image

Hackers neutraliseren Intels Management Engine

dinsdag 29 november 2016, 14:40 door Redactie, 18 reacties

Chipsets van Intel beschikken over een eigen processor die vergaande toegang tot het systeem heeft, maar waarvan de code gesloten is. Onderzoekers en privacyexperts hebben dan ook regelmatig kritiek op Intels Management Engine (ME) vanwege de mogelijke risico's die het met zich meebrengt.

Hackers zijn er nu echter in geslaagd om op verschillende Intel-processoren de Management Engine uit te schakelen. De ME is een subsysteem dat uit een losse processor bestaat. Het heeft toegang tot het netwerk, het besturingssysteem, het geheugen en de cryptografische engine. De ME kan zelfs op afstand worden gebruikt als de computer is uitgeschakeld. De code van de Management Engine is echter gesloten, waardoor het publiek de werking niet kan controleren.

Een aanvaller die de ME weet te compromitteren zou zodoende een bijna niet te detecteren rootkit kunnen plaatsen, aldus onderzoeker Damien Zammit. Hij waarschuwde in juni van dit jaar voor de gevaren van Intels Management Interface. Een paar weken later reageerde Intel door te stellen dat de ME geen backdoor bevat en juist kan helpen bij het tegengaan van kwetsbaarheden. Een groep hackers, verenigd onder de naam Hardened GNU/Linux, heeft nu een manier gevonden om de Management Engine te neutraliseren, zonder dat dit invloed op de werking van de processor en het systeem heeft.

Het volledig verwijderen van de ME is namelijk onmogelijk, omdat de computer zich dan na 30 minuten uitschakelt. Via een script zijn de onderzoekers er nu in geslaagd om de ME te laten denken dat die nog steeds draait, maar verder niets doet. De ME wordt op deze manier effectief uitgeschakeld. Het script werkt op Sandy Bridge- en Ivy Bridge-processoren van Intel. Volgens de website Hackaday zou die ook op Skylake-processoren moeten werken. Voor het neutraliseren van de Management Interface is wel enige hardware en handigheid vereist. Het onderzoek van de hackers is een belangrijke stap in het realiseren van een volledig open en vrije computer, zoals de ontwikkelaars van Coreboot en Libreboot nastreven.

Reacties (18)
29-11-2016, 15:08 door Anoniem
Godallemachtig, dat dit gewoon kan.
Nooit meer INTEL voor mij. Ik ga maar naar AMD
29-11-2016, 15:16 door Anoniem
Kijk eens aan, dat is nog eens een hack met toegevoegde waarde!

Maar is het niet zo dat directe, externe toegang tot de northbrigde, alleen werkt met de geïntegreerde Intel LAN controllers...? Een kaartje met een alternatieve chip in de PC en dit zou dan niet meer lukken...

En voor laptops zijn USB WiFi en ethernet adapters / microdongles te krijgen die al niet werken zonder 5v op de USB bus (laptop uit en adapter afgekoppeld).

Wellicht een goed idee om dit script op te nemen in de installatieprogramma's van diverse populaire distributies.
29-11-2016, 15:37 door Anoniem
Tja een gouden hack voor geheime diensten,zo kunnen ze een computer volledig overnemen als ze dat willen.
Dat lijkt mij geen goede zaak,top van de hackers dat ze dit aan het licht hebben gebracht.
Nu kunnen er maatregelen komen tegen deze wat ze noemen een soort backdoor,dus Intel heeft nog wel wat werk te verzetten met die engine,om dat tegen te gaan.
29-11-2016, 15:37 door Anoniem
Door Anoniem: Godallemachtig, dat dit gewoon kan.
Nooit meer INTEL voor mij. Ik ga maar naar AMD

Hahahaha.. Sorry maar die zijn net zo erg bezig. Kijk maar hier op de website van libreboot.
https://libreboot.org/faq/#amd

En het stukje over intel:
https://libreboot.org/faq/#intel

Hardware zonder backdoors van deze fabrikanten bestaan niet meer. Je hebt een Intel hardware van voor 2010 nodig of een amd hardware van voor 2013. Dan moet je er nog eens libreboot op zetten (wat met weinig moederborden/laptops compatible is) om 100% zeker te zijn dat alle backdoors uit je hardware zijn.
29-11-2016, 15:39 door Anoniem
Dit is goud!

Erg belangrijk dat je, indien je dat wil, volledige controle hebt op je eigen pc. Deze ondoorzichtige blob is dan ook een doorn in het oog, i.p.v. transparantie. Stil zetten is een goede stap die misschien wel voldoende is. Maar hopelijk is een volgende stap het reverse engineren van de IME. Of misschien dat Intel perongelijk een keer de source openbaar maakt zodat we precies kunnen zie wat erin zit. Expres mag natuurlijk ook!
29-11-2016, 15:40 door Anoniem
Door Anoniem: Godallemachtig, dat dit gewoon kan.
Nooit meer INTEL voor mij. Ik ga maar naar AMD
Jezus man.. Je kunt ook overdrijven.
29-11-2016, 15:49 door Anoniem
Voor zover ik kan nagaan hebben alleen systemen met vPro de Intel Management Engine aan boord, maar ik laat me graag corrigeren. Het idee is dat je op afstand aanpassingen kan doen aan de BIOS en dergelijke en dat je dus niet fysiek achter al je computers hoeft te gaan zitten. Dat is qua beheer aangenaam, maar uiteraard wel een risico.
29-11-2016, 16:03 door Anoniem
Dit gaat over de x86 dat is de 32 bit.
Ik vraag me af of dit ook voor de 64 bit geldt, weet iemand hier mischien meer over.
En volgens mij ,als de computer niet op internet is aan gesloten kunnen ze geen rootkit instaleren, of je zet
hem van de stroom.
29-11-2016, 16:24 door Anoniem
Je bent toch knettergek dat je je als bedrijf vrijwillig door Intel en dus ook door de NSA laat bespioneren en je daarmee in principe al je (kritische) bedrijfsgegevens uitlevert aan Amerikaanse concurrenten.

IBM heeft dat inmiddels veel beter begrepen en heeft daarom het hele ontwerp en de programmering van zijn power 8 processoren openbaar gemaakt, zodat iedereen die dat wil die processors zelf maken. Wat tevens de reden was dat zij al hun Intel gebaseerde computers aan de Chinezen over hebben gedaan

https://en.wikipedia.org/wiki/OpenPOWER_Foundation

Alleen open source, niet alleen van software maar ook van hardware, heeft nog toekomst.
29-11-2016, 16:25 door Anoniem
"Een aanvaller die de ME weet te compromitteren zou zodoende een bijna niet te detecteren rootkit kunnen plaatsen..."

De Management Engine *IS* de bijna niet te detecteren rootkit.
29-11-2016, 17:41 door karma4 - Bijgewerkt: 29-11-2016, 17:44
Als je servers in een Datacenter zet zul je die bij voorkeur remote beheren. Het zou een schande zijn als de benodigde hardware telemetrie vanuit software boven het OS moet komen.
Dan zou de hardware serviceprovider rechtstreeks toegang tot klantomgevingen krijgen.

Met een aparte laag op processor hardware niveau is dat te voorkomen. Temperatuur snelheid etc kan dan allemaal in de gaten gehouden worden zonder die nare impact.

Ooit moesten computers zoals de eniac geprogrammeerd worden door stekkers om te steken. Ooit had je kg voor radio ooit had je enkel analoog 16 kHz geluid voor telefoon.
Met de technologische vooruitgang veranderd dat. Accepteer dat maar.

Overigens spionagesoftware in routers (huwai cisco) is iets vergelijkbaars en niets nieuws als datalek dreiging. Je zult het meten en weten anders moeten insteken.

IBM heeft de hardware markt verlaten en afgedankt. Ze zien er geen brood meer in. Geen positief voorbeeld.
29-11-2016, 17:41 door karma4
[Verwijderd]
29-11-2016, 18:53 door Anoniem
"Een aanvaller die de ME weet te compromitteren zou zodoende een bijna niet te detecteren rootkit kunnen plaatsen"

Waar wordt die rootkit dan geïnstalleerd? Op de Chipset? Of op je C schijf?
29-11-2016, 19:58 door Anoniem
Door karma4: Als je servers in een Datacenter zet zul je die bij voorkeur remote beheren.
Mee eens. Maar waarom moet dat dan met Closed Source? Waarom maakt Intel de firmware niet Open Source, zodat iedereen kan zien hoe en wat er in de firmware gebeurt? Ze hebben toch niets te verbergen? Of wel soms?

Overigens spionagesoftware in routers (huwai cisco) is iets vergelijkbaars en niets nieuws als datalek dreiging. Je zult het meten en weten anders moeten insteken.
Alle firmware zou "Open Source" moeten zijn en er zijn zat routers die ook op Open Source software draaien.
Bovendien weet iedereen dat je standaard wachtwoorden beter kunt wijzigen en dat je kwetsbaarheden gelijk moet patchen. Los daarvan kan je al je data die over het net gaat versleutelen, waardoor je vele malen ongevoeliger bent voor dat soort lekken.

IBM heeft de hardware markt verlaten en afgedankt. Ze zien er geen brood meer in. Geen positief voorbeeld.
Wat een volstrekte onzin kraam je hier nu toch weer uit: http://www-03.ibm.com/systems/nl/power/hardware/

Bovendien had je, als je de moeite had genomen mijn link https://en.wikipedia.org/wiki/OpenPOWER_Foundation te lezen, kunnen weten dat niet alleen IBM, maar een heel scala aan gerenomeerde IT bedrijven lid zijn van de OpenPOWER Foundation en daarmee impliciet Open Source supporters zijn.
Om er een paar te noemen: Google, Tyan, Nvidia, Mellanox Altera, Samsung, Fusion-io, Hynix, Micron, Dell, Hitachi, Bull, Qlogic. En wat dacht je van dit initiatief: http://opencapi.org/

Het begint steeds duidelijker te worden dat Open Source de toekomst is en Closed Source een aflopende zaak. Of om je eigen woorden te gebruiken:
Met de technologische vooruitgang veranderd dat. Accepteer dat maar.
30-11-2016, 07:43 door karma4 - Bijgewerkt: 30-11-2016, 07:52
Anoniem 19:58 ... Het niet bekend willen maken van userid ' en passwords dan wel passkeys in de vorm van certificaten is een vorm van closed source die principieel is bij secùrity en beveiliging. Juist doe zaken moet je niet open gooien.

Het is een open deur misschien. ..
Wordt bij dogmatici wel eens gemist.

Als je naar de fysieke beveiliging kijkt zie je dat je beveiligingsplannen bouwplannen van de objecten (blauwdrukken) ook niet zo maar openbaar publiceert. Niet omdat het echt geheim is maar gewoon omdat je het de mogelijke aanvallers niet te makkelijk moet maken.
Doe je dat wel dan mis je toch echt wat in beveiligingsstrategie.
Dat betekent niet dat je tegenover de afnemer klant en de gevalideerde onafhankelijke controle onder een nda geheel open kunt zijn. Gericht omgaan met de beschikbare informatie is een deel als "least needed privileges". Die policy is geheel open de specifieke invulling ergens niet.

Dit zijn basisuitgangspunten voor een ciso. Misschien open deuren voor hun, voor dogmatici niet.

Die interfaces van Intel heb ik eerder gezien met documentatie Hoe een en ander in elkaar steekt. Donkere datacenters speken al enkele decennia de boventoon. Er hoort ook management software bij en dat is niet enkel afkomstig van Intel maar ook van anderen. De interfaces en alles wordt op de achtergrond echt wel gedeeld. Nee niet voor de thuishobbyist.

Neem het coca cola recept een van de best bewaarde geheimen terwijl iedereen zoiets mag maken verkopen. Alleen het specifieke bedrijfsmerk mag je niet faken. Merkrecht.

De hele lijst van commerciële grootbedrijven zie je overal terug. Ecma apache wat zich maar foundation noemt. Natuurlijk heb ik die gezien maar ben er gewoon niet van onder de indruk.

IBM heeft de pc tak verkocht aan Lenovo ze zagen er geen brood meer in.
Ze hebben de Intel en rest van de midframes verkocht met daarbij grote boekverliezen waardoor beleggers boos waren.
Ook de rest van de hardware ofwel mainframes (beslist niet open) is met een tien jaren plan geheel afgestoten.
Het is de zelfde weg als Philips met computers en chips. Hoe staat het met je video2000 en philips computer?
Als dat je open benadering is dan pas ik daarvoor.

Even naar de vraag open of gesloten mme intel. Google daar eens naar http%3A%2F%2Fwww.intel.com%2Fcontent%2Fdam%2Fwww%2Fpublic%2Fus%2Fen%2Fdocuments%2Fdatasheets%2F4-chipset-family-datasheet.pdf
Netjes beschreven. Hoe Denk je dat die Hackers aan hun benodigde info zijn gekomen. In het wilde weg wat proberen? Wanneer tikt een chimpansee een nette column voor een weekblad.
30-11-2016, 09:23 door Anoniem
Door karma4: Wanneer tikt een chimpansee een nette column voor een weekblad.
Wanneer geen touw aan zijn betoog is vast te knopen.
30-11-2016, 11:43 door Anoniem
Door karma4: Anoniem 19:58 ... Het niet bekend willen maken van userid ' en passwords dan wel passkeys in de vorm van certificaten is een vorm van closed source die principieel is bij secùrity en beveiliging. Juist doe zaken moet je niet open gooien.

Het is een open deur misschien. ..
Wordt bij dogmatici wel eens gemist.

Als je naar de fysieke beveiliging kijkt zie je dat je beveiligingsplannen bouwplannen van de objecten (blauwdrukken) ook niet zo maar openbaar publiceert. Niet omdat het echt geheim is maar gewoon omdat je het de mogelijke aanvallers niet te makkelijk moet maken.
Doe je dat wel dan mis je toch echt wat in beveiligingsstrategie.
Dat betekent niet dat je tegenover de afnemer klant en de gevalideerde onafhankelijke controle onder een nda geheel open kunt zijn. Gericht omgaan met de beschikbare informatie is een deel als "least needed privileges". Die policy is geheel open de specifieke invulling ergens niet.


Dus ik kan afleiden uit jouw tekst dat jij beweert dat Linux (voornamelijk open source) onveiliger is juist omdat het open source is?

Maar deze bewering is onjuist als je kijkt naar de realiteit. En wat jouw vergelijking met coca cola betreft, de reden dat ze een simpele suikerdrankje geheim houden is omdat suikerdrankjes maken zo makkelijk is, dat het geheim houden ervan een marketingstrategie is. Het heeft niks te maken met of dat coca cola beter is dan andere merken.
30-11-2016, 17:58 door karma4
Anoniem 11:43 linux is niet per definitie veiliger. Neen het Mirai boten met hardcoded keys en pasword welke open zijn geraakt.
De veiligheid van een informatiesysteem is meer afhankelijk van een goede correcte inrichting dan wat dan ook.
Dat negeren uit een soort religieuze overtuiging is de echte bedreiging.

Voor die merknamen zie je dat een verdienmodel met herkenning heel belangrijk is. Anders zou een willekeurige fles spuitwater over in schappen te vinden zijn. Werkt niet anders in ICT. Meedoen met de buzz hype is vaak politiek belangrijker dan nut kosten/baten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.