- Postavení
- První příspěvek tohoto vlákna je WikiPost a může jej upravovat kdokoli s příslušnými oprávněními. Vaše úpravy budou veřejné.
z970
Původní plakát- 2. června 2017
- 01000101 01100001 01110010 01110100 01101000
- 14. listopadu 2020
Stejně jako u předchozí Wiki, kterou jsem sestavil, jsem nejprve napsal následující informace se záměrem, aby byly použity jako osobní reference. Ale vzhledem k tomu, jak v minulosti existovaly příklady, kdy tato konkrétní skupina lidí projevila zájem a obavy o předmět ( https://forums.macrumors.com/thread...y-privacy-issues-on-intel-based-macs.2193645/ a částečně související poznámka https://forums.macrumors.com/ vlákno...n-the-new-announcements.2267073/post-29238209 ) spolu se skutečností, že pokud je mi známo, v současné době na internetu neexistuje žádný centralizovaný informační zdroj, který by podrobně popsal, které čipové sady jsou skutečně postiženy, které čipové sady mohou být vzdáleně kompromitovány a co přesně lze udělat pro zmírnění zranitelných Pokud by uživatel získal čipovou sadu, rozhodl jsem se ji zde zveřejnit pro budoucí veřejné použití.
Prevence zranitelností zabezpečení z technologie Intel Active Management v rámci systémů Pre-Nehalem
Intel Management Engine byl představen s čipovou sadou Intel Q965 a je přítomen v následujících čipových sadách Q35 a P/G/GM/Q45, z nichž každá byla představena v roce 2006, 2007 a 2008. Má plný přístup k rozhraní procesoru, řadiči DRAM, internímu grafickému řadiči, grafickým rozhraním a I/O Controller Hub, ale může odesílat a přijímat data přes síť, pouze pokud základní deska podporuje Intel vPro, nebo konkrétněji Intel Active Management. Technologie (samotná podmnožina vPro). Intel ME by neměl být zaměňován s Intel AMT, protože pouze AMT je schopno propojit se s integrovaným řadičem síťového rozhraní vyráběným společností Intel a představuje tak bezpečnostní riziko. ME a jeho podmnožina vPro / AMT byla později přenesena na mobilní platformy prostřednictvím Centrino Pro a následné Centrino 2 vPro v roce 2007 a 2008.
AMT by se také nemělo zaměňovat s otevřeným standardním formátem výstrah, protože ASF je prostřednictvím softwaru závislý na operačním systému, nemůže přenášet stejnou šířku dat, není exkluzivní pro Q965+ a nemůže běžet, když je systém vypnutý.
Na mobilních systémech je AMT podporováno pouze v případě, že je systém označen jako kompatibilní s Centrino Pro nebo Centrino 2 vPro. Na stolních systémech je vPro, a tedy AMT podporováno pouze v případě, že základní deska obsahuje čipové sady podnikové třídy Q965, Q35 nebo Q45, které lze identifikovat podle vytištěného čísla modelu ICH, jinak běžně známého jako jižní můstek (viz na velký čip značky Intel na základní desce systému):
82801HO (Q965, Digital Office, obsahuje ME i AMT)
82801IO (Q35, Digital Office, obsahuje ME i AMT)
82801JO (Q45, Digital Office, obsahuje pouze AMT)
Všechny stolní desky založené na Core 2 Solo, Core 2 Duo, Core 2 Quad a Core 2 Extreme, které postrádají výše uvedené čipy ICH, nemají AMT, protože vPro / AMT (stejně jako ME na čipových sadách Q965 a Q35) nejsou vytvořeny. do jakýchkoli čipových sad pro stolní počítače bez předpony označení 'Q', což činí ME na čipových sadách P/G/GM45 domněle neškodným.
Případně mei-amt-check ( https://github.com/mjg59/mei-amt-check ) lze v systémech Linux použít k určení přítomnosti ME a AMT. Pokud modul 'mei_me' není automaticky načten při bootování, pak systém postrádá ME a rozšířeně AMT, a proto nevyžaduje ruční obcházení.
Dále může uživatel také spustitls / dev | uchopit szkontrolovat přítomnost ME ještě rychleji. V případě, že se příkaz vrátíSměta potvrzuje tak přítomnost ME, tato metoda bohužel stále nedokáže zkontrolovat přítomnost AMT, zatímco ke konečnému závěru bude nutné použít výše zmíněný nástroj mei-amt-check.
Ačkoli byl ME představen s čipovou sadou Q965, AMT debutovalo o něco dříve na systémech založených na 945 s řadičem Intel 82573E Gigabit Ethernet Controller, což lze potvrdit pomocílspci | grep Ethernet, přičemž by se použily následující kroky ke zmírnění.
Jako preventivní opatření na postižených, obvykle čipových sadách založených na Q, deaktivujte integrovanou NIC prostřednictvím systému BIOS a nahraďte ji alternativním síťovým rozhraním, které neobsahuje centrální NIC čip navržený společností Intel, což zabrání AMT (a potenciálně ME na systémech P55 a vyšších) od komunikace s internetem, protože obsahuje pouze ovladače pro integrovanou NIC (od P55). Příklady zahrnují adaptéry USB Wi-Fi od jiných společností než Intel, adaptéry USB Ethernet a interní síťové karty PCI nebo PCIe. Tato akce může také účinně učinit ME a AMT na použitelných systémech jako pravděpodobně neškodné.
Stejně jako u systémů založených na Core 2 se zdá, že vPro / AMT je přítomen pouze na systémech založených na Core iX s čipovými sadami s předponou Q. V současné době však není známo, jaký přesný vztah má ME s NIC všech čipových sad založených na Core iX a jak se liší od vztahu s čipovými sadami založenými na Core 2 v předchozích verzích. Síťové karty na systémech založených na Nehalemu a vyšších jsou proto ve výchozím nastavení potenciálně nebezpečné bez ručního obcházení alternativním hardwarem.
Poznámky k procesoru zabezpečení platformy AMD
nebo PSP má plný přístup ke všem hardwarovým komponentám, stejně jako ME.
nebo PSP je umístěn výhradně na matrici CPU, zatímco ME je umístěn na jižním můstku základní desky.
nebo Poslední bezpečné CPU jsou cokoli z rodiny FX (Bulldozer) využívající patici CPU AM3+.
nebo Nejrychlejší FX CPU je FX-9590 / přetaktovaný FX-8370. Základní deska by měla mít čipovou sadu FX990 pro nejlepší výkon.
Zdroje
Libreboot – Často kladené otázky
Intel Management Engine – Wikipedie
en.wikipedia.org
Technologie Intel Active Management – Wikipedia
en.wikipedia.orgVerze Intel AMT - Wikipedia
en.wikipedia.org
INTEL-SA-00112
INTEL-SA-00112 www.intel.comIntel VPro a optické sítě
Řešení: Dobrý den! Zkontroloval jsem to s několika našimi inženýry Intel a zjistil jsem toto: vPro využívá integrovaný síťový adaptér. V současné době community.spiceworks.com Spuštění testů na různých systémech s různými čipsety Poslední úprava: 11. července 2021RogerWilco6502
- 12. ledna 2019
- Země mladých
- 15. listopadu 2020
Ametyst1 řekl: Bezpečné.Ok, díky za info. Nevím, kde jsem vzal, že novější systémy jsou bezpečné. Vypadá to, že si budu muset ještě něco přečíst. >.> D
Nehalem a novější systémy také trpí zranitelností ME.
Intel Management Engine – Wikipedie
en.m.wikipedia.org
destruktor
- 21. října 2013
- 15. listopadu 2020
RogerWilco6502 řekl: Dobře, děkuji za informace. Nevím, kde jsem vzal, že novější systémy jsou bezpečné. Vypadá to, že si budu muset ještě něco přečíst. >.>Novější není s Intel ME bezpečný, stejně jako nebyl s AMT (pokud neberete v úvahu potenciální problémy se soukromím obou). Vždy, když je to možné, odstraním ME na svém Thinkpadu a méně jich má tyto možnosti, mimo Thinkpad (kromě některých notebooků nebo stolních počítačů System76), pokud vím, není mnoho vylepšení nebo výzkumu.
Tratkazir_the_1st
- 11. února 2020
- Rusko, Moskevská oblast
- 15. listopadu 2020
RogerWilco6502
- 12. ledna 2019
- Země mladých
- 15. listopadu 2020
dextrutor řekl: Novější není s Intel ME bezpečný, stejně jako nebyl s AMT (pokud neberete v úvahu potenciální problémy se soukromím obou). Vždy, když je to možné, odstraním ME na svém Thinkpadu a méně jich má tyto možnosti, mimo Thinkpad (kromě některých notebooků nebo stolních počítačů System76), pokud vím, není mnoho vylepšení nebo výzkumu.Takže ThinkPady mají způsoby, jak zakázat ME? Byla by to volba firmwaru?
Tratkazir_the_1st řekl: Témata s IntelME generují plameny reakce:davisdelo and sparty411Ametyst 1
- 28. října 2015
- 15. listopadu 2020
Eriamjh1138@DAN řekl: Může to moderátor přesunout z PPC fóra?Vzhledem k tomu, že platí také pro brzy Intel Mac, které zde tak trochu našly (dočasný?) domov, to není úplně mimo téma.reakce:MacFoxG4, Project Alice, RogerWilco6502 a 2 další D
destruktor
- 21. října 2013
- 15. listopadu 2020
RogerWilco6502 řekl: Takže ThinkPady mají způsoby, jak deaktivovat ME? Byla by to volba firmwaru?Jako ME je navrženo tak, aby bylo zabudováno co nejblíže k některým funkcím, někteří by řekli, že pouze nahrazení díry BIOS nebo (U)EFI nějakou další možností, jako je Coreboot nebo Libreboot, aby bylo možné „bezpečně odebrat ME“, protože některé z těchto „záplat“ pouze zakázat nebo udržet v téměř „nefunkčním“ stavu. Takže s moderními x86 CPU (buď AMD nebo Intel) je třeba vybrat si jed, protože mají tyto zranitelnosti nebo spyware
https://coreboot.org/status/board-status.html Naposledy upraveno: 15. listopadu 2020reakce:RogerWilco6502 a Amethyst1
z970
Původní plakát
- 2. června 2017
- 01000101 01100001 01110010 01110100 01101000
@vddrnnr Za předpokladu, že Apple použil hotové revize Intel ME, dalo by se rozumně předpokládat, že systémy postrádající čipové sady Intel NIC nemohou být infiltrovány potenciálními útočníky. To se však potvrdilo pouze u vPro / AMT, nikoli u samotného ME (zejména na Nehalemu a výše).
- 15. listopadu 2020
Při aplikaci zjištěných informací na Macy by mohl kdokoli potenciálně sestavit tento seznam a přidat jej na Wikipost pro referenční účely.
Nicméně první odkaz zveřejněný @Tratkazir_the_1st se zdá být v tomto ohledu velmi užitečný, za předpokladu, že je ověřen uživatelským testováním. Je však frustrující, že se přesně nezmiňuje, kdy se tyto praktiky k převážně neutralizaci ME OOB začaly uplatňovat poté, co byly ME a AMT představeny v roce 2006...
@RogerWilco6502 @Amethyst1 Pokud základní deska ThinkPad X40 není spárována s řadičem Intel 82573E Gigabit Ethernet Controller, je skutečně bezpečná, protože o dva roky předchází začlenění ME do mobilních zařízení od roku 2007.
A systémy Core 2 Duo založené na 965 a P35 nejsou ovlivněny, pokud neobsahují vPro (nebo v tomto případě Centrino Pro/P45 založené na Centrino 2 vPro na bázi 965, z nichž druhý může být ovlivněn i bez vPro). na základnu i45).
@RogerWilco6502 Pro upřesnění, systémy Nehalem a novější nejsou pokryty tak rozsáhle jako systémy Core 2, protože počínaje verzí ME 6.0 v prvních systémech Core i7 (Nehalem) je ME nejen těsněji integrován do zbytku systému, ale spolu s naprostým nedostatkem jakékoli dokumentace, kterou Intel poskytl, není zcela známo, co může samotné ME bez AMT dělat. V tomto okamžiku byste prostě začali používat alternativní síťové adaptéry k uzamčení systému jako zabezpečení proti selhání.
Obecně byly systémy Core 2 v tomto ohledu bezpečnější, protože z toho, co mohu získat z výzkumu a ověření (a nikoli z oficiální dokumentace, s laskavým svolením společnosti Intel), byl ME obvykle zahrnut pouze v čipových sadách, které podporovaly vPro. To je část, kde věci nebyly tak pevně integrované; pokud vPro / AMT nebylo v systému přítomno, pak nebylo potřeba zahrnout ani ME, alespoň na čipsetech 965 a P35 (2006 / 2007).
Pak se zdálo, že začali sdružovat ME do čipsetů P45 bez ohledu na přítomnost AMT, což se také hodí do okna 2008. ME na čipových sadách P45 však nebyly zranitelné vůči SA-00112 bez přítomnosti AMT, což naznačuje, že ME postrádalo jakékoli síťové schopnosti a vyžadovalo AMT pro tuto schopnost (nebo aby byla hrozbou) na čipových sadách P45. Na druhou stranu, i když ne všechny systémy ME 6.0+ (Nehalem) zahrnují AMT, jsou stále zranitelné vůči výše uvedenému SA-00112, bez ohledu na to, zda je AMT přítomno nebo povoleno.
Přesto by se také dalo logicky tvrdit, že samotný ME 6.0+ v systémech Nehalem a novějších není teoreticky o nic schopnější než předchozí verze v systémech Core 2. Pokud je celým předpokladem AMT umožnit síťové rozhraní a vzdálenou konfiguraci ME, jaký by pak mělo smysl zahrnutí síťových schopností do samotného ME? Jedinou výhradu, kterou k tomuto bodu mám, je výše zmíněný rozdíl v SA-00112, který téměř vypadá, že naznačuje, že samotné ME v Nehalemu a výše získalo nějaké vlastní síťové schopnosti, bez ohledu na přítomnost AMT. Bohužel se také zdá, že v současnosti nejsou k dispozici žádné důkazy, které by tuto teorii vyvrátily.
Je to směšně komplikované téma a hraniční králičí nora s rozmazanými rysy. Trvalo mi týdny, než jsem to všechno zpracoval. Bylo by vám odpuštěno, že jste si v několika okamžicích pletli jednu věc s druhou.
Možná by bylo prospěšné začlenit nějaký srovnávací graf pro snadnější orientaci...
@Eriamjh1138@DAN Napsal jsem to sem převážně proto, že jsem věděl, že někteří by to rádi věděli. Jinak bych pravděpodobně použil úplně jiný web. Naposledy upraveno: 15. listopadu 2020reakce:Raging Dufus, RogerWilco6502 a destruktor
Ametyst 1
- 28. října 2015
- 15. listopadu 2020
z970mp řekl: Pokud základní deska ThinkPad X40 není spárována s řadičem Intel 82573E Gigabit Ethernet Controller,Má 82541.reakce:RogerWilco6502
RogerWilco6502
- 12. ledna 2019
- Země mladých
- 15. listopadu 2020
dextructor řekl: Jako ME je navrženo tak, aby bylo zabudováno co nejblíže k některým funkcím, někteří by řekli, že pouze nahrazení díry BIOS nebo (U)EFI nějakou další možností, jako je Coreboot nebo Libreboot, aby bylo možné „bezpečně odebrat ME“, protože některé z nich 'patches' pouze deaktivují nebo udržují v téměř 'nefunkčním' stavu. Takže s moderními x86 CPU (buď AMD nebo Intel) je třeba vybrat si jed, protože mají tyto zranitelnosti nebo spywareAha, dobře. Děkuji za vysvětlení. Tuto informaci vezmu v úvahu.
https://coreboot.org/status/board-status.html
z970mp řekl: Pokud základní deska ThinkPad X40 není spárována s řadičem Intel 82573E Gigabit Ethernet Controller, je skutečně bezpečná, protože o dva roky předchází začlenění ME do mobilních zařízení od roku 2007.Aha, dobře. Děkuji za toto hloubkové rozšíření. Určitě to budu muset ještě hodně prozkoumat >.>
A systémy Core 2 Duo založené na 965 a P35 nejsou ovlivněny, pokud neobsahují vPro (nebo v tomto případě Centrino Pro/P45 založené na Centrino 2 vPro na bázi 965, z nichž druhý může být ovlivněn i bez vPro). na základnu i45).
Pro upřesnění, systémy Nehalem a novější nejsou pokryty tak rozsáhle jako systémy Core 2, protože počínaje verzí ME 6.0 v prvních systémech Core i7 (Nehalem) je ME nejen těsněji integrován do zbytku systému, ale je propojen. s naprostým nedostatkem jakékoli dokumentace, kterou Intel poskytl, není zcela známo, co může samotné ME bez AMT dělat. V tomto okamžiku byste prostě začali používat alternativní síťové adaptéry k uzamčení systému jako zabezpečení proti selhání.
Obecně byly systémy Core 2 v tomto ohledu bezpečnější, protože z toho, co mohu získat z výzkumu a ověření (a nikoli z oficiální dokumentace, s laskavým svolením společnosti Intel), byl ME obvykle zahrnut pouze v čipových sadách, které podporovaly vPro. To je část, kde věci nebyly tak pevně integrované; pokud vPro / AMT nebylo v systému přítomno, pak nebylo potřeba zahrnout ani ME, alespoň na čipsetech 965 a P35 (2006 / 2007).
Pak se zdálo, že začali sdružovat ME do čipsetů P45 bez ohledu na přítomnost AMT, což se také hodí do okna 2008. ME na čipových sadách P45 však nebyly zranitelné vůči SA-00112 bez přítomnosti AMT, což naznačuje, že ME postrádalo jakékoli síťové schopnosti a vyžadovalo AMT pro tuto schopnost (nebo aby byla hrozbou) na čipových sadách P45. Na druhou stranu, i když ne všechny systémy ME 6.0+ (Nehalem) zahrnují AMT, jsou stále zranitelné vůči výše uvedenému SA-00112, bez ohledu na to, zda je AMT přítomno nebo povoleno.
Přesto by se také dalo logicky tvrdit, že samotný ME 6.0+ v systémech Nehalem a novějších není teoreticky o nic schopnější než předchozí verze v systémech Core 2. Pokud je celým předpokladem AMT umožnit síťové rozhraní a vzdálenou konfiguraci ME, jaký by pak mělo smysl zahrnutí síťových schopností do samotného ME? Jedinou výhradu, kterou k tomuto bodu mám, je výše zmíněný rozdíl v SA-00112, který téměř vypadá, že naznačuje, že samotné ME v Nehalemu a výše získalo nějaké vlastní síťové schopnosti, bez ohledu na přítomnost AMT. Bohužel se také zdá, že v současnosti nejsou k dispozici žádné důkazy, které by tuto teorii vyvrátily.
Je to směšně komplikované téma a hraniční králičí nora s rozmazanými rysy. Trvalo mi týdny, než jsem to všechno zpracoval. Bylo by vám odpuštěno, že jste si v několika okamžicích pletli jednu věc s druhou.
Možná by bylo prospěšné začlenit nějaký srovnávací graf pro snadnější orientaci...reakce:destruktor
z970
Původní plakát
- 2. června 2017
- 01000101 01100001 01110010 01110100 01101000
@RogerWilco6502 Hodně štěstí...
- 15. listopadu 2020
reakce:RogerWilco6502 a destruktor
RogerWilco6502
- 12. ledna 2019
- Země mladých
- 16. listopadu 2020
z970mp řekl: @RogerWilco6502 Hodně štěstí...Díky, vypadá to na spoustu informací k prozkoumání >.>reakce:Ametyst 1
sparty411
- 13. listopadu 2018
Alternativně by se dalo jednoduše vyhnout Intelu jako celku a použít stroj založený na AMD. Pokud je mi známo, každá deska prostřednictvím AM3+ je bez PSP. Namísto použití starověkých procesorů z éry 2 jádra můžete použít 8jádrový FX 8350 na relativně moderní platformě.
- 16. listopadu 2020
reakce:Projekt Alice a Ametyst1
z970
Původní plakát
- 2. června 2017
- 01000101 01100001 01110010 01110100 01101000
@sparty411 AMD a jejich PSP jsem ještě neanalyzoval. Když to udělám, nebude od věci vidět další informační zdroj, jako je tento.
- 16. listopadu 2020
Pravděpodobně však budu muset najít jinde než toto fórum, kam to umístit. Jak to tak je, relevance tohoto tématu pro subfóra to tlačila.Projekt Alice
- 13. července 2008
- Post Falls, ID
Byly by z toho Macy 2009-2010 většinou vyjmuty, protože používají čipovou sadu nvidia, nikoli intel? S výjimkou Macu Pro měly ostatní Macy čipovou sadu nvidia.
- 16. listopadu 2020
reakce:RogerWilco6502
z970
Původní plakát
- 2. června 2017
- 01000101 01100001 01110010 01110100 01101000
@Project Alice Teoreticky ano. Museli by být nejprve zkontrolovánilspci | grep Hostals / dev | uchopit sbýt si však zcela jistý.
- 16. listopadu 2020
reakce:destruktor a RogerWilco6502
B S magnet
- 5. prosince 2018
- nepostoupená země severního Želvího ostrova
MODS:
- 2. dubna 2021
Mohl byste to přesunout do fóra Early Intel? Děkuji!reakce:z970 a davisdelo
Macbookprodude
- 1. ledna 2018
- USA
proč je to tady ? Nemělo by to být v sekci intel mac???
- 2. dubna 2021
B S magnet
- 5. prosince 2018
- nepostoupená země severního Želvího ostrova
- 2. dubna 2021
Macbookprodude řekl: Proč je to tady? Nemělo by to být v sekci intel mac???
Pokud vezmete na vědomí původní datum zveřejnění, předchází vytvoření fóra Early Intel Macs.reakce:RogerWilco6502, Amethyst1, AL1630 a 1 další osoba
z970
Původní plakát
- 2. června 2017
- 01000101 01100001 01110010 01110100 01101000
Přidáno upozornění na Platform Security Processor, ekvivalent AMD k Intel ME.
- 11. července 2021
Populární Příspěvky