Názory k článku MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel

Takze skutecnej duvod proc mi BIOS v thinkpadu zakazuje vymenit si wifikartu je ten, ze bych tam moh strcit nakou, co nema ovladace pro MINIX, na kterym bezi backdoor od NSA?

ne, to je jejich umělé omezení. S ovladači to nemá nic společného, Intel ME wifi co vím ještě neumí a nepoužívá.

Intel AMT WiFi umí.

BIOS ti nic nezakazuje. To je skor byrokraticke obmedzenie/zjed­nodusenie si prace nielen Lenova. Ten Thinkpad bol testovany s urcitou wifi ako celok a na to dostal aj certfikat. Ked si tam ty das svoju vlastnu kartu, tak to meni situaciu. Neobhajujem to (aj sam som musel pouzit upraveny BIOS aby som mohol do mojho Thinkpadu vlozit novu neoriginalnu wifi kartu).
Neobi to len lenovo ale asi vecsina vyrobcov vo svojich podnikovych radach notebookov.

Konkrétně Lenovo svoje uzamčení BIOSů na konkrétní wifi karty skutečně zdůvodňuje podmínkami FCC certifikace elektromagnetické kompatibility. Jenomže by to mělo mít platnost výhradně v USA, jenomže Leninovo se jaksi většinou neobtěžuje BIOSy pro Evropu odemykat.

Lenovo nebrat!

Pokud to má vlastní LAN a MAC, dá se to tedy "celkem jednoduše" zablokovat na centrálním firewallu sítě?
Případně jak to funguje, pokud nebudu používat LAN na základní desce, ale použiji jinou?

Jenže MAC adresa není zas tak neměnná, jak se může zdát. Změna MAC adresy za účelem napadení systému je zcela běžné. Když to zvládne běžný OS, tak to zvládne i Intel.

A kdo říká že ta mac je pevná. Navíc pokud je host vypnutý může s klidem používat jeho mac a pak firewall nijak nepomůže. On jí může používat i když je zaplý, sem tam ztracený paket nikoho netankuje. Pamatuji se jak na koleji na tu samou mac bylo připojeno třeba i 5 lidí. Jo skype to nedával, ale na brouzdat po netu se dalo.

To by mě také zajímalo pokud nebudu používat lan kartu na základní desce. Změní si ten minix eth rozhraní dle karty?

myslím, že ne, právě i pro ty služby co Intel ME poskytuje (smazání vzdáleně) je potřeba používat vnitřní síťovku.

Teoreticky může využívat, kterékoliv dostupné zařízení, ale potřebuje k němo ovladače a tady je kámen úrazu. Chybné ovladače pro HW třetí strany mohou způsobovat obrovskou nestabilitu a to si Intel asi nedovolí. Aktualizování Intel ME se neděje moc často a co vím, měl by být závislý pouze na HW od Intelu, na ničem jiném.

Tím, že tohle běží poměrně vysoko, je možnost, že pro komunikaci na sítí může využívat samotný OS a cpát mu data přímo na odchozí buffer, ale nikde jsem nečetl, že by se tak dělo.

K té síti. Mac adresu si sice může naklonovat, ale v kontrolovaných sítích se sledují ohlašovací zprávy na nové zařízení. Může ve zprávě podvrhnout mac adresu hostitelského systému a pak si prostě odpověď odchytit, ale nejspíš tohle neprojde přes vlan (musel by také sledovat, které vlan se používají) a opět je tady velká šance, že by v kontrolované síti došlo k prozrazení.

Nebojím se tolik toho, co tam samotný Intel dal, přeci jen pokud mu nevěřím v jedné věci, nemohu mu věřit v ničem, stejně tak se dá něco zastrčit do CPU. Bojím se spíše toho, že tyhle schopnosti využije někdo jiný komu se tam podaří nahrát vlastní program, pak to je hodně silná zbraň.

různé viry a další neplechy ale tohle dělají, kernel panic jim ani tolik nevadí. Intel podobnou věc nejspíš nedělá.

Ve widlích stejně máte nainstalované ovladače od Intelu. Jak si můžete být jistí, že v některém ovladači není i kus kódu, který umožňuje komunikaci ME přímo s Widlema?

https://www.howtogeek.com/56538/how-to-remotely-control-your-pc-even-when-it-crashes/

Samozrejme mate pravdu. Je to umele vykonstruovany problem. Kdo chce, ME se jednoduse vyhne. Chtel bych videt, v jake pohadce ME zvladne skenovat a rozumet DMA datum presouvanym mezi nekompatibilni PCIe sitovkou RAM a CPU :-D :-D :-D

Zajímavé, taky mi je záhadou jak vlastně je možné aby se "dovolal" domů.
Ale když se nad tím tak zamyslíte, pokud tohle má v cpu intel, proč by nemohl třeba i cisco, juniper a buhví kdo dalši?
A pak by prostě tato komunikace při cestě těmito zařízeními nebyla vůbec vidět... Zbylo by pro detekci pouze osciloskop a porovnat datový tok s tím co změříte přímo fyzicky na drátech...
Takový "darknet" pro různá ME v různých zařízeních..
Ale možná jsem moc paranoidní, ale radši si při měření vezměte starý analogový osciloskop...

No minimalne Cisco to ma. Jde o to, ze Cisco router mel (ma) zadni vratka slouzici k presmerovani kopiie provozu jinam. (Snowden)

Ne neni to port mirroring, ale neco uplne jineho, co navic nedokazde uzivatel ani videt ani nastavit.

tohle https://www.cisco.com/c/en/us/tech/security-vpn/lawful-intercept/index.html
a ma to snad kazdy vyrobce sitoveho hw

Napr. nektere sitove prvky Huawey maji bug, ze je mozne na dalku aktivovat na nich debug mod pomoci jednoho packetu.

No hlavně, dneska už má běžnej „svišť“ taky nějaký Xeony (např. 10/40GbE Juniper) nebo aspoň Atomy a celej switchovací systém je virtualizovanej.

Já vidím reálnou šanci jen v těch T1 enterprise podnikových FW co zvládají analýzu dat v reálným čase. A mají samozřejmě právě proprietární procesory, kde je šance, že todle není (ARM, Power). Todle je samozřejmě záležitost desetiny promile firem na planetě, ale pokud nějakej takovej útok objeví, tak si myslim, že bude slušný tóčo…

Ahoj,

mohl by mi prosím někdo vysvětlit:

"V rychlosti připomeňme, že Intel Management Engine je „záležitost“ běžící na počítačích s CPU Intel, tedy víceméně na téměř každém počítači nesoucím procesor/platformu od tohoto výrobce. Běží na úrovni Ring –3, je tedy zakután hluboko pod úrovní operačního systému a je velmi obtížné či přímo nemožné se jej zbavit (v závislosti na generaci CPU/platformy)"

Úrovně "rings" znám z prostředí os, kernel v linuxu běží na úrovni ring0 tedy "nejblíže" CPU.

Je mi jasné, že os vidí pouze to, co mu CPU dovolí ale pak by mně zajímalo, kde autor přišel na to, že minix funguje na úrovní ring3, co to vlastně znamená a jaké jsou specifikace dalších

Děkuji.

https://schd.ws/hosted_files/osseu17/84/Replace%20UEFI%20with%20Linux.pdf

IME je na ring MINUS 3, tedy jeste o tri urovne vic "nejblize" CPU :)

IME neběží na "normální" CPU ... má vlastní CPU uvnitř procesoru. Běží o tři úrovně POD "normální" CPU.

Kernel běží na ringu 0, na ringu 1 a výš (zpravidla se používá jen ring 0 pro kernel a ring 3 pro zbytek) běží vyšší části systému a uživatelský kód. Z hlediska normálního programu existují pouze ringy 0 a výš. Záporné ringy jsou takový zmatečný způsob, jak sdělit lidem, že má něco ještě větší práva než kernel (nebo cokoli, co běží jako správce chráněného režimu, na termínu nezáleží).

Na ringu -1 běží virtualizace - umožňuje guest systémům běžet na ringu 0 a přitom z ringu -1 jim řídit přístup k hardwaru a ostatním běžícím virtuálům.

Na ringu -2 (dřív to byl -1, protože virtualizace tehdy znamenala nanejvýš V86, ale to je vedlejší) běží System Management Mode, což je režim procesoru, který vykonává kód z oblasti pro něj vyhrazený. Přitom tenhle režim se stará o všlijaké hardwarové drobnosti jako power management, speed stepping... Prostě dělá věci, které nemůže ani kernel.

Ringy -2 až 3 jsou věci běžící v x86 procesoru. Když se ale koukneme ven, najdeme ještě pořádnou snůšku hoven v podobě AMT, které už neběží na hlavním procesoru, ale na samostatném procesoru.

AMT "běží" na ringu -3 mimo hlavní procesor a může si dělat, co chce. Opravdu se nemusí řídit ničím - běží v S3 sleepu, může sahat do periferií, DMA, komunikovat přes ethernet a ovládat hlavní procesor.

Tyto zprávy jsou "výborné" pro ty, co v současné době ve firmách připravují systémy na soulad s GDPR.

A pre toto si firmy ako Google alebo Apple vyvijaju vlastne CPU :).

Nebo, pokud jste opravdu těžký paranoik a máte kopec volného času, můžete si CPU navrhnout úplně sám, tak jako já. :D

puuzite rusky procesor https://en.wikipedia.org/wiki/Elbrus-8S alebo http://www.mcst.ru/arm-elbrus401 nebudu vas pocuvat Americania ale Rusi. 512 bitove slovo a emulacia x86 je velmi zaujimava.

Kdo odposlouchává starou Z80? A vzal sis dneska prášky?

Tohle je jenom popis procesoru v HDL jazyce, který si sám syntetizuješ a zapojíš na vlastní periferky. Jenom ty víš, s čím a po kterých drátech to komunikuje. I kdyby tam byla v HW sniffovací funkce, musel bys ty dráty cíleně připojit a dodělat si podporu šmírování v SW.

Zmiňujete důvěru v HW a s tím související důvěru ve výrobu HW apod. Ale my se té důvěře v HW můžeme technickými prostředky vyhnout - viz. např. https://www.youtube.com/watch?v=zXwy65d_tu8 (Wednesday 11:00am Keynote Address Impedance Matching Expectations Between RISC V and the Open Hardware) od Bunnieho. A né, opravdu nejde o věci typu homomorfní šifrování.

Takže nevěšejme hlavu a přičiňme se!

Když už jste zmínil jádra MIPS - existuje nějaký slušný VHDL zdroják, který byste mohl s klidným srdcem doporučit? Nejlépe vykoušený na FPGAčkách od Altery...

Různých pokusů jsem viděl haldu, ale vybrat z nich něco pořádného se ukázalo jako problém...

Kde a za kolik se to dá koupit? Co vím, používá to jen ruská armáda a možná pár důležitých úřadů.

Tajná služba jede na mechanických psacích strojích, a Putin nemá ani mobil, takže je nemůže odposlouchávat vůbec nikdo, na rozdíl od Brežněva telefonujícího nejradši z auta, na toho prý USA měly extra jednu družici :-D

to uz ma predsa IBM :)) kupis si server so 128 jadrami napriklad, pouzivat ti dovolia 64 a dva dni do mesiaca si dopaltis to ze ti odomnku 128 jadier :)) zvlastny model, ale asi im funguje, ked to maju v ponuke.

"Zrovna u IBM bych netvrdil, že když mají něco v nabídce, tak jim to asi obchodně funguje"

Vy jim vidite do ekonomiky?

Koupis si auto, je v nem GPS, a za 30k ti prepnou jeden bit (doslova a do pismene) v konfiguraci, abys moh pouzivat navigaci.

Ne, koupíš za 250k auto. Za paušál 5k/měsíc ti nechají odblokovaný zadní kola.

Absolutně nechápu ty mínusy, protože je to naprostá pravda a ví to každý pořádný autotronik.

V Číně se zatím dobrovolně můžete přihlásit do systému, který podle toho co děláte vás průběžně hodnotí a podle toho jste odměňován a trestán, po roce 2020 má být povinný pro všechny.

Tak se Andy přece jen dočkal :-)
Už Linusovi nemusí tak závidět. Jen nevím, jestli je v daném kontextu vůbec čím se chlubit.

Málo platný, je potřeba přiznat, že jistá literární předpověď o tom, že jednou rok 1984 nastane a pak už bude jednou provždy za.., no vlastně spíš .. s .. námi, byla jedna z nejpřesnějších předpovědí budoucnosti vůbec... Čest jejímu autoru.

hehe to asi ne, protoze my jsme i nejsme zaroven tim smerem :) a nezapomen - stejne jako tvoje depka tak ani slavna totalita totalit nemuze trvat vecne, to jaksi vylucuje "Ring" ve kterem bezime nas svet :D

Nechci vás strašit, ale existují ještě starší předpovědi, například tato:

A nutí všechny, malé i veliké, bohaté i chudé, svobodné i otroky, aby měli na pravé ruce nebo na čele cejch, aby nemohl kupovat ani prodávat, kdo není označen jménem té šelmy nebo číslicí jejího jména.

Zjevení Janovo, 16, 17. To je staré dva tisíce let :-)))

Tak to tu chybělo...

pokial viem tak niektore Intel procesory maju v sebe aj GSM chip, takze sa vedia napojit do GSM siete, resp. mozu byt ovladane "wireless"...
Ako hovori upravene prislovie - Kto snifuje, najde...

co nadelame, jako lidi jsme proste smiraci :D

Mám otázku..
Ak to správne chápem ten subsystém nemá problém nájsť vygenerovaný RSA kľúč na disku, poslať ho sieťou a brutforcom zlomiť passphrase?
Bráni im v tom niečo?
Lebo takto fakt nie je šanca mať zašifrovanú komunikáciu nijako.. (alebo je?)

No pokud to má lajnu na root complex a integrovaný switch mezi oficiální MAC a PHY, tak mají přístup do RAM a na všechny periferky. Takže jsou jenom tři překážky, který můžou zkomplikovat život tomu, kdo tohle ovládá: externí filtr paketů, neintelí síťovka mimo chipset (od prvního připojení) a struktura dat, které nerozumí.
Btw, ovladač nemusí být problém, program toho bazmeku je v SPI FLASH a typ zařízení vidí na PCIe. Když útočník moc chce a opatří si ovladač... :(

Normálně když dělám nějakou embeďárnu s LANkou, tak je tam CPU-(systémová sběrnice)-MAC-(MII/RMII)-PHY. (v závorce sběrnice)

Intel má CPU-Root complex-MAC-(GMII?)-SWITCH-(GMII/RGMII)-PHY. K tomu paralelně kompl s jádrem, RAM, FLASH a MAC. MAC je připojená do toho switche, navíc to má bridge na root complex po PCIe a dostane se na cokoliv, co je dosažitelný po PCIe.

Pokud se někdo zmocní tohohle separátního stroje, může cokoliv. Ochrana je jenom tím, že se nikomu neřekne, co a jak.

Z pohledu admina jsou dvě možnosti. Nepustit to ven (= musí dropnout konkrétní, nedokumentovaný spojení), nebo to nechat být. Pokud to nechá být, dostane možnost update od Intelu (s možností, že mu tam něco rozsekají) a rizikem, že někdo odhalí backdoor a může v jeho stroji kamkoliv. Nebo to odříznout s tím, že backdoor může zneužít kdokoliv na stejným segmentu sítě (napříkad nějaký červík nebo podobná potvora).

Tak nebo tak, tahle bestie je ekvivalent GDB serveru spuštěšnýho na jádře OS (bez virtualizace) a dostupnýho bez firewallu na veřejné IP adrese. S ochranou tím, že o něm nikomu neřeknu.

To, ze to bezpecnostni agentury chtej u sebe vypnout, je opravdu to nejmensi nebezpeci.....

Horsi bude, jestli se fakt uz povedlo do toho nabourat

https://www.root.cz/zpravicky/intel-me-lze-pouzit-k-napadeni-pocitacu-mladsich-deseti-let/

Na druhou stranu, pokud to tak je, tak ma aspon Intel uz pripraveny patch, ktery to dokaze bezpecne vypnout :-D

Já bych dal přednost mému Didaktiku Gama, jenže on nikdo pořádně neví co všechno a jak ta ULA provádí :-D

no tezba bitcoinu to nebude :)

ale čekal bych, že ULU budou mít tady:
http://visual6502.org/wiki/index.php?title=The_reverse_engineering_process

btw já bych dal přednost Atárku, ale kdo ví, jaký zadní vrátka má například GTIA :
http://www.atarimuseum.com/archives/chips/1069-pal-GTIA.jpg :-)

No, tam už by se něco schovat nechalo ;-)

Velmi hezký článek!

Kazdopadne tvrzeni jakekoli IT firmy, ze ma bezpecne reseni, za ktere si uctuje miliony je lez. Co na to ourad pro ochranu osobnich udaju? Kolipak dostal Intel od nej pokutu? Atd. atd.

A co Raspberry PI ? Je "bezpecne" ? Taky grid povedzme z 10 kusov by potom snad mohol mat dostatocny vykon pre bezne aplikacie. Ak je to teda technicky realizovatelne...

Heh tak to muze byt jeste horsi. Picko ma system-on-the-chip tedy nekolik ruznych cipu v jednom pouzdre. Treba Picko3 pouziva Broadcom BCM2837 a kolik backdooru tam cinani dobastlili nevi ani NSA..

Není. Je to uzavřené řešení postavené na binárním blobu. Broadcom dokonce ani neposkytuje úplný datasheet pro ten procesor.

Přiznám se, že moc nerozumím tomu "ring -3". V deskriptoru segmentu jsou 2 bity DPL - tj. oprávnění (ring) 0 až 3. Tak jaký, sakra, "ring -3" ? To je nějaká vlastnost nových CPU nebo jenom massmediální buzzword?

A co AMD? Ti to mají taky?

Aha, cosi mají... Já jsem četl nové odpovědi a na příslušný odstavec v původném článku už jsem zapomněl.

Žádná vlastnost nových CPU to rozhodně není a ostatní to mají taky, jenom tomu každý říká jinak.

SMM je něco jiného. Ten je v x86 počínaje Pentiem.

Ano klasicky procesor pracuje jen s PL 0-3, ty zaporne ringy sou jen takovy vymysl protoze to vystihuje situaci jakou maji jednotlive ringy moc nad celym PC, ale s CPL/DPL to uz nema nic spolecneho. Cili:
ring 0 = kernel, hostovany OS
ring -1 = hypervizor kdyz je aktivni virtualziace
ring -2 = SMM (ani hypervizor nevi, kdy si CPU odskoci do SMM)
ring -3 = ME FW (bezici mimo hlavni x86 procesor)

Pro domácí paranoiky: týká se to jen CPU a MB typu vPro. Na webu Intel je program, který detekuje "postižená" PC.

prej konečně dává smysl nálepka Intel Inside.

No tak to je pekne, nejen ze rusaci rozkodovali toho huffmana
https://github.com/ptresearch/unME11
ale uz se v tom rypou i pres JTAG (kdo z vas tusil o nakem USB DCI? co je na to potreba za HW krabicku? Da se koupit nekde na ali a pod?)
https://www.digitaltrends.com/computing/intel-kaby-lake-skylake-pcs-hackable-usb-jtag/
Je pekne, jak nas intel ujistuje, ze je to v pohode, ze nemuzou spustit nepodepsany kod, ale urcite tam najdou nake diry, pres ktrere to vyexploitovat pujde (po siti, ne jen pres USB), ostatne uvidime, co nam predvedou v prosinci na Black Hatu, to se teda tesim...

USB DCI se dá koupit i přímo od Intelu za cca desítku, ebay toho bude plný. Pro debug intel cpu běžná sranda, od posledních laků se to výrazně zjednodušilo a zlevnilo.

Co je ale problém, kluci se dostali přes to do IME, vkládat svůj kód zatím neumí, ale dokážou číst cokoliv.

No na ebaju sem zrovna moc nepochodil, na intel DCI mi to vraci same <>
nejblize k tomu bylo toto https://www.ebay.com/itm/Intel-ITP-XDP-3-Debugger-Device-No-Power-Supply/263318690331?hash=item3d4f045a1b:g:0iQAAOSwmBhaCOfe
To je tahle krabicka?
https://designintools.intel.com/Silicon_View_Technology_Closed_Chassis_Adapter_p/itpxdpsvt.htm
Jak to vlastne funguje na tom USB3 portu, tam je naka funkce jako USB OTG opacne, ze se z PC stane periferie a krabicka je pak host?

Predpokladam, ze diky tomu debuggeru se dostanou i na casti kodu, kere sou jen v embedded ROM PCH, nikoli v SPI flash, takze to jim mozna prozradi dalsi podrobnosti a treba to komplet lousknou :)

BTW nevi nekdo, jestli ta metoda vypinani ME pres HAP bit vyradi z cinnosti power management a turbo boost? V ME toolu se pry cele ME tvari ze nebezi, ale system by mel byt nejak provozushchopny...

poslední verze na usb3 je "Intel SVT Closed Chassis Adapter" (kompatibilní od Skylake), to si našel. Poté lze použít třeba "ITP-XDP", ale ta se data špatně sehnat. DCI se zavedlo až se Skylake.

Tohle připojíš do usb cílového počítače, na druhé straně potřebuješ nějaký SW, existuje několik možností, Intel nabízí svůj Intel System Studio. Abys mohl objednat SVT, musíš s intelem podepsat CDNA (www-ssl.intel.com/con­tent/www/us/en/­forms/design/re­gistration-privileged.html)

Od usb3 už není nic jako management usb port, můžeš to píchnout do kteréhokoliv portu. Primárně to je určené k debugu kernelu, zavaděčů, HW. To, že se jim podařilo dostat tam, kam neměli je ten úspěch, mohou teoreticky třeba vyčíst data z TPM modulu (můj odhad).