Quali sono i rischi relativi alla privacy e alla sicurezza associati al Management Engine di Intel e al processore di sicurezza della piattaforma AMD?

14

E anche come utente di tutti i giorni che naviga per la maggior parte sul web, questi rischi rappresentano per me una grande preoccupazione?

Modifica: anche sulla nota simile, ci sono sostanziali evidenze di Intel o AMD che aggiungono intenzionalmente malware alle loro SMM per se stessi o per la NSA?

    
posta APPLEBEES CINNAMON 29.06.2016 - 05:05
fonte

2 risposte

6

I nuovi processori Intel Core vPro contengono una funzionalità di accesso remoto che consente l'accesso remoto completo a un PC in qualsiasi momento, anche se il computer è spento. Finché l'alimentazione è disponibile, il sistema può essere riattivato dal processore Core vPro, che è in grado di attivare silenziosamente i singoli componenti hardware e accedere a qualsiasi cosa su di essi.

Secondo Jonathan Brossard, un importante ingegnere per la ricerca sulla sicurezza, "questa è una caratteristica documentata e ben compresa" [...] Non c'è assolutamente motivo di ritenere che questo sia stato usato impropriamente dalla NSA o da chiunque. Quindi, praticamente, l'unica cosa che impedisce l'uso di tali "caratteristiche" è la moralità, che si è dimostrata più volte a mancare sull'organizzazione menzionata & Co.

La radio 3G segreta in ogni CPU Intel vPro potrebbe rubare le idee in qualsiasi momento

Chip "Sandy Bridge" di Intel per includere funzionalità aziendali vPro

Per il normale utente web, non dovrebbero esserci problemi, ma è altamente probabile che determinate parole chiave attiveranno eventi che causeranno la quotazione del sistema nella categoria "da investigare".

    
risposta data 29.06.2016 - 10:26
fonte
4

Come risposta complementare, in termini di Intel, nessuno lo sa davvero perché, per uno, finora nessuno è stato in grado di capire l'algoritmo di compressione personalizzato che è usato per impacchettare porzioni del sottostante on-die e di bordo binari usati per gestire questa funzione.

È composto dal fatto che tenta di scaricare librerie condivise per il codice, incluso un binario elusivo che implementa funzioni di base come memcpy e non produce nulla quando ci provi, e siamo completamente ciechi e al buio . È lì, ma non quando provi a provarci.

Ecco alcune citazioni da questo articolo :

With a trusted processor connected directly to the memory, network, and BIOS of a computer, the ME could be like a rootkit on steroids in the wrong hands. Thus, an exploit for the ME is what all the balaclava-wearing hackers want, but so far it seems that they’ve all come up empty.

Riguardo a chi ci sta lavorando e problemi affrontati:

The best efforts that we know of again come from [Igor Skochinsky]. After finding a few confidential Intel documents a company left on an FTP server, he was able to take a look at some of the code for the ME that isn’t in the on-chip ROM and isn’t compressed by an unknown algorithm. It uses the JEFF file format, a standard from the defunct J Consortium that is basically un-Googlable. (You can blame Jeff for that.) To break the Management Engine, though, this code will have to be reverse engineered, and figuring out the custom compression scheme that’s used in the firmware remains an unsolved problem.

Un'altra citazione che sottolinea il fatto che, dal momento che non possiamo vedere il codice, abbiamo la vera idea di quanto sia pessimo questo:

There are many researchers trying to unlock the secrets of Intel’s Management Engine, and for good reason: it’s a microcontroller that has direct access to everything in a computer. Every computer with an Intel chip made in the last few years has one, and if you’re looking for the perfect vector for an attack, you won’t find anything better than the ME. It is the scariest thing in your computer, and this fear is compounded by our ignorance: no one knows what the ME can actually do. And without being able to audit the code running on the ME, no one knows exactly what will happen when it is broken open.

Enfasi sulla mia.

Ci sono siti web creati per le persone che vogliono lavorare sul problema di capire l'algoritmo di compressione sconosciuto. Uno di questi esempi è link .

La soluzione migliore per trovare strumenti che ti consentano di iniziare a mettere le mani su almeno parti del firmware sarà Google "Igor Skochinsky". Puoi visualizzare il suo account Github per trovare ciò che ha pubblicato.

Tutto ciò che ho detto, cercherò di trovare il mio vecchio sistema dual pentium III e tornare all'età della pietra, immagino. :)

Modifica

Il progetto GNU LibreBoot ha anche una vasta panoramica su Intel ME come bene qui . Vale la pena leggere. Ecco uno snippet che riassume le loro opinioni:

The Intel Management Engine with its proprietary firmware has complete access to and control over the PC: it can power on or shut down the PC, read all open files, examine all running applications, track all keys pressed and mouse movements, and even capture or display images on the screen. And it has a network interface that is demonstrably insecure, which can allow an attacker on the network to inject rootkits that completely compromise the PC and can report to the attacker all activities performed on the PC. It is a threat to freedom, security, and privacy that can't be ignored.

Per completezza, il progetto LibreBoot ha anche una descrizione di AMD Platform Security Processor, la versione back-door di Intel della ME. Puoi trovare qui qui . Di nuovo, una citazione che riassume le loro opinioni in merito:

In theory any malicious entity with access to the AMD signing key would be able to install persistent malware that could not be eradicated without an external flasher and a known good PSP image. Furthermore, multiple security vulnerabilities have been demonstrated in AMD firmware in the past, and there is every reason to assume one or more zero day vulnerabilities are lurking in the PSP firmware. Given the extreme privilege level (ring -2 or ring -3) of the PSP, said vulnerabilities would have the ability to remotely monitor and control any PSP enabled machine. completely outside of the user's knowledge.

    
risposta data 30.06.2016 - 11:41
fonte

Leggi altre domande sui tag