Intel AMT - Sicherheit

[UrsDerBär]

Hallo Leute,

Intel hat ja so einen tollen Management-Controller auf jedem Board der quasi Vollzugriff an jeder OS-Firewall vorbei auf das komplette System bietet. Dazu noch ohne richtige Konfigurationsmöglichkeit.
Mir war das Ding ja schon immer unsympathisch und nun wurde das Ding vor einiger Zeit ja auch offiziell gehackt. NSA, CIA, FSB und wie sie auch immer alle heissen wird das wohl schon länger nutzen und vermutlich auch später noch nutzen können nehme ich an.

Angeblich hat Intel nun die Probleme behoben und die Hersteller sollen Patches bereitstellen. Aber irgendwie kommen die alten Fragen wieder auf:
- kann man dem Chip eigentlich die Stromzufuhr abdrehen und das System läuft weiter?
- Nützt es die Onboard-LAN-Controller nicht zu nutzen und nur zusätzliche Karten dafür zu nehmen oder schleift es den Kram einfach weiter?

Grüsse und so

[rprengel]

Hallo Leute,

Intel hat ja so einen tollen Management-Controller auf jedem Board der quasi Vollzugriff an jeder OS-Firewall vorbei auf das komplette System bietet. Dazu noch ohne richtige Konfigurationsmöglichkeit.
Mir war das Ding ja schon immer unsympathisch und nun wurde das Ding vor einiger Zeit ja auch offiziell gehackt. NSA, CIA, FSB und wie sie auch immer alle heissen wird das wohl schon länger nutzen und vermutlich auch später noch nutzen können nehme ich an.

Angeblich hat Intel nun die Probleme behoben und die Hersteller sollen Patches bereitstellen. Aber irgendwie kommen die alten Fragen wieder auf:
- kann man dem Chip eigentlich die Stromzufuhr abdrehen und das System läuft weiter?
- Nützt es die Onboard-LAN-Controller nicht zu nutzen und nur zusätzliche Karten dafür zu nehmen oder schleift es den Kram einfach weiter?

Grüsse und so

Hallo,
wann man das so auf Heise etc. alles verfolgt würde ich mal behaupten das man das Teil nicht zu 100% dicht bekommt.
Vor ein paar Tagen war auch ein netter Artikel online in dem es darum ging CPUs anzugraben.

https://www.heise.de/security/artikel/H ... 09408.html

Aus meiner Sicht hilft nur Datenvermeidung wo immer es geht und möglichts wenige Systeme ins Internet zu lassen.

Wir leben mitten in einem digitalen Albtraum und ein Aas wills wissen.

Gruss

[Martin]

Alle Infos, die ich bisher gefunden habe, gehen davon aus, daß nur über Intel AMT "eingebrochen" werden kann, wenn dieses netzwerkmäßig konfiguriert ist / ein eine IP-Adresse hat?

[~thc]

Es gab vor langer Zeit mal einen Bug in AMT, der nur ausnutzbar war, wenn es nicht eingerichtet (unprovisioned) war - ich finde nur leider keine Infos mehr dazu.

Der aktuelle GAU-Klassen-Fehler ist eine Anmeldung an einem eingerichteten (provisioned) AMT ohne Kennwort (Intel SA 00075). Im AMT kann ein Angreifer dann allerlei Unfug treiben. Läuft dazu noch der Intel-LMS-Dienst (z.B. durch eine "einfache" Installation der Treiber-CD oder durch vorinstallierten Bockmist), kann sich ein Angreifer auch noch Systemrechte im OS verschaffen.

- Intel LMS-Dienst daektivieren oder rausschmeißen
- BIOS (ME-Firmware) updaten
- AMT deaktiveren (Full Unprovisioning)
- andere Netzwerkkarte nehmen und die onboard-Karte abschalten

AFAIK kann man den ME-Controller auf den Boards weder mit Jumper noch mit BIOS-Einstellungen komplett ausschalten.

[UrsDerBär]

Danke für die Antworten. Habe mittlerweile auch ne Menge dazu gelesen. Ist effektiv nicht abschaltbar, bei alten Chips gab es die Möglichkeit den AMT-Chip mit einer Nuller-Firmware zu flashen und unbrauchbar zu machen. Wird dies bei neueren gemacht, bootet der Rechner alle 30 Sekunden neu.

Bezüglich IP-Adresse: Das teil kommuniziert wohl standardmässig auch per IPv6. Lässt sich dann nicht abschalten und IP ist im Chip vordefiniert.

Krass ist ja, dass die Chips direkten Zugriff auf RAM, CPU etc. bekommen. Sämtliche Verschlüsselung ist so quasi by Design ausgehebelt.

[Dayworker]

Das wird wohl länger und vielleicht auch etwas Offtopic werden...

Naja wenn man sich mal anschaut, was AMT alles anbietet, erklärt das den umfassenden Zugriff auf sämtliche MB-Komponenten. Das man für AMT auch ein Passwort einrichten soll und noch einiges mehr, steht bei Intel extra auch in einen PDF drin. Wenn man sich bei Computerbase mal die Meldungen der letzten Zeit dazu ansieht, findet man auch den Link darauf.

In meinen Augen kann Intel nur teilweise der Strick daraus gedreht werden. Selbst der Vollzugriff ohne Passwort wird irgend eine grössere Institution (Uni, Behörde, Firma) wohl genau so gewünscht haben. Ich sehe AMT daher auch nicht als Ende der EW an. Ganz am Anfang hatte AMT bzw seine Vorläufer auch längst nicht den heutigen Funktionsumfang. Soweit ich mich erinnere, mußte anfangs die Rechner auch laufen, damit die IT zentralisiert beispielsweise Updates, SW etc einspielen konnte, lediglich den Rechner abschalten war möglich. Später kamen dann Inventarisierung, Rechner-Fernstart, BIOS-Update etc hinzu und seit geraumer Zeit braucht man den jeweiligen PC nicht mal zu starten, weil die ME auch im abgeschalteten Zustand von aussen erreichbar ist.

Auch die vordefinierte IP muß man mal in Relation zur Funktion setzen. DNS-Auflösung in einer Firma geschieht meist per DC/AD, folglich kann man die IP auch passend im eigenen Netzwerk routen. Jeder neue Rechner fragt dann genau diese IP an und bekommt durch die IT automatisiert die notwendige SW verpaßt. Als SIPP im Zuge von vPRO eingeführt wurde, garantierte Intel 15 Monate lang, daß dasselbe OS-Image ohne weitere Tests von HW und SW verwendet werden konnte. Das wird sich auch jetzt nicht deutlich verändert haben, wenn es denn unbedingt überhaupt noch ein stationärer oder teilmobiler Rechner sein muß. In einigen Bereichen haben Smartphone und Tablet die gewohnten Rechner entweder bereits abgelöst oder stehen bereits bei Fuß. Der Rest läuft dann halt auf abgesicherten Servern.


Übrigens ist auch IPMI nicht sicher. Ich meine SuperMicro hatte dazu auch mal etwas veröffentlicht. Aus dem ging ganz eindeutig hervor, daß sie ihre Boards nicht für Consumer (einige MB wurde seitdem aber hochoffiziell doch für Consumer aufgelegt) sondern B2B und Rechenzentren anbieten. Das Thema Sicherheit ob der Standard-Passwörter fällt damit in die Hände der IT-Abteilung...