Slo-Tech - Ko smo v začetku meseca izvedeli, da imajo Intelovi procesorji še cel skrivni operacijski sistem, do katerega uporabnik nima dostopa, smo le še čakali, kdaj se bodo našle prve varnostne luknje v tej skrivni kodi. Res ni bilo treba dolgo čakati, saj je Intel ta teden že potrdil, da je odkril 11 resnih hroščev, ki so v več milijonih procesorjev po celem svetu.
Ko sta Maxim Goryachy in Mark Ermolov iz Positive Technologies odkrila kritično ranljivost v ME (Management Engine) v Intelovih procesorjih, je Intel opravil širšo revizijo svoje kode in ugotovil, da so v ME, TXE (Trusted Execution Engine) in SPS (Server Platform Services) hrošči, ki predstavljajo varnostna tveganja. Goryachy in Ermolov bosta svoja odkritja predstavila decembra na konferenci Blackhat, kjer bosta pokazala, kako lahko napadalec v procesorju poganja nepodpisano kodo prek ME. ME je neodvisen podsistem, ki se uporablja za oddaljeno administriranje računalnikov, vse od posodabljanja do iskanja napak. Prek ME je mogoče dobiti popoln dostop do računalnika. Tudi če je računalnik ugasnjen, a priključen, lahko ME teče, ker uporablja poseben mikroprocesor. Spomnimo, da je Google ugotovil, da ME teče na modificirani verziji MINIX-a, ki ima celo spletni strežnik in podporo za IP (IP stack), zato je napisal svoj firmware, ki teče na Linuxu in tega dvojega nima.
Intel je pripravil orodje, s katerim lahko preverimo, ali procesor vsebuje katero izmed najdenih ranljivosti. Toda problem je dvoplasten. Čeprav je Intel hitro zagotovil popravke za proizvajalce računalnikov, so končni uporabniki odvisni od proizvajalcev, ki morajo izdati popravljene firmware. Za starejše sisteme jih verjetno ne bo. Potencialno tveganje še ni opredeljivo, saj o ME ni prav veliko znanega in tako ni jasno, kaj vse lahko napadalci iz ranljivosti iztisnejo in kako težko jih je izkoristiti. Dobra novica je, da je za zdaj videti, da je za napad potreben lokalni dostop ali že obstoječa prisotnost v omrežju ali administratorski privilegiji. Dokazov, da bi ranljivosti kdo že izkoriščal, še ni, je pa potencialno ogroženih več milijonov računalnikov.
Tisti, ki zbirajo speče celice AKA bodoče zombije, si manejo roke. Ena novica o tem je že bila na S-T. Zakaj bi izvajal srednje velike napade, če pa lahko izvedeš digitalni armagedon nad celo državo ali kar celim internetom.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Niso flikal vse, consumer so samo od v10 naprej, corporate so pa vse. Pa zdej je se TXE vmes.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Management Engine je eno veliko sranje, ki ga je treba vreči v kanto za smeti. Pa namesto ME-ja naj raje dovolijo namestitev Coreboot-a, kot pa da tako množično zaklepajo svoje platforme. Še raje bi pa videl, da bi se pojavil nek popolnoma open-hardware CPU (npr. na osnovi RISC-V), ki je primerljiv s sposobnostmi modernih procesorjev. X86/x64 počasi postaja že pravi kaos.
Pa namesto ME-ja naj raje dovolijo namestitev Coreboot-a, kot pa da tako množično zaklepajo svoje platforme.
Žal sta AMD in Intel ameriški firmi, kar pomeni, da spadajo pod njihovo jurisdikcijo in imajo njihove tričrkovne angencije še večjo moč nad njimi kot ostalimi.
*** Host Computer Information *** Manufacturer: LENOVO Model: 42962YU Processor Name: Intel(R) Core™ i7-2620M CPU @ 2.70GHz OS Version: Microsoft Windows 10 Pro
*** Intel(R) ME Information *** Engine: Intel(R) Management Engine Version: 7.1.13.1088 SVN: 0
*** Risk Assessment *** Based on the analysis performed by this tool: This system is not vulnerable. For more information refer to the SA-00086 Detection Tool Guide or the Intel security advisory Intel-SA-00086 at the following link: https://security-center.intel.com/advis... Saving results in: c:\Temp\DiscoveryTool\SA-00086-X220T-2017-11-22-12-26-28.xml
filipk: Pa imamo sploh v EU kakšnega proizvajalca CPU-jev ali je to ekskluziv za Silicon Valley?
Tule gre za globje vprašanje. Ali hočem zmogljivost, priročnost, odprtost, svobodo, ceno ...
Nisem sicer profesionalec na PC procih, a meni ARM zgleda kar privlačno. Zaenkrat mogoče prvi dve našteti zahtevi še nista primerljivi, naslednje 3 pa vsekakor.
Je pa generalno FW, ki je zapečen v Flashu ali celo ROM-u, težko dostopen in skoraj povsem nedokomunentiran. Torej ne pomaga niti menjava diska, kaj šele formatiranje.
Glede PC-jev je zaenkrat varnosti v samem bistvu (celotna slika: HW in FW) najbližje Purism.
Samo tile proci so "okuženi": o6th, 7th, and 8th generation Intel(R) Core™ Processor Family: oIntel(R) Xeon(R) Processor E3-1200 v5 and v6 Product Family oIntel(R) Xeon(R) Processor Scalable Family oIntel(R) Xeon(R) Processor W Family oIntel Atom(R) C3000 Processor Family oApollo Lake Intel Atom(R) Processor E3900 series oApollo Lake Intel(R) Pentium(R) Processors oIntel(R) Celeron(R) N and J series Processors
Jaz bi rekel, da intel tu cilja na zamenjave starejših CPU. Popravke dobijo samo novejše generacije.
Ni res.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Kje lahko posobim moj ranljiv i3-6100 ( gonilnik je iz leta 2009 )? Na intelovi strani najde samo graficni gonilnik in se ta javi "This computer does not meet the minimum requirements for installing this software".
Samo tile proci so "okuženi": o6th, 7th, and 8th generation Intel(R) Core™ Processor Family:
Starejši CPU imajo drugo verzijo ME (ki nima luknje)? Ali nimajo ME sploh? Ali jih noben ni testiral?
IME obstaja od nekje 2004. AMD ima sorodno tehnologijo: AMD Secure Processor (formerly “Platform Security Processor” or “PSP”). S podobno starostjo .
Tako je. Ze od 2004/2005 je prisoten ME, verjetno tudi te "luknje". Od takrat dalje, ko je mozno oddaljeno nadzirati sisteme. (vPRO, AMT in podobno si mal raziscite)
In sedaj naj verjamemo/zaupamo, da je celih 10+ let tole bilo unknown? Da je intel/XYZ dopustil da gre tole v javnost pomeni samo, da že imajo preizkušeno in delujočo alternativo (stranskih vrat) in tegale ne potrebujejo več.
V mednarodni politiki se nič ne zgodi naključno. Tu pa gre še več kot le zgolj za politiko.
In sedaj naj verjamemo/zaupamo, da je celih 10+ let tole bilo unknown? Da je intel/XYZ dopustil da gre tole v javnost pomeni samo, da že imajo preizkušeno in delujočo alternativo (stranskih vrat) in tegale ne potrebujejo več.
V mednarodni politiki se nič ne zgodi naključno. Tu pa gre še več kot le zgolj za politiko.
Bi rekel, da je kje kaj neodkritega. Vedno vec "slamparij" se odkriva.
Host Computer Information Name: Manufacturer: To Be Filled By O.E.M. Model: To Be Filled By O.E.M. Processor Name: Intel(R) Core™ i5-7600K CPU @ 3.80GHz OS Version: Microsoft Windows 10
Intel(R) ME Information Engine: Intel(R) Management Engine Version: 11.8.50.3425 SVN: 3
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Oooook, čaki malo. Vi to vlačite dol Intelove tool-e in le-tem zaupate, da vam poda resnično analizo, da niste vulnerable? Ali mogoče še ti tool kaj drugo s sabo prinaša? :)
Tako je na prvi pogled, u bistvu je pa mal drugače.
Pri zaprti kodi zaupaš firmi, kjer v splošnem velja, da če dost fejst zajebe, lahko zapre štacuno. Zajebi, katere si privošči, so posledično takšne sorte, da kot posameznik niti nimaš kej velik praskat. So lahko večji od držav in si oplel odspredaj in od zadaj.
Pri odprti kodi pa v bistvu zaupaš, da ti sosedov mulec včeraj zvečer v kritični update ni podtaknil "del c:\*.*". Tipično takih podtikanj ni, ker so preveč očitni, je pa zato tolk več "metanja dreka čez zid", kjer tipično nobena odprtokodna koda ki ni stara vsaj 5 let, še ne dela tako kot se od nje naivno pričakuje glede na fasado in famo, ki se zganja okrog nje.
Kot bi reku sodelavec... kakorkoli se obrneš, imaš rit spredaj...
Oooook, čaki malo. Vi to vlačite dol Intelove tool-e in le-tem zaupate, da vam poda resnično analizo, da niste vulnerable? Ali mogoče še ti tool kaj drugo s sabo prinaša? :)
V eno nogo so se ze ustrelil, si ziher, da se bodo takoj se v drugo? Sicer mozno je, ampak koliksna je verjetnost?
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.
Meni je prejšnja verzija intel orodja izpisala (https://slo-tech.com/novice/t699349/0 , brez gui intel-sa-00076 ?) enako kot pri filipk, sedanja da je vse ok .
Če se ne motim...a nima AMD proizvodnjo čipov v Nemčiji or something? Če da, to pomeni da je vseeno vezan na tričrkovne US agencije?
Eno je proizvodnja, drugo je razvoj, tretje sedež .
Kje si dobil letnico 2004 oz. podobno starostjo za AMD-jev Platform Security Processor? Kateri je prvi procesor, ki je imel PSP? Zasledil sem namreč samo da majo vsi po letu 2013.
I NEED The Point of View Gun effectible on girls too! And then...
Samo tile proci so "okuženi": o6th, 7th, and 8th generation Intel(R) Core™ Processor Family:
Starejši CPU imajo drugo verzijo ME (ki nima luknje)? Ali nimajo ME sploh? Ali jih noben ni testiral?
IME obstaja od nekje 2004. AMD ima sorodno tehnologijo: AMD Secure Processor (formerly “Platform Security Processor” or “PSP”). S podobno starostjo .
Kje si dobil letnico 2004 oz. podobno starostjo za AMD-jev Platform Security Processor? Kateri je prvi procesor, ki je imel PSP? Zasledil sem namreč samo da majo vsi po letu 2013.
Se pardoniram za preohlapen izraz . Težko je reči, da je 13 let in 4 podobno. Res pa je, da je oboje prestaro, da bi bilo novica. Pravzaprav tokrat Intel tudi ni prvikrat objavil kritičnega popravka.
Smo počasi kuhane žabe , kar se tiče varnosti in transparentnosti.
Ok, ni panike za napako, v bistvu je to dobra novica da si se zmotil.
Kaže, da je edina dolgotrajna rešitev, podpirat (donirat) projekte za open source hardware. Pač ne bo najhitrejši harware, vsaj na začetku, bo pa vsaj open source.
I NEED The Point of View Gun effectible on girls too! And then...
V bistvu lahko zaobides TPM. Torej do tvojih podatkov ne pridejo le ce nisi tarca LOL organizacij. Dokler nimas kjuca z dekripcijo izven sistema, nisi kaj dosti varen.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Kaže, da je edina dolgotrajna rešitev, podpirat (donirat) projekte za open source hardware. Pač ne bo najhitrejši harware, vsaj na začetku, bo pa vsaj open source.
No saj v bistvu niti ne rabiš najhitrejšega hardware v tem primeru. Če bereš in pišeš pošto, komuniciraš prek spleta, rišeš načrte, pišeš word dokumente in ostalo... za to pač ne rabiš neke tipi-topi strojne opreme. Rabiš nekaj povprečnega, važno je pa, da je zadeva secure. Da bi pa igral najnovejše igrice na secure zadevah pa itak nima smisla, ker so že prvič same igre luknjaste, drugič pa igranje iger ne predstavlja nečesa za kar bi potreboval varnost. Pač igre igraš na ločenem kompu.
Jaz za enkrat za varna dela uporabljam kar Raspberry Pi + linux.
Se en primer ko se ena korporacija na veliko userje nekam kamor nimas dostopa za neke "featurje" za katere jih ni noben prosil. Nekako tako kot je zdaj nemogoce kupit TV ki nima nekega useless buggy softwarea gor, ki naj bi ti kao "pomagal".
Ja, RPi ima sicer odprtokoden hardware, razen ključnega dela - Broadcomovega sranja, ki inicializira cel sistem in se zažene PRED glavnim procesorjem.
Saj to imajo itak vsi po vrsti. Eni več, drugi manj. Izbereš tistega, ki ima najmanj sranja. Sicer pa sem slišal, da dosti hvalijo Freescale i.mx6 procesorje zaradi odprtosti (ni NDA-jev).