Názory k článku
Nový problém Intel AMT, útočník dokáže obejít heslo BIOSu, TPM i BitLockeru

co na to rict?
"pekny" :D

Ak je BitLocker "full disk encryption", ako sa dá obísť pri boote?

Klíč je v té TPM sračce.

Samozrejme, ze je to backdoor jak svina. Ten klic a vsechno v TPM ma byt chraneno master heslem, ktere se pres tohle da obejit. Takze tam sifrovani master heslem vubec neprobiha.

Vždyť je. Heslo do AMT *je* master heslo pro celý počítač. Proto je stupidní, že mnoho výrobců dává do všech počítačů to samé heslo, a ještě víc, že mnoho adminů je ani nezmění.

Šifrování je věc, kterou by bez spoluúčasti nebo předchozího souhlasu uživatele neměl mít možnost obejít ani admin. Záložní způsob odšifrování je běžná a rozumná praxe, ale rozhodně se to nedělá takovým způsobem, a vůbec ne bez možnosti to vypnout. Přece existují situace, kdy je lepší data ztratit, než riskovat vyzrazení. Například šéfy Microsoftu rozhodně nepotěší, že jim jejich admin může číst citlivé obchodní tajemství.

lidová moudrost: "dětem a blbcům sirky do rukou nepatří!" není přesná. Přesnější by bylo "dětem a blbcům nestrkej sirky do kapsy, když se nedívají"

Bitlocker je pro šifrování prakticky nepoužitelný. V doméně si zazálohuje klič do AD, pokus se přihlašujete MS účtem, tak si pro jistotu zazálohuje klíč do cloudu (aby se tajné služby nemusely obtěžovat v případě potřeby). V režimu bez PINu jsem nikdy nepochopil, k čemu to kdo používá (krom zbytečné zátěže procesoru), no a s PINem je to pro změnu taky k ničemu kvůli těm úžasným entrprajs věcem, jako je AMT, krom toho je implementace tak geniální, že k zadání PINu to neumí použít numerickou klávesnici. Jediný tak nějak použitelný režim, kdy se klíč uloží na nějaké externí USB médium, tak ten je defaultně vypnutý, podpora něčeho jiného než USB (třeba SD karty, tokeny) je na nule. No, ale hlavně že se to snadno centrálně spravuje a můžeme si odfajfkovat "šifrování disku".

Ďakujem, o existencii a účele tejto "pomôcky" som netušil (TPM). Po preštudovaní dokumentácie som sa dozvedel, že okrem BitLockeru jeho "pomoc" dokáže využiť aj dm-crypt (!!!). So všetkými tými dierami poslednou dobou a takýmito skrytými "pomocníkmi", človek sa asi bude musieť vrátiť k 8-bitom, aby mal nejaké súkromie a bezpečie. :(

A jaká je jistota, že kromě "admin" tam není ještě speciální heslo výrobce, které se chová stejně a povolí přístup do AMT?Tak tomu bylo třeba u starých BIOSů.

AMI_SW AWARD_SW to byla zlata doba ...

Jste zatim první web, kterej to napíše po lopatě a správně bez bulvárních píčovin.
Díky!

Máte nejrozšířenější systém s velkou přívětivostí, který vždycky ví co je pro každého správné, nejlepší a TPM moduly verzí od 1.2 až po 2.0 jsou i u nás běžně ke koupi za několik stokorun, připojitelné také i k levným microATX deskám.

Dovoluji si nesouhlasit.
Tyhle "management vylepšovátka" zdaleka nejsou jen v dražších modelech, ale klidně i cenovce kolem 15-17tisíc (nemluvě o kategorii 20k+).A i když tam asi nejsou dostupné všechny bussines funkce, zranitelnosti tam nejsp93 st8le budou.
S nějakou tou slevou se to snadno dostane do hledáčku běžných uživatelů.
Předpokládám že je to proto že je jednodušší to tam nechat než dělat speciální verzi bez tohoto.
Navíc v seznamu funkcí tyhle featury zrovna často uváděné nejsou, ještě tak možná TPM. Zřejmě se všichni bojí že by se cílová skupina zákazníků vyděsila.

Takže takový běžný admin-samouk bude těžko vědět že tam něco takového je takže to ani nebude zkoumat.
Na druhé straně korporátní IT by to vědět měl, protože tu technologii nejspíš používá.
Předpokládám ale že spousta adminů bude někde mezi těmito dvěma póly.

Ale i když to ITtík může nebo má vědět, neznamená to že by ta featura měla být udělaná jako zadní vrátka. Očekával bych že by default bude management vypnutý(respektive nenakonfigurovaný - děje se) a data v TPM bezpečně zamknutá. Při zapnutí management featur se nastaví prvotní heslo(děje se) a při tom se smaže TPM (nebo se použije třeba jiný master klíč nebo co já vím jak je to udělané, tohle se bohužel neděje).
Možná už jsem starý ale pořád mi přijde správné mít systém by default zabezpečený a pak do něj dělat díry než naopak. I kdyby to měla být jen konfigurace firewalu :)

A nebo naopak, po zapnutí/aktivaci AMT a následném zadání prvotního hesla(respektive vynuceném zadání nového hesla) resnout TPM.
Přeci jenom mi přijde málo pravděpodobné že si běžný uživatel aktivuje AMT a bude vytvářet heslo, protože je to A)dobře ukryté a za B)k ničemu mu to není.

I tak je mi ale divné že podle článku je tam původní heslo, co si pamatuju tak to po mne chtělo zadat nové(prvotní) heslo i při vypnutí tohodle potvoru.

Jenze vono s tim prd nadelas, i kdyz o tom vis. Protoze prevazna vetsina tohodle HW sebou vlece jeste krome systemu nejakej ten uberfrikulinskej aktualizator vyrobce (a to klidne v podobe neceho v biosu/efi co si samo leze pri bootu na net) a uplne klidne se to "samo" vsemozne a neustale patchuje, pricemz s kazdym patchem ti to zlikviduje veskerou konfiguraci.

Pak to vede k tomu, ze admini neustale musej poslouchat pindy na tema proc se z toho ci onoho neda dostat ani na web ... protoze se staci podivat, co vsechno se neustale snazi nekam neco posilat.

Podle mého názoru má tato chyba s TPM/Bitlockerem společné pouze to, že jí lze zneužít ještě před jejich aktivací. Útočník tedy může k systému získat nízkoúrovňový přístup mimo kontrolu OS. Obsah TPM by primárně ohrožen být neměl, nicméně pokud již útočník má k dispozici přístup do AMT, může při příštím startu běh zařízení do velké míry kontrolovat, například vyčíst šifrovací klíč z paměti apod., možná i číst stisky kláves v průběhu zadávání PINu pro TPM.

Každopádně problém to je, a to dost velký a nemá smysl ho zlehčovat. Pečlivě nakonfigurovaný TPM s Bitlockerem bude pravděpodobně schopný zabránit startu takto ovládnutého zařízení, to bude ale spíš výjimečná situace.