Forum » Informacijska varnost » Intel management engine - kakšno je zdaj stanje?
Intel management engine - kakšno je zdaj stanje?
zmaugy ::
Ker je zadnje čase vse tiho glede afere z Intel management engine, me zanima status tega - ali je potihnilo, ker itak nihče ne more narediti nič ali so proizvajalci računalnikov dejansko našli način kako to onemogočijo in to na novih računalnikih počnejo ali aplicirajo Intelove popravke odkritih ranljivosti.
kakob ::
Stanje je tako:
Blobless KGPE-D16
Never take a financial advice from someone who works for a living.
kakob ::
Rešitev predstavljajo Power9 procesorji od IBM-a na platah od RaptorCS.
Če nisi poročen z x86 kopico dreka, zagotovo.
Never take a financial advice from someone who works for a living.
Zgodovina sprememb…
- spremenilo: kakob ()
Invictus ::
Če si na Linuxu in znaš prevesti software iz source code, nimaš teh problemov...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
jukoz ::
Če si na Linuxu in znaš prevesti software iz source code, nimaš teh problemov...
Dej razsvetli nas, kaj točno moraš narediti.
Res nisem vedel da, če prevedeš neko kodo na Linuxu potem zaobideš Intelov računalnik, ki je priklopljen na mrežo in prestreže vse ukaze, ki so namenjeni zanj.
hojnikb ::
Če si na Linuxu in znaš prevesti software iz source code, nimaš teh problemov...
*ahem* managment engine dela mimo OSa *ahem*
#brezpodpisa
rokp ::
Jaz sem njegovo izjavo razumel, da lahko uporabis program na drugi arhitekturi, torej nisi vezan na Intel...
Invictus ::
Jaz sem njegovo izjavo razumel, da lahko uporabis program na drugi arhitekturi, torej nisi vezan na Intel...
Enemu je celo potegnilo
. "Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
jukoz ::
Jaz sem njegovo izjavo razumel, da lahko uporabis program na drugi arhitekturi, torej nisi vezan na Intel...
Enemu je celo potegnilo
Dobra, vredna jype-ta =)
x86 kraljuje in bo še nekaj časa.
Glede Intel ME in prehoda na AMD pa ne bo kaj boljše, AMD ima PSP.
Sem pa enkrat zasledil slike enih AMD Ryzen plat, ki imajo v BIOSu možnost izklopa PSP. Ampak to je pa to, samo slike sem videl. Mogoče bo pegasus kaj več vedel.
Zgodovina sprememb…
- spremenilo: jukoz ()
kakob ::
Glede Intel ME in prehoda na AMD pa ne bo kaj boljše, AMD ima PSP.
Za x86 je varjanta, ki sem jo omenil zgoraj. Novejši modeli pa so doomed.
Never take a financial advice from someone who works for a living.
Invictus ::
x86 kraljuje in bo še nekaj časa.
Saj nisem rekel, da ne...
Ampak, če se gre pa za bolj zmogljive serverje, in če nisi ravno omejen na Windowse, je pa Power9 in Linux precej dobra varianta.
Sicer pa hardware tako ali tako ni važen, važen je software, ki gor laufa. Če zadosti tvojim potrebam, boš pač plačal...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
jukoz ::
Gledaš da mašina nima intel mrežne.
Primer Thinkpadov (letniki 2011, 2012 ??), ko je prišlo to ven (2017):
T verzije ranljive, L verzije ne, ker imajo realtek mrežne.
Intel ME ni dosegljiv preko mrežne na matični, je pa vseeno prisoten.
Kako v prihodnje pa ne vem.
Mi postavljamo FW je na PCjih, in nikoli ne damo mrežnih na matični direktno na net. Znotraj omrežja boš lažje filtiriral promet. Verjetno =)
Aja, pa uporaba USB mrežnih seveda =)
Samega ME se ne moreš znebit.
Primer Thinkpadov (letniki 2011, 2012 ??), ko je prišlo to ven (2017):
T verzije ranljive, L verzije ne, ker imajo realtek mrežne.
Intel ME ni dosegljiv preko mrežne na matični, je pa vseeno prisoten.
Kako v prihodnje pa ne vem.
Mi postavljamo FW je na PCjih, in nikoli ne damo mrežnih na matični direktno na net. Znotraj omrežja boš lažje filtiriral promet. Verjetno =)
Aja, pa uporaba USB mrežnih seveda =)
Samega ME se ne moreš znebit.
Zgodovina sprememb…
- spremenilo: jukoz ()
jukoz ::
Nekako se ravno tega hočem znebit. Ker če ima Intel backdoore v ME, jih ima tudi AMD, HP, Dell, IBM, ... in seveda tudi Supermicro.
O Supermicro so se celo spet razpisali v zadnjem času, v zadnjih 3 mesecih...
Iskanje za temi ranljivostmi je fuuuuul preveč enostavno:
Supermicro
https://arstechnica.com/information-tec...
HP iLO
https://www.bleepingcomputer.com/news/s...
ME naj bi se pa dalo izklopiti =)
http://blog.ptsecurity.com/2017/08/disa...
jype je postal o tem, v eni drugi temi
Disablanje AMD PSP:
https://www.reddit.com/r/linux/comments...
O Supermicro so se celo spet razpisali v zadnjem času, v zadnjih 3 mesecih...
Iskanje za temi ranljivostmi je fuuuuul preveč enostavno:
Supermicro
https://arstechnica.com/information-tec...
HP iLO
https://www.bleepingcomputer.com/news/s...
ME naj bi se pa dalo izklopiti =)
http://blog.ptsecurity.com/2017/08/disa...
jype je postal o tem, v eni drugi temi
Disablanje AMD PSP:
https://www.reddit.com/r/linux/comments...
Zgodovina sprememb…
- spremenilo: jukoz ()
zmaugy ::
Malo sem gledal te procedure za izklop/kriplanje IME, to je kar precej zahtevno za običajne uporabnike.
Po drugi strani, če se IME izklopi, ali je notri kakšna funkcija, ki, če se izklopi, poslabša varnost računalnika?
In na koncu: če se to da izklopiti "doma", zakaj tega ne naredijo proizvajalci računalnikov, ki bi na novih računalnikih proceduro lahko standardizirali in jo serijsko opravili mimogrede?
Po drugi strani, če se IME izklopi, ali je notri kakšna funkcija, ki, če se izklopi, poslabša varnost računalnika?
In na koncu: če se to da izklopiti "doma", zakaj tega ne naredijo proizvajalci računalnikov, ki bi na novih računalnikih proceduro lahko standardizirali in jo serijsko opravili mimogrede?
Zgodovina sprememb…
- spremenilo: zmaugy ()
kakob ::
Imaš sicer to https://puri.sm/learn/avoiding-intel-am... ampak včasih so bili odkriti in so napisali (med drugim)
the BIOS does use coreboot, which includes a binary from Intel, called FSPsedaj pa https://www.reddit.com/r/Purism/comment...
Never take a financial advice from someone who works for a living.
Ribič ::
Jaz sem si na svojih prenosnikih BIOS očistil ME nesnage kolikor se je pač dalo.
https://github.com/corna/me_cleaner
Res pa je, da je v BIOS-u še vedno veliko UEFI nesnage. Samo bo pa zadevo verjetno treba ročno očistiti, kar ni malo dela.
https://github.com/LongSoft/UEFITool
https://github.com/corna/me_cleaner
Res pa je, da je v BIOS-u še vedno veliko UEFI nesnage. Samo bo pa zadevo verjetno treba ročno očistiti, kar ni malo dela.
https://github.com/LongSoft/UEFITool
Vse ribe so mi pobegnile!
zmaugy ::
Imaš sicer to https://puri.sm/learn/avoiding-intel-am... ampak včasih so bili odkriti in so napisali (med drugim)the BIOS does use coreboot, which includes a binary from Intel, called FSPsedaj pa https://www.reddit.com/r/Purism/comment...
Če bi se odločil za Purism, potem na njihovo ceno pride še carina in ddv?
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Popravek za AMD-jeve procesorje deluje, težave za Intel (strani: 1 2 )Oddelek: Novice / Procesorji | 20235 (15410) | Poldi112 |
| » | Zaradi hude ranljivosti bodo Intelovi procesorji do 50 odstotkov počasnejši (strani: 1 2 3 4 … 10 11 12 13 )Oddelek: Novice / Procesorji | 124854 (94846) | krneki0001 |
| » | Intelovi procesorji ranljivi zaradi skrivnega operacijskega sistemaOddelek: Novice / Varnost | 16188 (12416) | Ribič |
| » | Vsak Intelov procesor ima še svoj operacijski sistem (strani: 1 2 )Oddelek: Novice / Varnost | 22490 (14674) | Ales |
| » | nakup komponent za varčen(!) strežnikOddelek: Kaj kupiti | 7937 (6460) | SimplTech |