, mits je mobo de 1072a AGESA heeft:
https://www.reddit.com/r/.../?st=jawq1tt4&sh=eacf3aa8

Bron: https://www.reddit.com/r/.../?st=jawq1tt4&sh=eacf3aa8

[Reactie gewijzigd door DragonSupremacy op 22 juli 2024 19:58]

PolarBear @0xygen500 • 13 december 2017 12:37

Voor out-of-band management.

Critici noemen de ME een backdoor, omdat deze vergaande toegang tot het systeem biedt.

Dat is in feite ook wat zo handig is aan de ME. Je kan altijd op afstand bij je systeem. VOor de thuisgebruiker misschien niet zo relevant, maar voor serverbeheer onmisbaar. Kijk naar https://nl.wikipedia.org/wiki/HP_Integrated_Lights-Out of Idrac van Dell.

TD-er

@PolarBear • 13 december 2017 13:16

Met dit verschil dat Intel's ME veel verdergaande toegang geeft tot het systeem dan HP's ILO, Dell's idrac en IPMI (diverse fabrikanten).

Intel's ME kan zelfs CPU registers en geheugen uitlezen, data tussen devices en CPU monitoren en nog wat meer. Dat kan met de andere OOBM tools niet.

vlaaing peerd @PolarBear • 15 december 2017 09:54

Voor zover ik weet is ILO en de Dell/SuperMicro/ASUS/enz varianten gebaseerd op een eigen chip. Je had nl al OOB managment voor Intel ME en de AMD variant.

Niet dat je die krengen aan internet wil hangen zonder dicht te knuppen, maar ME is er niet voor nodig.

Dennism

Processors
Intel
Security

@0xygen500 • 13 december 2017 12:35

Onder andere voor Out-Of-Band management is de Intel ME te gebruiken, zie https://en.wikipedia.org/...ive_Management_Technology voor alle mogelijkheden.

rbr320 @0xygen500 • 13 december 2017 12:36

Het op afstand beheren van machines in een bedrijfsomgeving, bijvoorbeeld als je een image moet uitrollen op een pc die uit staat kan je via de ME de pc inschakelen en zorgen dat hij vanaf het netwerk gaat booten. En er zijn vast nog andere toepassingen te bedenken.

Gelukkig zijn er tegenwoordig methodes bekend om op je thuis pc de IME volledig uit te schakelen.

gfgw @rbr320 • 13 december 2017 13:18

Wat was er mis met wake-on-lan....

rbr320 @gfgw • 13 december 2017 13:23

Dat vraag ik me ook al de hele tijd af, vandaar dat ik zei dat de IME waarschijnlijk ook andere toepassingen heeft.

inhico @rbr320 • 13 december 2017 13:46

"Gelukkig zijn er tegenwoordig methodes bekend om op je thuis pc de IME volledig uit te schakelen."

Heb je links voor mij?

rbr320 @inhico • 13 december 2017 15:03

Niet direct, ik ga af van het nieuws dat ik de afgelopen tijd heb gelezen. Google levert me het volgende op:
https://github.com/ptresearch/unME11
http://blog.system76.com/...-me-firmware-updates-plan

SSDtje

@0xygen500 • 13 december 2017 14:56

Wellicht dat deze twee gelinkte pagina's hieronder je er wat meer duidelijkheid over kunnen geven:

- Frequently Asked Questions for the Intel® Management Engine Verification Utility = Een pagina van Intel zelf die hier uitleg over geeft, en meer.
- Intel Management Engine driver. Wat is het? = Een geopend Forum op Tweakers.net over de Intel Management Engine

Jerie

@vlaaing peerd • 18 december 2017 08:22

Waar ik meer aan zat te denken is het feit dat je met een downgrade attack de boel ook kunt strippen, terwijl je dat zonder downgrade attack niet meer kan (tot een nieuwe kwetsbaarheid is gevonden). Het is een beetje het catch 22 (soort van kip/ei verhaal) van de jailbreak. Wil je een jailbreak, heb je een kwetsbaarheid nodig. Maar je wilt eigenlijk geen kwetsbaarheid die anderen ook kunnen misbruiken.

16K @BugsNL • 13 december 2017 12:20

Hier een mooie uitleg:

https://youtu.be/eZtU1ygSx9U

[Reactie gewijzigd door 16K op 22 juli 2024 19:58]

Pendora @BugsNL • 13 december 2017 11:51

ALS er een remote exploit mogelijk gaat zijn is elke computer met een intel CPU gehacked worden. Dit is een extra en vooral nutteloze (voor consumenten) plek waar bugs kunnen optreden.
Updaten gaat alleen als je het hele moederbord update. Wat de meeste mensen zeer beperkt doen.

t link @Pendora • 13 december 2017 20:26

Niet elke computer, elke computer vanaf een bepaalde generatie processors.

Mayonaise @BugsNL • 13 december 2017 15:11

Voor mij veel. Met Intel ME 11 (of 10) moet ik mijn laptop hard resetten nadat hij in slaaptstand valt. Met ME 9 heb ik helemaal geen problemen. Een probleem is dat Windows altijd automatisch de laatste nieuwe versie probeert te installeren, en dat gebeurt sowieso wanneer ik Windows formateer.

Delph1900 @Mayonaise • 13 december 2017 18:36

Ook hier problemen op een DELL XPS 13 9333 met in hibernate gaan met ME 10 en 11.
Met ME 9 geen enkel probleem.

Niet_origineel @Mayonaise • 14 december 2017 12:40

Ook hier hetzelfde probleem op mijn ASUS F550LAV. Ook een tijdje terug maar gedowngraded naar ME 9. Sindsdien geen problemen meer. Update verbergen via de te downloaden troubleshooter en het blijft werken.

Ik zal hier ongetwijfeld mee inleveren op veiligheid.... het is niet anders.

[Reactie gewijzigd door Niet_origineel op 22 juli 2024 19:58]

TCIS @BugsNL • 13 december 2017 11:42

Helemaal niks.

Dj Neo Ziggy 13 december 2017 11:38

Ik moet zeggen dat ik erg blij ben met mijn asus rog moederbord, vorige maand werd er een update uitgegeven voor de UEFI, waardoor ze het zooitje eruit hebben gehaald. En dat voor een mobo met een Z170 chipset.
Tevens is de opstarttijd gehalveerd.

SuperDre @Dj Neo Ziggy • 13 december 2017 15:12

Ze hebben daar het zooitje niet er uit gehaald, ze hebben de ME geupdate zodat het bekende lek gedicht is.

Cowamundo @Dj Neo Ziggy • 13 december 2017 12:03

ASRock heeft ook voor veel moederborden een BIOS update uitgebracht met:

-Update Intel ME 11.8.50.3425.

Montoya200x @Dj Neo Ziggy • 13 december 2017 12:42

Definieer zooitje ?
Want nu is er bij mij het volgende niet duidelijk uit je post :
1) Of er voor je mainboard gewoon een update van de ME is geweest via UEFI update
2) Of dat Asus de ME opties uit je UEFI heeft gehaald met deze UEFI update.
3) Wat er dan voor gezorgd heeft dat je opstarttijd gehalveerd is bij deze UEFI update

Edit:typo EM>ME

[Reactie gewijzigd door Montoya200x op 22 juli 2024 19:58]

Dj Neo Ziggy @Montoya200x • 13 december 2017 15:59

Het is nummertje 2.
En waarom ie nou ineens 3x zo snel geworden is. Het viel me echt op.

toro 13 december 2017 11:36

Mijn volgende systeem word dus een niet Intel based systeem.

En dan volgende week in het nieuws: AMD

Stoelpoot @toro • 13 december 2017 11:43

Of iig een mobo zonder de Intel ME engine. En verder is het helaas nog wachten op de GDPR om al deze misstanden streng aan te toetsen. Man, dat gaat me wat avonden kosten...

graey @Stoelpoot • 13 december 2017 11:54

_{De ME-engine? Management Engine-Engine?}
Ontopic: helaas is dat geen optie, aangezien zowel AMT als ME in de CPU worden ingebakken...

lodew @graey • 13 december 2017 12:08

Dat wordt niet in de cpu ingebakken maar in de pch (chipset) dewelke op het moederbord zit.
Elke keer opnieuw blijf ik die bullshit hier lezen, zowel door de gebruikers als in de nieuwpost zelf.

De pch's die versie 11 gebruiken:

Voor de consumenten:
Intel CSME 11.11 Consumer PCH-H Firmware v11.11.50.1422
For X299 SKL-X/KBL-X systems which come with CSME v11.10 - v11.11
Intel CSME 11.11 Slim PCH-H Firmware v11.11.50.xxxx Placeholder
For X299 SKL-X/KBL-X systems which come with CSME v11.10 - v11.11
Intel CSME 11.10 Slim PCH-H Firmware v11.10.0.1300
For X299 SKL-X/KBL-X systems which come with CSME v11.10
Intel CSME 11.8 Consumer PCH-H Firmware v11.8.50.3426
For 100/200/300-series SKL/KBL/CFL-S and SKL/KBL/CFL-H systems which come with CSME v11.0 - v11.8
Intel CSME 11.8 Consumer PCH-LP Firmware v11.8.50.3425
For 100/200/300-series SKL/KBL(R)/CFL-U and SKL/KBL/CFL-Y systems which come with CSME v11.0 - v11.8
Intel CSME 11.8 Slim PCH-H Firmware v11.8.x.xxxx Placeholder
For 100/200/300-series SKL/KBL/CFL-S and SKL/KBL/CFL-H systems which come with CSME v11.0 - v11.8
Intel CSME 11.8 Slim PCH-LP Firmware v11.8.x.xxxx Placeholder
For 100/200/300-series SKL/KBL(R)/CFL-U and SKL/KBL/CFL-Y systems which come with CSME v11.0 - v11.8
Intel CSME 11.6 Slim PCH-H Firmware v11.6.14.1241
For 100/200-series SKL/KBL-S and SKL/KBL-H systems which come with CSME v11.0 - v11.6
Intel CSME 11.6 Slim PCH-LP Firmware v11.6.14.1241
For 100/200-series SKL/KBL-U and SKL/KBL-Y systems which come with CSME v11.0 - v11.6

Voor corporate systemen:

Intel CSME 11.21 Corporate PCH-H Firmware v11.21.50.1424
For C620-series SKL-SP systems which come with CSME v11.20 - v11.21
Intel CSME 11.11 Corporate PCH-H Firmware v11.11.50.1422
For C422 SKL-X systems which come with CSME v11.10 - v11.11
Intel CSME 11.8 Corporate PCH-H Firmware v11.8.50.3425
For 100/200/300-series SKL/KBL/CFL-S and SKL/KBL/CFL-H systems which come with CSME v11.0 - v11.8
Intel CSME 11.8 Corporate PCH-LP Firmware v11.8.50.3425
For 100/200/300-series SKL/KBL(R)/CFL-U and SKL/KBL/CFL-Y systems which come with CSME v11.0 - v11.8

Montoya200x @lodew • 13 december 2017 13:30

Voor Asrock gebruikers, zoals ik, hier het overzicht:
https://www.asrock.com/microsite/2017IntelFirmware/

janbaarda @lodew • 13 december 2017 12:14

Kan je deze pch ook van andere partijen betrekken? En dan natuurlijk zonder ME.

EraYaN @janbaarda • 13 december 2017 12:26

Derde partij chipset is al heel lang geen ding meer.

CAPSLOCK2000

Security
Netwerk en systeembeheer

@lodew • 13 december 2017 13:51

Dat wordt niet in de cpu ingebakken maar in de pch (chipset) dewelke op het moederbord zit.
Elke keer opnieuw blijf ik die bullshit hier lezen, zowel door de gebruikers als in de nieuwpost zelf.

Ik geloof dat veel verwarring ontstaat doordat mensen niet helemaal hebben meegkregen wat de PCH is en hoe die zich verhoudt tussen de oude "north bridge" en "south bridge".
De PCH is een mix van de functies van NB en de SB. Een deel van de functies van de oude NB is naar de CPU verplaatst. Veel mensen denken dat de hele NB naar de CPU is verplaatst en dat PCH en NB hetzelfde zijn. Vervolgens concluderen ze dus dat de PCH in de CPU moet zitten.

In praktijk maakt het eigenlijk weinig uit. Er is geen alternatief voor de PCH. Als je zo'n modern mobo hebt dan zit er een PCH op. Wat dat betreft zou de PCH inderdaad net zo goed deel van CPU kunnen zijn.

Stoney3K @graey • 13 december 2017 12:07

Dat kan nog altijd betekenen dat de ME niet aan de buitenkant wordt aangeboden.

Het is namelijk een op zichzelf staand stukje hardware met microcode wat direct met de randapparatuur communiceert zonder dat het OS ertussen zit, daarom zit er op 'managed' borden ook een tweede netwerkadapter. Op consumentenborden wordt het eigenlijk nergens voor gebruikt.

TonnyTonny @Stoney3K • 13 december 2017 13:05

Op consumenten borden wordt het niet bewust gebruikt door de consument....
Fixed that for you...

2e netwerk kaart is overigens helemaal niet nodig.De ME gebruikt gewoon de onboard Intel LAN controller die toch al in dezelfde chipset zit.

Op server-boarden zie je wel meestal een extra NIC om 2 redenen:
a) Zodat deze apart aan te sluiten is op een special managment LAN (vaak ook via andere switches dan de normale LAN aansluiting(en).)
b) de BMC is vaak een separate hardware module met eigen CPU en LAN interfac die volledig lost staat van de moederbord chipset zodat je (o.a.) via de BMC nog diagnostics kunt doen als het normale moederbord vrijwel helemaal dood is.

Stoney3K @TonnyTonny • 13 december 2017 13:15

Op consumenten borden wordt het niet bewust gebruikt door de consument....
Fixed that for you...

Heb je ook een bron om zulke claims te onderbouwen of moet ik vertrouwen op je gezonde dosis paranoia?

TonnyTonny @Stoney3K • 13 december 2017 23:21

Ik geef toe dat het een beetje "tongue in cheek" was

Maar laten we wel wezen... Als ik mijn alu hoedje opzet...
Niemand die echt weet in hoevere er al exploits voor de IME in het wild rondzwerven.
Of dat er niet een of ander 3-letter afkorting bureau een aantal moederbord fabrikanten heeft gevraagd om wat extra "payload" er in te frommelen.

Ik hoop dat het wel meevalt, maar het zou me ook niks verbazen als dat niet zo was.

Titan_Fox @TonnyTonny • 13 december 2017 14:35

Hoe zit het dan als er een niet-Intel LAN controller op je mainboard zit of je enkel gebruik maakt van een USB / PCI netwerkadapter ? Kan de IME dan nog steeds haar werk doen ?

TonnyTonny @Titan_Fox • 13 december 2017 23:16

USB nee (misschien wel als het een Intel NIC met USB is maar die heb ik nog nooit in het wild gezien.)
Bij on-board (niet-Intel) LAN alleen als de moederbord fabrikant dat mogelijk heeft gemaakt door de IME uit te breiden met een extra aansturing voor die NIC.
Iedere andere insteekkaart (PCI, PCIe) niet, met uitzondering van Intel based NICs, omdat de basis driver daarvan voor alle Intel NIC chips identiek is en al in iedere IME zit.

Titan_Fox @TonnyTonny • 14 december 2017 03:45

Feitelijk is IME enkel een potentiële backdoor als er aan aardig wat voorwaarden wordt voldaan.

TonnyTonny @Titan_Fox • 14 december 2017 10:33

Feitelijk is IME enkel een potentiële backdoor als er aan aardig wat voorwaarden wordt voldaan.

Goed beschouwd eigenlijk niet...
Als je PC een kwetsbare IME heeft (grote kans gezien het marktaandeel Intel based moederborden) dan is er in feite niks dat je er tegen kunt doen. Behalve de Intel NIC niet gebruiken of de hele PC never aan een netwerk hangen.
Als je met die PC op een comprmised LAN komt ben je potentieel het haasje. Omdat de IME buiten het OS om loopt is er niks op OS niveau (zoals virusscanner) dat in de gaten heeft dat er wat loos is.

Nou zal een fatsoenlijk beveiligd bedrijfsnetwerk niet zo gauw compromised raken (en als het wel zo is dan heeft een attacker veel meer en veel makkelijker mogelijkheden om zijjn doelen te bereiken), maar "publieke" netwerken...

Niemand (behalve misschien de CIA, NSA, en dergelijke) die echt weet hoe hoog het riscio in de praktijk nou werkelijk is.

Stoelpoot @graey • 13 december 2017 12:04

He shit, doe ik t fout. Je hebt helemaal gelijk. Gelijk even uitprinten als herinnering

Magic @toro • 13 december 2017 11:42

Wellicht zie ik iets over het hoofd, maar wat is hiervoor het nadeel voor consumenten?

Tout @Magic • 13 december 2017 11:47

Intel ME is een processor in de processor met toegang tot heel veel resources. Waaronder ook netwerk toegang. Als deze is ingeschakeld, dan kun je met de Intel ME ongezien toegang tot je PC krijgen, remote. Dit wordt gezien als een backdoor die gebruikt kan worden door overheidsinstellingen, maar ook gevoelig is voor hacks.

Je hebt als gebruiker geen invloed hierop, je kunt niet zien wat voor taken deze aparte processor in je CPU uitvoert. Dus in principe kan ongezien volledige toegang tot je systeem worden gekregen.

Magic @Tout • 13 december 2017 11:51

Ik snap wat de intel ME doet, Ik doel meer specifiek op het stukje dat een downgrade niet mogelijk is. Ik dacht ook dat de reactie van @toro daarop berust was. Wellicht dat hij de aanwezigheid van de ME zelf als reden ziet om geen Intel te kiezen. In dat geval: my bad

[Reactie gewijzigd door Magic op 22 juli 2024 19:58]

unfold @Magic • 13 december 2017 11:47

Zie het stukje "security vulnerabilities" op Wikipedia:
https://en.wikipedia.org/wiki/Intel_Management_Engine

--Andre-- @Magic • 13 december 2017 11:51

Volgens de critici is het een backdoor. Er zijn consumenten die het niet comfortabel vinden dat er zo'n laag waar men geen contrôle over heeft en die onbeperkte toegang heeft tot het systeem, op hun systeem draait.

t link @--Andre-- • 13 december 2017 20:33

Nouja niet alleen volgens critici, het is per defenitie gewoon een backdoor, het is namelijk een remote access tool. of die er nou met intentie zit of niet, kwaadaardig of niet, het blijft een backdoor.

--Andre-- @t link • 14 december 2017 08:50

Tuurlijk is het dat, maar om nu gelijk te roepen dat de amerikaanse geheime dienst alles mee leest is ook weer een aluhoedjesverhaal.

Bovendien heb ik begrepen dat je het geheel eerst moet initialiseren, je moet de remote access functionaliteit aan zetten. Dit gegeven kan het argument backdoor ontkrachten

t link @--Andre-- • 14 december 2017 15:25

Zelfs dan blijft het iets wat op je systeem staat, uitgeschakelt of niet, het blijft een backdoor. je hebt hem alleen op slot gedraait. de software ervoor is nogsteeds aanwezig, pas als je die verwijderd is de backdoor weg. overigens weten we nieteens of je het wel echt uit kunt zetten via uefi/bios. er zit een knop maar wat die doet binnen IME is een mysterie.

Caayn @Magic • 13 december 2017 11:55

Een nieuwe versie die potentieel lijdt tot een instabiel(er) systeem is bijvoorbeeld een reden voor een downgrade naar een stabielere versie, ook als consument zijnde.

Tout @toro • 13 december 2017 11:43

AMD heeft dit ook helaas PSP heet dat bij hen

unfold @toro • 13 december 2017 11:43

AMD heeft dit ook. Dat was vorige week in het nieuws :-)

EraYaN @toro • 13 december 2017 12:27

AMD moet ook nog maar hun belofte waarmaken met betreft het uitschakelen van (delen) van de PSP.

SuperDre @toro • 13 december 2017 15:11

Het gaat hier om dat je niet naar een lagere firmware kunt downgraden waar het bekende lek in zit. Niet dat men niet meer de ME kan uitschakelen.

Tout @toro • 13 december 2017 11:59

Misschien dat NXP geen backdoors inbakt. NXP is niet een Amerikaans bedrijf, misschien dat dat uitmaakt.

scsirob @Tout • 13 december 2017 13:08

In ander nieuws:
https://fd.nl/ondernemen/...an-branchegenoot-qualcomm

Verwijderd 13 december 2017 12:07

Het deurtje moet open blijven..)

Sandwalker

@Verwijderd • 13 december 2017 12:38

Als het in mijn laptop zit, en ik kan hem dan na diefstal traceren, echt wel. Dat is gewoon de volgende opdracht voor Intel marketing, maak er een consumenten feature van. Link je CPU of moederbord aan je account.

Als ze dit handig doen, droogt ook de handel in tweedehands moederborden op, omdat je niet wilt dat een derde partij via de intel autorisatie controle over je pc kan overnemen. Je moet dus wel een nieuwe, nog niet geregistreerde kopen. Hebben we deze discussie vanuit een andere richting nogmaals.

XRayXI @Sandwalker • 13 december 2017 13:00

"handig doen, droogt ook de handel in tweedehands moederborden op", dat zou een kwalijke zaak zijn in de vrije handel op de tweede handse markt. Dat is niet op te lossen door even een BIOS te resetten. En/ of jij komt er niet meer bij en vaarwel moederbord dat je even aan een familielid wilt geven/uitlenen. Zet dan ergens een GPS module verborgen in je laptop of een ander optie.

Sandwalker

@XRayXI • 13 december 2017 13:06

Zoals ik al aangaf met "Hebben we deze discussie vanuit een andere richting nogmaals" is dat inderdaad niet wenselijk voor de populatie als geheel. Intel en de moederbordboeren zitten echter aan de voorkant, dus die hebben niet direct baat bij tweedehands handel.

Loggedinasroot 13 december 2017 11:47

https://www.reddit.com/r/...ows_disabling_psp_secure/

The Zep Man

Netwerk en systeembeheer
Security

@Loggedinasroot • 13 december 2017 11:56

Eerst zien, dan geloven. Er zijn in het verleden wel eens vaker beloftes potentiële toezeggingen gedaan vanuit AMD die niet waar gemaakt zijn, bijvoorbeeld om bepaalde delen van Ryzen CPU's/chipsets open-source te maken, om zo open-source bootcode (Libreboot/Coeboot) te ondersteunen. Uiteindelijk is dat niet gedaan.

Er is ook dit draadje, maar dat is nog geen bewijs. Let ook op als dat dit werkt, dat bijvoorbeeld BitLocker niet meer zal werken omdat de firmware TPM vanuit de PSP wordt aangeboden (hetzelfde als bij Intel's ME, overigens).

[edit]
Bewoording aangepast omdat belofte mogelijk te sterk was.

Dat AMD PSP niet open-source maakt is niet zo ernstig. Wel is het ernstig dat het niet is uit te schakelen. Hopelijk komt AMD hier daadwerkelijk op terug voor alle getroffen systemen.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 19:58]

Loggedinasroot @The Zep Man • 13 december 2017 12:02

Wanneer hebben ze die belofte gedaan?
Het enige wat ik mij kan herrineren is dat ze er naar zouden gaan kijken en uiteindelijk zeiden dat ze het niet konden omdat het om third party software gaat.

Verder of het daadwerkelijk wordt uitgeschakeld? Geen idee.

Verwijderd 13 december 2017 11:55

Er wordt in het artikel niet duidelijk vermeld dat Intel dit doet om te voorkomen dat gebruikers of fabrikanten de IME uitzetten. Ze werken dus tegen dat mensen dit spionage gereedschap uitzetten.

Het wordt tijd dat er een andere CPU technologie komt, op basis van RISC-V of zo.

SuperDre @Verwijderd • 13 december 2017 15:16

Nee, Intel doet dit om te voorkomen dat men downgrade naar de ME die nog wel de bekende kwetsbaarheden heeft. Jij hebt het artikel niet begrepen (of het artikel is sinds dat jij het gelezen hebt weer eens aangepast). Men kan dus nog steeds gewoon de ME uitschakelen als men dat wil, wat dus niet meer kan is dat iemand die fysiek toegang heeft tot de computer de ME downgraden naar een versie die wel dus de problemen had.

Verwijderd @SuperDre • 13 december 2017 15:18

Misschien is mijn Engels niet zo goed maar volgens mij staat er in het oorspronkelijke artikel van The Register toch wat anders:

"Intel's Coffee Lake and Cannon Lake x86 processors can be fortified by computer manufacturers to prevent in hardware attempts to downgrade, exploit and potentially neuter Chipzilla's built-in creepy Management Engine."

Zoek de definitie van 'neutering' maar eens op.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 19:58]

Jorunn 13 december 2017 11:43

Waarom zoveel fouten, gaten, plakkers, verbanden, ... op iets dat ze misschien in de eerste plaats er niet moeten insteken? Easy solution?

SuperDre @Jorunn • 13 december 2017 15:14

Omdat jij misschien vindt dat het niet nodig is, maar anderen die remote moeten beheren wel. Wel zou je kunnen stellen, waarom moet de optie standaard AAN staan? beter om het standaard UIT te hebben staan, en de beheerders die het nodig hebben het aan laten zetten voordat ze de computer uitgeven.

Fiander 13 december 2017 11:44

En dan maakt iemand een ME zonder deze check?
Of lees ik het niet goed, en zit deze check niet in de ME maar op een andere plek?

Zelf heb ik liever niet deze ( door de NSA gepushde?) troep in een prossesor zitten. niet van intel, niet van AMD.

EraYaN @Fiander • 13 december 2017 12:28

Hij zit in de hardware, dus in dat opzicht, als jij Intel level chips kan bakken was je geen Intel chips aan het bakken. Dan was je gewoon geld aan het verdienen.

[Reactie gewijzigd door EraYaN op 22 juli 2024 19:58]

Yooo Kerol 13 december 2017 12:44

Ik vraag me af: In een van de laatste artikelen hierover op Tweakers werd vermeld dat er op de Black Hat conferentie of iets dergelijks, die begin deze maand zou zijn, een demonstratie gegeven zou worden hoe er misbruik gemaakt kon worden van deze exploit(s). Maar ik heb tot nog toe helemaal geen artikel daarover gezien hier op de site wat ik wel verwacht had.

Edit: Hier dus onderaan het artikel
nieuws: Veel systemen met kwetsbare Intel-chips krijgen pas in 2018 een patch

[Reactie gewijzigd door Yooo Kerol op 22 juli 2024 19:58]

geekeep 13 december 2017 19:01

Ahh Intel ME, de natte droom van iedere inlichtingendienst. Toegang krijgen tot de diepste krochten van onschuldige mensenlevens terwijl ze vredig liggen te slapen naast een apparaat waarvan ze denken dat deze uit staat.

Ik zie overigens ook erg op tegen die ingebakken (virtuele) simkaarten die fabrikanten het liefst zo snel mogelijk zien plaatsvinden. Vendor lock-in c.q. bemoeienis ten top.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (82)

Sorteer op:

Weergave: