Vlákno názorů k článku Děravý Intel Management Engine lze nahradit minimalistickým Linuxem a Go od singerko - Takze cisto teoreticky vedia znefunkcnit vsetky procesory jednym...
-
Takze cisto teoreticky vedia znefunkcnit vsetky procesory jednym updatom
Osobně si myslím, že ne teoreticky, ale zcela prakticky jsou schopni znefunkčnit či ovládat jakýkoli počítač, který toto v sobě má (protože nejde jen o to CPU, ale má to podmínky, aby to mělo podporu v chipsetu, síťové kartě atd.). Vzhledem k tomu, že je to počítač, uvnitř počítače, který běží i když "hlavní" počítač je vypnutý a je možné tímto vnitřním počítačem jakkoli plně ovládat "hlavní" počítač a jediný Intel k tomu má plný přístup, tak to znamená, že vlastně váš počítač není ve skutečnosti opravdu váš, protože plnou kontrolu nad ním má někdo jiný než vy sami.
To je taky důvod, proč to řeší např. Google, protože je mu jasné, že když někdo bude chtít, tak mu je schopen plně ovládnout jejich datová centra, aniž by se proti tomu mohli nějak efektivně bránit hlavně kvůli tomu, že tento systém je nadřazen i OS i hypervisoru běžícímu na "hlavním" počítači. -
. . (neregistrovaný)
reagoval jsem spíše na tvojí zmíňku s Googlem a nasazení v servovnách. Tam je poměrně těžké se přímo z internetu k daným serverům dostat. Ty sítě jsou dost krkolomné, integrované síťovky se nepoužívají skoro vůbec a tenhle malý procesor má velkou moc, ale strašně omezené zdroje. Takový útok by mohl být velice rychle prozrazen (můj tip).
Neřikám, že to možné není, ale zatím to reálné nebude a doufám, že zítra tady tahle věc v tomhle stavu také nebude a Intel se k tomu postaví čelem. Partnerům již obchodníci začínají ledacos naznačovat, uvidíme co se stane příští rok.
-
S tím určitě souhlasím, že to možné je, ale taky nevíme přesně, jaké vektory útoků jsou vůbec možné a ve chvíli, kdy tenhle počítač uvnitř počítače má přístup k paměti, PCI sběrně, USB atd. prostě kamkoli, tak je možné opravdu cokoli.
I když také doufám, že díky tomu, co se kolem toho děje teď, tak tahle věc může velmi rychle skončit a přestane se používat.
-
j (neregistrovaný)
Nemusis trebat, wifi to prej pouzivat umi. A jelikoz to ma pristup do rameti, tak je to vlastne uplne jedno, vkladat vlastni komunikaci primo na sitovej stack neni zadna raketova veda. Predevsim to klidne muze fungovat i opacne, obcas si to nekam hrabne a zjisti, jestli neco delat ma a pripadne si sosne kod toho co.
-
singerko (neregistrovaný)
Hlavna issue je, ze ak by napriklad bola usa vo vojne s eu, tak jednym kliknutim zrusia vsetky jej pocitace. Nehovoriac o tom, ze akakolvek security je iba iluzia. Kludne si mozeme pouzivat sifry nie 512, 1024 ale aj 4096... je to prt platne...pretoze nieco beziace pod os moze privatne kluce posielat na centralu. Cele zle. Ako su na tom ARMy?
-
Filip JirsákStříbrný podporovatelTo by se ten signál k vypnutí nejprve musel k tomu procesoru vůbec nějak dostat. Tam, kde se to s bezpečností myslí alespoň trochu vážně, nejsou privátní klíče vůbec dostupné v počítači, jsou jen na čipové kartě, USB tokenu nebo HSM. Takže procesor počítače se k takovému privátnímu klíči nedostane.
-
. . (neregistrovaný)
... nebo v KMS založeném na xeon procesorech, jedna česká banka má takový stroječek od HPE.
Tahle intel věc má přístup do TPM, což může být občas problém. Každopádně pokud by Intel chtěl zrušit svůj půl století trvající byznys, měl by jiné možnosti jak upravit procesy a získat z nich údaje, které chce. Tohle je už hodně velké fantazírování.
Spíše se bojím, že této věci zneužije nějaká třetí strana, ale proti modifikaci IME FW by měly stačit prozatím kontroly kontrolních součtů a audit systémů. Nepozorovaně se dostat do klíčových systémů je také obrovský problém a náklady mohou být astronomické.
