Intel Management Engine

Begonnen von Klauserus, 21. November 2017, 18:22:58

Vorheriges Thema - Nächstes Thema

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Klauserus

Naben zusammen

Vielleicht haben schon einmal ein paar von Euch von der IME bzw. Intel Management Engine gehört. Vor kurzem ist es laut Medienberichten einem Forscher gelungen, diese Engine zumindest teilweise zu knacken. Dabei konnte er etwas in den Code und die Funktionsweise hineinschauen. Hier Ein Bericht dazu. Wenn ich ehrlich bin, habe ich vorher noch nie etwas davon gehört, habe mich jetzt aber aufgrund des Berichts und diverser Gerüchte mal einen ganzen Nachmittag damit beschäftigt. Was ich herausgefunden habe ist folgendes:

Die Engine soll ziemlich weit in das System reichen. Da diese auch ein OS (minix) im Chip beinhaltet. Also ein verstecktes Betriebssystem, was von außen nicht erreicht werden kann. Dieses arbeitet z.B. im Chipsatz mit den Komponenten zusammen. Unabhängig vom eigentlichen Betriebssystem. Manche Berichte weisen darauf hin, dass Intel z.B. am OS vorbei eine Fernwartung durchführen kann. Damit wird dieses System auch beworben (AMT). Es kann aber noch mehr. Spekuliert wird ein Backdoor für die NSÄ da es sich nicht komplett abschalten lässt. Wenn man dies versucht, fährt das System nicht mehr hoch oder bleibt nur ca. eine halbe Stunde aktiv. Was hat das für einen Sinn?

Was macht diese IME eigentlich sonst? Im Geräte Manager habe ich diese entdeckt. Wenn ich es deaktiviere passiert nichts mit dem System. Alles läuft normal. Ich habe seit einer Woche keine Probleme trotz Deaktivierung. Wozu ist das also gut?

Leider habe ich die Quellen verworfen. Einfach mal in der Suchmaschine ein paar Berichte lesen und man kommt  ins Nachdenken.

Vielleicht habt ihr noch Infos und Ideen.

Grüße

SCPH-7002
SCPH-7502
SCPH-5552
SCPH-39004 + Netzwerkadapter
SCPH-70004
SCPH-70004
..irgendwo muss noch eine FAT sein

Takeshi

Zitat von: Klauserus am 21. November 2017, 18:22:58
Vor kurzem ist es laut Medionberichten einem Forscher gelungen, [...]

Ich vermute der Hersteller Medion hat damit wenig zu tun, du meinst die Medien =P

Gelesen hab ich davon schon viel in der c't. Hab die Details aber leider auch nicht mehr im Kopf. Ich weiß nur noch, dass es NSA-intern möglich ist die IME abzuschalten, dafür wurde irgendein Bit gesetzt, fertig. Das ist jemandem gelungen, wodurch die IME zwar an sich noch da ist, aber höchstwahrscheinlich nichts mehr macht. Man arbeitet aber daran das Teil möglichst komplett loszuwerden. Einige Bestandteile kann man wohl getrost abschalten, andere nicht. Aber die, auf die man verzichten kann, will man natürlich verzichten.

Der Task in Windows hat natürlich nichts (nicht direkt) was mit der IME zu tun, um die es geht, die läuft ja, wie du schon sagtest, auf einem eigenen Prozessor unabhängig vom OS. Ich denke das ist nur zur Kommunikation.

Klauserus

Mir kommt das jedenfalls sehr spanisch vor. Was hat es denn für den Verbraucher offiziell für einen Sinn, wenn ich es abschalten kann ohne das es Konsequenzen hat und wenn es Konsequenzen hat, dann künstlich herbei geführte. Vermutet man stark. Jetzt ist die Tage ein Tool von Intel erschienen, mit diesem man seinen Rechner auf diese entdeckte Schwachstelle testen kann. Also ich habe noch keinen Alu-Hut auf, aber warum sollte man das tun? Klar weil die Sicherheitslücke offiziell ist. Aber lieber das ganze Ding ausschalten wenn es wahrscheinlich außer auskundschaften nichts anderes macht. Das ist so, also würde man daheim ein neues Schloss in die Tür bauen und den Schlüssel seinem Nachbarn schenken.
SCPH-7002
SCPH-7502
SCPH-5552
SCPH-39004 + Netzwerkadapter
SCPH-70004
SCPH-70004
..irgendwo muss noch eine FAT sein

Takeshi

Ein etwas besserer Vergleich wäre wohl, wenn der Schloss-Hersteller einen Schlüssel für sich behält. Oder ein Alarmanlagen-Hersteller, der sich immer einen Zugang per Fernwartung in jede Alarmanlage sichert, ohne dass dir dabei irgendein Nutzen dadurch entsteht.

Laut Wikipedia wurde das mit der Core-i-Serie eingeführt. Hab noch einen Core-2-Duo. Noch ein Grund mehr den noch zu behalten ;D

Klauserus


Dazu sind im Netz wieder Infos zu finden. Die Firma DELL bietet jetzt Computer/Laptops mit abgeschalteter IME an. Komisch. Braucht man das Zeug doch nicht für den Betrieb.
Leider bin ich mir sicher, dass andere Hersteller nicht mit Updates nachziehen werden und ich habe erst einen Laptop gekauft....
SCPH-7002
SCPH-7502
SCPH-5552
SCPH-39004 + Netzwerkadapter
SCPH-70004
SCPH-70004
..irgendwo muss noch eine FAT sein

Takeshi

Eventuell gibt es ja einen Hack für Endnutzer, sollte sich das alles etwas mehr verbreiten.

Takeshi

Golem: Intel will ME-Downgrade-Attacken in Hardware verhindern

Jetzt kommen die langsam auf die Idee E-Fuses zu nutzen. Schon witzig, dass bisher ein einfacher SPI-Flasher ausreicht für etwas, das der NSA so wichtig zu sein scheint.

Takeshi

#7
Ich verweise an der Stelle auch noch auf die Topic 34C3 - Chaos Communication Congress 2017, da soll es einen schönen Vortrag gleich zwei schöne Vorträge dazu geben.

Takeshi

Der zweite Vortrag war übrigens etwas besser zu verstehen und inhaltlich auch interessant, für mich zumindest zufriedenstellend. Die haben es geschafft herauszufinden, wie das Dateisystem aufgebaut ist, wie man es verändert, welcher Teil ungefähr wofür zuständig ist und dann konnten sie das Meiste herauslöschen, so dass so wenig übrig bleibt, dass Intel damit kaum noch Schindluder treiben kann. Vorallem ist es halt möglich den Kernel, und was sonst noch irgendwie was machen könnte, herauszulöschen.