Forskere deaktiverer kontroversiel micro-controller på Intel CPU'er

5. september 2017 kl. 06:0116
Forskere deaktiverer kontroversiel micro-controller på Intel CPU'er
Illustration: Wikimedia.
Intel har hemmeligholdt sluk-knap for private kunder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Forskere fra Positive Technologies i London har fået adgang til firmwaren, der kører på en kontroversiel microcontroller kaldet Intel Management Engine 11 (IME), og har fundet en hemmelig sluk-knap, som var skabt til en ekstra sensitiv kunde.

Fakta om Intel Management Engine(IME)

  • En del af Intel Active Management Technology-pakken.
  • Er en individuel kerne i processoren med egen kode, timer og intern bus.
  • Har egen MAC-adresse og internetadgang.
  • Kan tænde og slukke computeren, læse alle åbne filer, tracke keyboard- og mouse-input og tage skærmbilleder.
  • Bevist usikker og brugt til at få systemadgang i maj 2017.

IME er en microcontroller på nyere Intel CPU’er, der kan bruges som bagdør, hvis man udnytter et sikkerhedshul, og et sådan hul blev fundet i maj i år.

Intel har ikke gjort det muligt at slukke for controlleren, og derfor tog forskerne hos Positive Technologies sagen i egen hånd.

Artiklen fortsætter efter annoncen

Det lykkedes dem at få fat i tabellerne, der gjorde det muligt at dekomprimere den firmware, som kørte på controlleren, og de har som de første offentliggjort, hvordan controlleren virker, samt at der er en udokumenteret sluk-knap.

Intel hemmeligholdte feature

De dekomprimerede filer viste en speciel konfigurationsmulighed, som hed 'High Assurance Platform (HAP) enable'.

High Assurance Platform er et sikkerheds-framework udviklet af den nationale amerikanske sikkerhedstjeneste NSA med henblik på at sikre offentlig it i USA. Da forskerne startede microcontolleren med den konfiguration, tog microcontrolleren pludselig ikke mod input mere.

Forskerne delte deres fund med Intel, som forklarede, at de gjorde det muligt at deaktivere IME, fordi en kunde skulle understøtte HAP-platformen. De forklarer ikke, hvorfor det ikke var muligt at dele denne funktion med private brugere.

Open source-projektet me_cleaner har hidtil gjort det muligt at slukke flere af IME's funktioner, men det betød, at computeren kunne slukke vilkårligt efter 30 minutter. Vil man selv slukke for IME på sin Intel CPU, kan man følge forskernes guide her, men man risikerer selvfølgelig at smadre sin computer, hvis man ikke ved, hvad man laver.

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
30. september 2017 kl. 12:02

Man må håbe der findes tilstrækkeligt mange AMD præ-2013 CPU'er i omløb, så det stadig er muligt at tilgå data såfremt "nogen" beslutter at "slukke" Intel-CPU'erne, hvad enten det er en fejl eller tilsigtet...

Hov, hvor kom den sølvpapirshat fra???

15
7. september 2017 kl. 16:56

Skal vi ikke være enige om at det er bare metal, ikke bear metal? Jeg blev lidt forvirret dér.

14
7. september 2017 kl. 16:35

Det at producenterne ikke oplyser om disse funktionaliteter, berettiger til en hel stribe anklager om hensynsløshed i forhold til personer, firmaer og stater

HP har efter min mening oplyst at der var mulighed for bear metal remote support. Det kan ikke være Intel der skal informere her om men producenten af computeren.

Eller regner du med at Bosh skal informere dig om en feature i motorstyringen til f.eks. din Ford bil, fordi Ford har valgt at anvende en Bosh styring? Nej, det er Ford's opgave.

13
7. september 2017 kl. 16:30

Her jeg så ikke enig med dig :-)

Køb af specielle motherboards er helt urealistisk når vi taler om industriløsninger eller erhvervs brug af computere. Her køber man det som leverandøren anvender, du kan ikke skifte eller vælge andet motherboard. Det er f.eks. en feature som var på alle HP professionelle desktop maskiner fra en given serie og op efter. Det er derfor IKKE på 100% af motherboardene, det er åben baret en feature som HP implementerede i deres professionelle maskiner med et min. chipset/proessor fra Intel. Jeg garanterer for at de andre "standard leverandører" som Dell, Lenovo osv. har gjort det samme.

Det som måske er galt er hvis det som standard er aktiveret, det skal som standard være deaktiveret. Hvis man vil bruge det, så skal det aktiveres.

9
5. september 2017 kl. 21:03

Teknisk er dette ekstremt interessant. Jeg er meget spændt på, hvad der dukker op, fordi noget KVM-lignende funktionalitet på en nogenlunde regulær computer er da vildt interessant. Tænk at fjernstyre ting - helt vildt!

Det at producenterne ikke oplyser om disse funktionaliteter, berettiger til en hel stribe anklager om hensynsløshed i forhold til personer, firmaer og stater. Anklager om spionage af personer og virksomheder - tænk persondata og EU og konkurrence-forvridning -, et angreb på staters efterretningsvæsener, militære angrebsvåben i vores hjem, kill-switches til internet og til eget forsvar, kanoner parate til cyberwarefare på forskellige niveauer ... det er uhæderligt og en katastrofe!

Selvfølgelig bliver det fundet og på et tidspunkt. Der er mange VLSI-interesserede personer og forskere i verden - de kigger også på motherboards.

Nogle i EU burde kigge lidt nærmere på dette her. Vi vil ikke have Amerikansk krigs-mentalitet bygget ind i vores Taiwan-producerede computere og til at kompromittere vores færden, vores innovation, vores politik, vores økonomi, vores hemmeligheder og vores privatliv. For slet ikke at tale om at sætte os ude af stand til at agere, at agere på vores vegne, eller at agere helt uden vores vidne.

Om hardware kan bruges til at fjernbetjene, eller blot er god nok til at installere andre, mere OS-specifikke funktioner, som kan bruges til at fjernbetjene, har sådan set den samme effekt.

Når vi skal slå de OS-robuste reklamer fra ... det kan være, at vi så bagefter kan få lov til at arbejde 30 minutter af gangen. Herligt.

Det er krig.

8
5. september 2017 kl. 17:14

Så der er måske en fornuftig mening med tingene, men det SKAL kunne deaktiveres.

Jeg er uenig. Sådan noget skal slet ikke være være indbygget i et standard produkt som anvendes af tæt på 100% af alle motherboards.

Det er i bedste fald overflødig hardware, men er samtidig en uoprettelig bagdør for alle som har nøglen. Hvis Intel havde reelle hensigter - havde de forlængst lavet en opdatering som irreversibelt destruerer High Assurance Platform.

Har du brug for den slags funktionalitet, må du indkøbe specielle motherboards eller selv isætte den nødvendige hardware.

7
5. september 2017 kl. 15:37

Jeg mener at det er en feature som skal være kendt og kunne deaktiveres. Jeg ved at der i lang tid har været mulighed for at gå på HW via fjernstyrings software, mener at Netop skulle kunne. Det er en teknologi i Intell processorerne som har eksisteret i lang tid. Mener at de kalder det "Bear Metal Access" eller lignende.

Vi har aldrig brugt det, har heller ikke lige kunne få det til at fungere Out of the box, men har heller ikke brugt megen tid her på. Ideen er at man kan installere et OS på en makine uden at have fysisk adgang her til. Det kan være relevant ved industri løsninger hvor udstyret står laaangt fra leverandør. Vi har f.eks. kunder i Rusland og Sydamerika. Nogle har IT kompetente folk, andre har ikke. Her er ideen af man kan reinstallere et OS og efterfølgende programmer igen.

Så der er måske en fornuftig mening med tingene, men det SKAL kunne deaktiveres.

6
5. september 2017 kl. 13:02

Som standard burde alle have muligheden for at deaktivere den funktion.

Uanset om det er en server eller ej, så bør den slags KVM faciliteter slet ikke være fysisk indbygget.

Intel burde i min optik slet ikke leverer en chip med Management Engine på deres bundkort i andet end i special udstyr til f.eks. militæret.

Jeg ser måske spøgelser, men hvorfor bruger Intel penge, tid, support til udvikle og monterer noget som tæt på 100% af alle bundkort aldrig får (legalt) brug for?

Det er jo ekstra hardware de "lodder" ind i bundkortet. Og softwaren er en krypteret chip som indeholder en komplet computer der som en remote parasit kan overtage alt på "Hosten" uden at hosten opdager det.

Det kan da ikke være gratis ekstra produkt?

5
5. september 2017 kl. 12:38

Som standard burde alle have muligheden for at deaktivere den funktion. Endnu bedre ville det være hvis den funktion var placeret i en chip man manuelt skal påmonteres i de pc'er hvor den skal bruges.

Da jeg sidst købte en Intel server skulle jeg manuelt købe og installere en chip på bundkortet for at få adgang skærm tastatur og meget andet. På server er den type funktionalitet nemmere at forstå, men på almindelige desktop pc'er ville det give mening hvis det en ekstra funktion man kunne købe sig til.

4
5. september 2017 kl. 11:49

Det mest ufattelige er sgu' da at den embeddede processor kører Minix...

3
5. september 2017 kl. 11:16

Som jeg forstår High Assurance Platform så er det en selvstændig computer med et 2048 bit hemmeligt krypteret styresystem som bygges ind i alle Motherboards som benytter Intels CPU.

Det er muligt at Intel har ret når de siger at visse funktionaliteter slås til og fra, afhængig af kundens ønsker. Men kunden hedder i dette tilfælde NSA hvis opgave det er, at drive spionage.

Jeg kan som IT professionel slet ikke se behovet for den slags funktionalitet.

På kort sigt lyder det som en god ide, at man kan deaktiver mistet udstyr med sensible data eller fjernopdaterer udstyr, men i min optik svarer det til at installerer en hackerbagdør, for alt kan hackes og før eller siden skal det nok ske, at Intel bliver hacket.

Den slags remote persistent hacks giver kassen fordi hacket er uafhængig af styresystemet. Hacket vil virke på alt, Mac, Windows, Linux etc. - https://arstechnica.com/information-technology/2017/08/wanted-weaponized-exploits-that-hack-phones-will-pay-top-dollar/

Jeg ville ikke nøjes med 300K for sådan et hack hos Zerodium. Det er mindst 5 mio USD værd, måske endnu mere fordi der er ikke noget i Zerodium anden tabel som et sådan hack ikke kan ramme. Det hack vil opfylde samtlige områder på Zerodium tavle.

I kan roligt regne med at hackere allerede er i gang med at hacke “Management Engine”. Jeg tror ikke at det er sket, fordi så ville Zerodium ikke have behov for alle de hacks de efterspøger.

Og i private pc’ere kan jeg slet ikke se hvilken værdi en “Management Engine” har, udover at fungerer som bagdør.

Jeg håber på at regeringer verden over vil fravælge Intel udstyr, for det er den eneste måde Intel fatter det på, at ramme dem på pengepungen. Forbrugerne er ligeglade.

1
5. september 2017 kl. 08:06

Har egen MAC adresse og internet adgang.
Kan tænde og slukke computeren, læse alle åbne filer, tracke keyboard- og mouse-input og tage skærmbilleder.

High Assurance Platform er et sikkerheds framework udviklet af den nationale amerikanske sikkerhedstjeneste NSA med henblik på at sikre offentlig it i USA

Wooow. Jeg er ikke så overrasket over det, men hvor er det vildt at de tør!? Hvem udnytter den bagdør først? Rusland eller Kina?

Undskyld hvis det var lidt et sidespor. Super duper der er fundet en bedre slukknap til det nu.