image

Intel Management Engine via nieuwe methode uit te schakelen

dinsdag 29 augustus 2017, 08:47 door Redactie, 13 reacties

Onderzoekers hebben een nieuwe methode gevonden om de Intel Management Engine (ME) uit te schakelen, wat volgens sommige experts de veiligheid van gebruikers en systemen ten goede komt. De Intel ME is gesloten technologie die bestaat uit een microcontroller die in de Platform Controller Hub (PCH) chip is geïntegreerd en een aantal ingebouwde randapparaten.

De PCH is verantwoordelijk voor bijna alle communicatie tussen de processor en externe apparaten, waardoor de Intel ME toegang tot bijna alle data op de computer heeft. De ME kan zelfs op afstand worden gebruikt als de computer is uitgeschakeld. De code van de Management Engine is echter gesloten, waardoor het publiek de werking niet kan controleren. In het geval er code op de Intel ME kan worden uitgevoerd kan zo het gehele systeem worden overgenomen, aldus onderzoekers van Positive Technologies. Eerder dit jaar werd er een ernstige kwetsbaarheid in de Intel Active Management (AMT) module ontdekt, die in de Management Engine van zakelijke Intel-processors aanwezig is.

De onderzoekers van Positive Technologies besloten dan ook te kijken naar een manier om de Intel ME uit te schakelen. Het blijkt niet mogelijk te zijn om de ME compleet uit te schakelen, aangezien de technologie verantwoordelijk is voor initialisatie, energiebeheer en het starten van de primaire processor. Een ander probleem is dat sommige data hardcoded in de PCH-chip is. Hackers zijn daarom al enige tijd bezig om via het me_cleaner project allerlei niet essentiële zaken van de Intel ME uit te schakelen, maar dit is een lastig proces dat gevolgen voor het systeem kan hebben.

De onderzoekers van Positive Technologies hebben door het analyseren van code die voorheen niet toegankelijk was nu een ongedocumenteerde methode gevonden om de Management Engine in een vroeg stadium uit te schakelen. Daardoor kan de Intel ME worden uitgeschakeld nadat de primaire processor is gestart. In de code vonden de onderzoekers een bit met de tekst "reserve_hap", gevolgd door een opmerking met "High Assurance Platform (HAP)" (pdf). HAP is een zogeheten 'trusted platform' programma van de NSA. Zodra de bit wordt ingeschakeld, wordt de ME na het opstarten uitgeschakeld.

Intel laat tegenover de onderzoekers weten dat op verzoek van sommige klanten met speciale eisen soms wordt gekeken naar het aanpassen of uitschakelen van bepaalde features. In dit geval werden er aanpassingen doorgevoerd op verzoek van fabrikanten om zo het High Assurance Platform te kunnen ondersteunen. Volgens Intel zijn deze aanpassingen op beperkte schaal getest en geen onderdeel van een officieel ondersteunde configuratie. De onderzoekers denken dat deze methode is ontworpen om bijvoorbeeld 'side-channel' leaks te voorkomen. Ze waarschuwen wel dat het toepassen van de nu gevonden methode op eisen risico is en systemen kan beschadigen.

Reacties (13)
29-08-2017, 10:14 door ph-cofi
Undocumented unsupported features gebruiken om veiliger PC te krijgen. Rare wereld. En bij elke nieuwe CPU lijn begint het spel opnieuw?
29-08-2017, 10:30 door Anoniem
Tijd voor een open source CPU?
29-08-2017, 10:38 door buttonius
Ik vind die Intel AMT maar griezelig. Er komt een dag dat iemand de AMT misbruikt om een worm te maken die alle PCs met AMT besmet en dan zijn de rapen echt gaat. Meer info in mijn blogje op http://buttonius.blogspot.nl/2017/08/zero-day-worm-voor-personal-computers.html
Daarbij vergeleken zal WannaCry een onbeduidend incidentje zijn.
29-08-2017, 10:47 door Anoniem
Door buttonius: Ik vind die Intel AMT maar griezelig. Er komt een dag dat iemand de AMT misbruikt om een worm te maken die alle PCs met AMT besmet en dan zijn de rapen echt gaat. Meer info in mijn blogje op http://buttonius.blogspot.nl/2017/08/zero-day-worm-voor-personal-computers.html
Daarbij vergeleken zal WannaCry een onbeduidend incidentje zijn.

Ik vind veel meer dingen griezelig.... dat fabrikanten allerlei dingen stiekum doen, bijvoorbeeld.
Maar je kan ook zeggen: laat er maar een keer iets heel erg vreselijk mis gaan.... misschien dat men dan eens gaat nadenken.
29-08-2017, 12:17 door Anoniem
Door Anoniem: Tijd voor een open source CPU?

Die ontwikkeling is al een tijdje gaande. https://en.wikipedia.org/wiki/OpenPOWER_Foundation

Merkwaardigerwijs is ook Google daar lid van.

IBM heeft de broncode van zijn Power processors open source gemaakt, zodat iedereen die processors kan maken. De closed source Intel processoren waren overigens ook mede de reden dat IBM met de verkoop van Intel computers gestopt is en aan Lenovo over heeft gedaan.

https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/

Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
29-08-2017, 12:50 door Anoniem
Door Anoniem: Tijd voor een open source CPU?
Die bestaan. OpenSparc en OpenPower bijvoorbeeld. Ze kunnen kopen is een ander verhaal.

Als je gaat kijken naar bijvoorbeeld de "TALOS II", dan kosten de POWER9 CPUs niet eens zo veel, maar het mainboard is loeiduur. Dat is wel te verwachten want pietsiekleine volumes vergeleken bij mainstream bordjes. En wellicht ook hoge eisen aan het bord. Zo kon je ooit een Alpha AXP bord in ATX formaat kopen voor een vergelijkbaar bedrag, want alweer kleine volumes maar ook omdat de memory lane 256 bits was, vergeleken bij de toen gebruikelijke 64 voor de intel/amd mainstream. Dat is eventjes iets meer bandbreedte. En toch kocht "iedereen" de goedkope rommel om dan maar weer over de lage prestaties te klagen.


Door Anoniem: Maar je kan ook zeggen: laat er maar een keer iets heel erg vreselijk mis gaan.... misschien dat men dan eens gaat nadenken.
Zowel intel als AMD zitten al uitgebreid met hun vingers in al je data, de NSA ook (weten we van lekken), de Chinezen zeer waarschijnlijk ook (daar zijn aanwijzingen voor te vinden), dus op het moment dat het zichtbaar misgaat blijk je ineens midden op zee uit een vliegtuig gevallen, oftewel, even naar de oever zwemmen om een bootje te bouwen wordt lastig.

Maarja, als dat de enige manier is om het probleem duidelijk te maken, dan moet het maar zo. We wisten al jaren (en hadden zeker kunnen en moeten weten) dat openssl brakke rommel was, maar het duurde tot heartbleed tot er wat sjoege in kwam. Dus, hoe vaak willen we nog kompleet overrompeld worden met zulke ongein?

Systematisch de kleine hoekjes vol met ongelukjes en detailduiveltjes afgaan is duurrrr, dus maak je borst maar nat.
29-08-2017, 15:18 door Anoniem
Zoals VMware CPU Microcode updates. Bij het updaten zal het vergelijken met het driver ID een negatief getal opleveren ten opzichte van het huidige ID en de patch zal derhalve niet geladen worden met een ongesigneerd ID als gevolg.

Kan zo'n bug worden uitgebuit?????? Patch ID met MSb set faalt bij vergelijken van patches. Allemaal 'one trick horse' code!!!

Vanuit zo'n oogpunt zijn achterdeurtjes verre te prefereren boven het kraken van encryptie. Men kan er dus vanuit gaan dat kennis over dergelijke uit te buiten ingebouwde nog onbekende "features" bij NSA e.d. bestaat. 'Het spoofing van ID is nog steeds een gemakkelijke(r) methode, Hard Disk Serial Number Changer, SysInternals Volume ID, Speccy zal echter wat anders laten zien vanweg een andere methode. Dan is er nog HWSpoofer en het totaal verbergen via ObjectTree en meer van zulke ring0 tools.

Crackers en gamers hebben het paadje al voorgegraven meestal, resource engineering van "hoog"niveau,
zoals Joanna Rutkowska's red pill code:
int swallow_redpill () {
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m;
((void(*)())&rpill)();
return (m[5]>0xd0) ? 1 : 0;
}
voor VM on Intel machines...
29-08-2017, 18:09 door karma4
Door Anoniem:....
https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/

Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
IBM ziet geen brood meer in de hardware markt en heeft alles buiten de deur gezet. Dat de specificaties open hebben gemaakt is in dat kader een teken zwakte. Het is meer iets wat aan de zijkant zit als een luis in de pels.
Apple heeft ba de 6502 de 68000 lijn gevolgd Motorola is niet meer. Na de 68000 hebben ze Power pc's gevoerd zo'n 5 jaar terug afgedankt.
In p7 harware as/400 I/series van ibm zitten ze nog. Voor zolang ibm nog hardware voert kun je dozen vinden. Voor spa moet je tegenwoordig bij ibm zijn.
29-08-2017, 19:16 door Anoniem
Door Anoniem:
Door Anoniem: Tijd voor een open source CPU?

Die ontwikkeling is al een tijdje gaande. https://en.wikipedia.org/wiki/OpenPOWER_Foundation

Merkwaardigerwijs is ook Google daar lid van.

Erg logisch voor Google. Als Google niet totaal afhankelijk wil zijn van Intel is een alternatieve high-performance CPU optie nodig. AMD is wellicht niet anders genoeg .
Er zoemen frequent geruchten dat Google een deel van hun servers op Power zou willen draaien. Of op ARM.


IBM heeft de broncode van zijn Power processors open source gemaakt, zodat iedereen die processors kan maken. De closed source Intel processoren waren overigens ook mede de reden dat IBM met de verkoop van Intel computers gestopt is en aan Lenovo over heeft gedaan.

Dat is onjuist. De 'code' van de CPUs is allesbehalve openbaar. Dat je wellicht licentietechnisch een CPU mag maken die dezelfde instructieset gebruikt is mooi, maar er zijn werelden van verschil (in prestatie en stroomgebruik) tussen verschillende implementaties.
Er zijn maar heel weinig CPU design teams van absolute topklasse die een maximale prestatie uit een architectuur weten te halen.
En hoe kom je erbij dat het closed source zijn van x86 de reden was voor IBM om de PC fabricage weg te doen ?


https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/

Nogal bla bla. De MIPS architectuur is (vrijwel) open - je mag bijna je eigen MIPS-compatibele CPU bouwen.
De Chinezen doen dat al (strategische redenen) voor één van hun supercomputers .[zie Loongson] . Niet de meest snelle MIPS ooit, maar je leert het alleen maar als je het doet - en volledig 'eigen' .

Ook de SPARC architectuur is erg open, en er zijn of waren (naast de Sun/Oracle SPARCS) een paar andere SPARC-CPU makers.
Fujitsu heeft een erg snelle versie.

Dan is de nieuwste hippe open CPU de OpenRisc, bedoeld voor embedded gebruik.


Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)

https://www.enterprisetech.com/2014/10/08/tyan-ships-first-non-ibm-power8-server/

https://www.nextplatform.com/2016/04/06/inside-future-google-rackspace-power9-system/
https://www.raptorcs.com/TALOSII/
29-08-2017, 20:43 door Anoniem
Door karma4:
Door Anoniem:....
https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/

Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
IBM ziet geen brood meer in de hardware markt en heeft alles buiten de deur gezet. Dat de specificaties open hebben gemaakt is in dat kader een teken zwakte. Het is meer iets wat aan de zijkant zit als een luis in de pels.
Apple heeft ba de 6502 de 68000 lijn gevolgd Motorola is niet meer. Na de 68000 hebben ze Power pc's gevoerd zo'n 5 jaar terug afgedankt.
In p7 harware as/400 I/series van ibm zitten ze nog. Voor zolang ibm nog hardware voert kun je dozen vinden. Voor spa moet je tegenwoordig bij ibm zijn.

daar hebben we de fietsenmaker weer met ongefundeerde beweringen. doe eens referenties naar die uitlatingen van je ?
29-08-2017, 22:41 door karma4 - Bijgewerkt: 29-08-2017, 22:54
Door Anoniem:
....
daar hebben we de fietsenmaker weer met ongefundeerde beweringen. doe eens referenties naar die uitlatingen van je ?

Een lijst feiten die je zo op google kunt vinden als ongefundeerd afdoen. In welk geloof zit gij vast.
https://apple2history.org/museum/articles/microreport/
https://en.m.wikipedia.org/wiki/List_of_Macintosh_models_grouped_by_CPU_type de hele waslijst inclusief Power pc. https://en.m.wikipedia.org/wiki/IBM_System_i
https://www.globalfoundries.com/news-events/press-releases/globalfoundries-completes-acquisition-of-ibm-microelectronics-business
30-08-2017, 05:46 door Eric-Jan H te D
De aanwezigheid va het bit kan volgens mij maar één ding betekenen. De NSA wil een mogelijkheid om deze intrusion vector voor eigen gebruik uit te kunnen schakelen.
30-08-2017, 10:34 door Anoniem
Door Anoniem: Tijd voor een open source CPU?
Zonder meer! Naast de reeds genoemde namen:
http://www.lowrisc.org

Hoewel bedoeld als SoC, werkt men actief aan schaalbaarheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.