Intel včera potvrdil zranitelnost INTEL-SA-00075 v Active Management Technology (AMT) a v Management Engine (ME). Zranitelnost zasahuje produkty od roku 2008, kdy byla uvedena technologie AMT6. Postihuje tedy procesory od Nehalem do Kabylake. Intel také zároveň vydal návod protiopatření.
(zdroj: phoronix)
nevím, nejsem v ČR a link mi funguje, je stejný jako u phoronixu
našel jsem ještě toto https://downloadcenter.intel.com/download/26754/INTEL-SA-00075-Mitigation-Guide
Nefixnúť to teraz by bol "priekak"/"prúser"
Byl Trump odposloucháván s pomocí procesoru Intel?
29. 3. 2017 |
V návaznosti na kauzu kolem odposlechů amerického prezidenta se v posledních dnech objevilo několik článků poukazujících na to, že k Trumpově šmírování byly použity procesory Intel…
V posledních dnech se objevily náznaky třetí kauzy, která se ale trochu liší. Impuls nevzešel z WikiLeaks, ale patrně všechny články, které o ní pojednávají, vycházejí z anonymní výpovědi člověka, jenž se představil jako inženýr Intelu, který po část své kariéry ve společnosti pracoval v oddělení pro vývoj tzv. Management Engine (ME). Jde o obvod, který byl do procesorů Intel integrován v době prvních produktů řady Core iX. Zahrnuje vlastní procesor a operační systém (firmware) schopný fungovat i po vypnutí počítače a na nejnižší úrovni (transparentně ke standardnímu operačnímu systému) přistupovat k ostatním prostředkům počítače a to včetně komunikace po síti. Mezi oficiální důvody existence tohoto obvodu patří zabezpečení, správa úsporných režimů nebo možnost stahování aktualizací či mailů s „vypnutým“ počítačem.
Prakticky s každou další generací procesorů byl ME doplňován o další funkce a možnosti. Výrazného rozšíření možností se ME dočkal s generací Broadwell, kdy došlo k implementaci audio DSP procesoru (Smart Sound), který rovněž může fungovat i po vypnutí počítače, přičemž průběžně monitoruje zvuky v okolí počítače („Low Power Always Listening“).
Zmíněná osoba popsala, že po tři roky pracovala v týmu pro Management Engine na projektu Odin's Eye, jehož cílem bylo zpřístupnit zpravodajským službám využití ME pro špionážní účely. Právě prostřednictvím ME měla být získána data, jichž se týkala kauza odposlechů prezidenta Trumpa.
http://diit.cz/clanek/trump-byl-odposlouchavan-s-pomoci-procesoru-intel
viac o fukcionalitách iME (a j odbody u AMD PSP=Platform Security Procesor)
Management engine na svém vlastním operačním systému a provozuje skupinu programů. A hlavně má přístup do hlavní paměti počítače a přístup k ethernetu (Intel Gigabit Ethernet Controller). Je to pochopitelné, jeho podstatou je mimo jiné zajistit vzdálený přístup k administraci daného počítače.
FSF ostře kritizuje Intel
14. 6. 2016
http://diit.cz/clanek/fsf-ostre-kritizuje-intel
v prípade AMD ide o ARM Cortex A5 a teda stačí prepísať jeho OS, nejakým Debianom a je pokoj,
ARM's TrustZone gives AMD an answer to Intel's TXT.
Peter Bright - Jun 13, 2012 7:05 pm UTC
Back in February, AMD raised the possibility that future processors from the company might include ARM cores. The assumption at the time was that these ARM cores would be used for computation. The company has revealed its first plans for chips combining x86 and ARM cores, but it turns out they won't be used for computing at all: the embedded ARM cores will be used to provide security services.
From next year, AMD will have APUs that include x86 cores, a GPU, and a Cortex-A5 ARM core.
https://arstechnica.com/information-technology/2012/06/amd-to-add-arm-processors-to-boost-chip-security/
Je potřeba mít provisionované AMT (to má málokdo) nebo spuštěné LMS (to je pro Linux tak těžké zprovoznit, že to nejspíš nikdo nemá).
Mimochodem u dokumentace LMS jsem udělal facepalm při čtení této věty:
If a secure connection with the Intel AMT device is enabled (TLS), LMS also listens on these ports
Ano, LMS schopné změnit cokoliv v počítači, na kterém běží, normálně naslouchá na nezabezpečených portech a jako bonus se to ani nedá vypnout.
