Vlákno názorů k článku
Nový problém Intel AMT, útočník dokáže obejít heslo BIOSu, TPM i BitLockeru
od lupa.cz jsou už jako čučkaři - Je to opravdu problem Intel AMT a ne...
-
Podle mě je to chyba admina. Pokud používá takové technologie a hardware, který má AMT a TPM, měl by vědět, jak s nimi zacházet. To bohužel vyžaduje, aby se admin neustále vzdělával, četl, možná i absolvoval školení. To platí ve všech oborech.
Zde je na diskusi, jestli AMT nemá být chráněno např. až po zadání hesla nastaveného v BIOSU. Ale z podstaty věci, tím, že AMT stoj NAD v článku uvedenými technologiemi, nelze pak vyčítat, že má velkou moc nad informacemi v nich uloženými.
Dlužno ještě podotknout, že většina spotřebního hardwaru se neprodává s AMT a TPM, to je určené spíš pro dražší, business modely. Takže překryv této chyby / vlastnosti s běžným, neznalým uživatelem není asi příliš velký. A ve firmách už je to na IT odděleních, aby věděli, s čím pracují.
-
Ovrscout (neregistrovaný)
Dovoluji si nesouhlasit.
Tyhle "management vylepšovátka" zdaleka nejsou jen v dražších modelech, ale klidně i cenovce kolem 15-17tisíc (nemluvě o kategorii 20k+).A i když tam asi nejsou dostupné všechny bussines funkce, zranitelnosti tam nejsp93 st8le budou.
S nějakou tou slevou se to snadno dostane do hledáčku běžných uživatelů.
Předpokládám že je to proto že je jednodušší to tam nechat než dělat speciální verzi bez tohoto.
Navíc v seznamu funkcí tyhle featury zrovna často uváděné nejsou, ještě tak možná TPM. Zřejmě se všichni bojí že by se cílová skupina zákazníků vyděsila.Takže takový běžný admin-samouk bude těžko vědět že tam něco takového je takže to ani nebude zkoumat.
Na druhé straně korporátní IT by to vědět měl, protože tu technologii nejspíš používá.
Předpokládám ale že spousta adminů bude někde mezi těmito dvěma póly.Ale i když to ITtík může nebo má vědět, neznamená to že by ta featura měla být udělaná jako zadní vrátka. Očekával bych že by default bude management vypnutý(respektive nenakonfigurovaný - děje se) a data v TPM bezpečně zamknutá. Při zapnutí management featur se nastaví prvotní heslo(děje se) a při tom se smaže TPM (nebo se použije třeba jiný master klíč nebo co já vím jak je to udělané, tohle se bohužel neděje).
Možná už jsem starý ale pořád mi přijde správné mít systém by default zabezpečený a pak do něj dělat díry než naopak. I kdyby to měla být jen konfigurace firewalu :) -
Možná už jsem starý ale pořád mi přijde správné mít systém by default zabezpečený a pak do něj dělat díry než naopak. I kdyby to měla být jen konfigurace firewalu :)
No to každopádně, ale ve výchozím stavu, aspoň co potkávám já, je AMT vypnuté a TPM reslé. Patrně by pomohlo, kdyby se při prvním zapnutí AMT muselo heslo nastavit, ale už vidím, jak by se řešila recovery ztracených hesel.
-
Ovrscout (neregistrovaný)
A nebo naopak, po zapnutí/aktivaci AMT a následném zadání prvotního hesla(respektive vynuceném zadání nového hesla) resnout TPM.
Přeci jenom mi přijde málo pravděpodobné že si běžný uživatel aktivuje AMT a bude vytvářet heslo, protože je to A)dobře ukryté a za B)k ničemu mu to není.I tak je mi ale divné že podle článku je tam původní heslo, co si pamatuju tak to po mne chtělo zadat nové(prvotní) heslo i při vypnutí tohodle potvoru.
-
j (neregistrovaný)
Jenze vono s tim prd nadelas, i kdyz o tom vis. Protoze prevazna vetsina tohodle HW sebou vlece jeste krome systemu nejakej ten uberfrikulinskej aktualizator vyrobce (a to klidne v podobe neceho v biosu/efi co si samo leze pri bootu na net) a uplne klidne se to "samo" vsemozne a neustale patchuje, pricemz s kazdym patchem ti to zlikviduje veskerou konfiguraci.
Pak to vede k tomu, ze admini neustale musej poslouchat pindy na tema proc se z toho ci onoho neda dostat ani na web ... protoze se staci podivat, co vsechno se neustale snazi nekam neco posilat.
