Security Professionals - ipfw add deny all from eindgebruikers to any

Intel Management Engine

02-07-2019, 16:47 door Anoniem, 13 reacties
vraagje:

kan Intel Management Engine ook verbinding maken met het internet als je via een USB wifi adapter met het internet verbonden bent? of alleen via de Ethernet port?

Welke fabrikanten van moederborden zijn er waarbij je Intel Management Engine uit kan zettem in bios naast Purism System 76 en Dell?


The ME has its own MAC and IP address for the out-of-band interface, with direct access to the Ethernet controller; one portion of the Ethernet traffic is diverted to the ME even before reaching the host's operating system, for what support exists in various Ethernet controllers, exported and made configurable via Management Component Transport Protocol (MCTP). The ME also communicates with the host via PCI interface. Under Linux, communication between the host and the ME is done via /dev/mei
Reacties (13)
02-07-2019, 18:01 door Anoniem
https://www.timesofisrael.com/how-intel-came-to-be-israels-best-tech-friend/
02-07-2019, 18:39 door Anoniem
Als je kijkt naar hoe het ding in de machine geintegreerd dan zal'ie wel ook bij de USB controller kunnen (die aan PCI hangt). Of de iME dat ook doet, geen idee.
02-07-2019, 21:13 door SecuJohn
Door Anoniem: Als je kijkt naar hoe het ding in de machine geintegreerd dan zal'ie wel ook bij de USB controller kunnen (die aan PCI hangt). Of de iME dat ook doet, geen idee.

Ik heb altijd het volste vertrouwen gehad in Intel processoren. Die worden ontwikkeld in Israel en staan bekend om de veiligheid. Over de integratie met de PCI controller zullen ze wel goed hebben nagedacht, het zal zijn reden wel hebben.
02-07-2019, 22:02 door Anoniem
Nou dat vertrouwen zou toch wel eens flink aangetast moeten zijn bij jou, na alle ellende met Intelprocessors de afgelopen jaren. Maar dat is jou kennelijk ontgaan
02-07-2019, 22:33 door Anoniem
Door SecuJohn:
Door Anoniem: Als je kijkt naar hoe het ding in de machine geintegreerd dan zal'ie wel ook bij de USB controller kunnen (die aan PCI hangt). Of de iME dat ook doet, geen idee.
Ik heb altijd het volste vertrouwen gehad in Intel processoren. Die worden ontwikkeld in Israel en staan bekend om de veiligheid. Over de integratie met de PCI controller zullen ze wel goed hebben nagedacht, het zal zijn reden wel hebben.
Gewoon intel op hun mooie blauwe ogen vertrouwen dus maar? Klinkt goed, doen we!

En die speculative execution vulnerabilities? Ah, vast overdreven. Niet druk over maken, is slecht voor je hart.
02-07-2019, 23:08 door Anoniem
Door SecuJohn:
Door Anoniem: Als je kijkt naar hoe het ding in de machine geintegreerd dan zal'ie wel ook bij de USB controller kunnen (die aan PCI hangt). Of de iME dat ook doet, geen idee.

Ik heb altijd het volste vertrouwen gehad in Intel processoren. Die worden ontwikkeld in Israel en staan bekend om de veiligheid. Over de integratie met de PCI controller zullen ze wel goed hebben nagedacht, het zal zijn reden wel hebben.

Inderdaad, Israel maakt de beste hardware / software
03-07-2019, 13:29 door Anoniem
In principe worden alleen netwerk adapters ondersteund waarvoor er drivers in de AMT zitten. Dat kunnen ook wireless adapters zijn. Ik heb nog geen voorbeelden gezien van ondersteunde USB netwerk adapters.

Als je met "high secure" omgevingen werkt (a.k.a. intellligence, defensie etc.) zou ik er vanuit gaan dat het wel kan. Alles met intel IME/AMT is eigenlijk een no-go in dat geval. Er zitten kwetsbaarheden in de "hard"ware waardoor het zelfs als je AMT uitschakelt niet uit te sluiten is dat er buiten het OS om toegang is tot de hardware (CPU/memory/peripherals).

Zie http://info.meshcentral.com/downloads/ActivePlatformManagementDemystified/APMD-Chapter7.pdf voor documentatie.

Secoff
03-07-2019, 13:54 door Anoniem
Aanvulling: Vorige antwoord ging er vanuit dat het systeem "uit" staat. Als je OS actief is kan IME/AMT sowieso bij alle actieve netwerkadapters omdat AMT toegang heeft tot het OS. Meer (publiekelijk beschikbaar) leesvoer over kwetsbaarheden in AMT op:https://people.kth.se/~maguire/DEGREE-PROJECT-REPORTS/100402-Vassilios_Ververis-with-cover.pdf

Secoff
03-07-2019, 18:27 door Anoniem
Door Anoniem: In principe worden alleen netwerk adapters ondersteund waarvoor er drivers in de AMT zitten. Dat kunnen ook wireless adapters zijn. Ik heb nog geen voorbeelden gezien van ondersteunde USB netwerk adapters.

Als je met "high secure" omgevingen werkt (a.k.a. intellligence, defensie etc.) zou ik er vanuit gaan dat het wel kan. Alles met intel IME/AMT is eigenlijk een no-go in dat geval. Er zitten kwetsbaarheden in de "hard"ware waardoor het zelfs als je AMT uitschakelt niet uit te sluiten is dat er buiten het OS om toegang is tot de hardware (CPU/memory/peripherals).

Secoff

Had deze "hard"ware niet gewoon proprietary kunnen blijven? Ik dacht hier wat anders te lezen. Maar ik heb pas bij iemand een systeen met IME geinstalleerd en de AMT gewoon uitgezet.

Helaas zijn er mensen die op internet sprookjes vertellen dat elke Intel processor nog een coprocessor heeft met 3g toegang. De complotters baseren dit op 1 oud artikel. Het is vervelend deze disinfo want het zit de echte info in de weg (de problemen met AMT, de problemen met Spectre dat zijn echte zaken die je softwarematig moet patchen).

Ik vraag mij af of de nieuwe processoren geen Spectre/Meltdown bugs hebben (ook AMD) of is deze bug niet op silicium niveau te fixen, want een softwarematige patch kost performance.
04-07-2019, 08:42 door SecOff - Bijgewerkt: 04-07-2019, 08:43
Door Anoniem:Maar ik heb pas bij iemand een systeen met IME geinstalleerd en de AMT gewoon uitgezet.
Helaas zijn er mensen die op internet sprookjes vertellen dat elke Intel processor nog een coprocessor heeft met 3g toegang.
Dat van die 3g toegang is idd bullshit. Er zijn echter wel fundamentele security issues met IME. Je kunt namelijk (bij kwetsbaarheden) in IME AMT remote aanzetten als het uitgeschakeld staat. In nieuwe IME firmware zijn wel dingen gefixed maar je weet niet wat voor kwetsbaarheden er nog wel inzitten. Een groot probleem dat is de IME onder de Operating System laag zit en daardoor over de netwerk interfaces kan communiceren zonder dat de OS dit kan zien. Je kunt filters instellen op de netwerklaag waardoor bepaalde (voor IME/AMT bedoelde) netwerkpakketjes niet naar het Operating System worden doorgestuurd. Daardoor heeft een firewall of monitoring op OS niveau ook geen zin meer. Als je je nu indenkt dat de firewall in het netwerk ook op hardware met een IME component draait dan heb je in theorie de mogelijkheid voor een covert channel vanuit je netwerk naar buiten toe. Uitbuiting hiervan is denk ik op dit moment nog wel het domein van state actors maar je dient er als je je daar tegen wilt beschermen dus wel rekening mee te houden door in ieder geval op koppelvlakken / security boundaries in je netwerk geen apparatuur met IME te gebruiken
04-07-2019, 08:59 door Bitje-scheef
Voor de aluhoedjes, zouden bij de patches/fixes niet de poorten en/of adressen verschoven zijn, zodat het lijkt dat het opgelost is ??
05-07-2019, 11:51 door Anoniem
Door Anoniem:
Door SecuJohn:
Door Anoniem: Als je kijkt naar hoe het ding in de machine geintegreerd dan zal'ie wel ook bij de USB controller kunnen (die aan PCI hangt). Of de iME dat ook doet, geen idee.
Ik heb altijd het volste vertrouwen gehad in Intel processoren. Die worden ontwikkeld in Israel en staan bekend om de veiligheid. Over de integratie met de PCI controller zullen ze wel goed hebben nagedacht, het zal zijn reden wel hebben.
Gewoon intel op hun mooie blauwe ogen vertrouwen dus maar? Klinkt goed, doen we!

En die speculative execution vulnerabilities? Ah, vast overdreven. Niet druk over maken, is slecht voor je hart.

Zij leveren toch ook camera, IT en security oplossingen voor Schiphol, de politie Kennemerland en misschien Nationale (weet ik niet zeker). Dus Nederland vertrouwt dat wel.. Wie levert eigenlijk die Androids waar elke BOA, Handhaver en Politieagent mee op tas loopt 24/7? En draait dat echt Google Android (vast wel) en cloud services? En wat betekent dat voor onze nationale veiligheid?
05-07-2019, 17:34 door Anoniem
Door Anoniem: https://www.timesofisrael.com/how-intel-came-to-be-israels-best-tech-friend/

Durf ik daar wel op de klikken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.