Forskere deaktiverer kontroversiel micro-controller på Intel CPU'er

Illustration: Wikimedia
Intel har hemmeligholdt sluk-knap for private kunder.

Forskere fra Positive Technologies i London har fået adgang til firmwaren, der kører på en kontroversiel microcontroller kaldet Intel Management Engine 11 (IME), og har fundet en hemmelig sluk-knap, som var skabt til en ekstra sensitiv kunde.

IME er en microcontroller på nyere Intel CPU’er, der kan bruges som bagdør, hvis man udnytter et sikkerhedshul, og et sådan hul blev fundet i maj i år.

Intel har ikke gjort det muligt at slukke for controlleren, og derfor tog forskerne hos Positive Technologies sagen i egen hånd.

Det lykkedes dem at få fat i tabellerne, der gjorde det muligt at dekomprimere den firmware, som kørte på controlleren, og de har som de første offentliggjort, hvordan controlleren virker, samt at der er en udokumenteret sluk-knap.

Intel hemmeligholdte feature

De dekomprimerede filer viste en speciel konfigurationsmulighed, som hed 'High Assurance Platform (HAP) enable'.

High Assurance Platform er et sikkerheds-framework udviklet af den nationale amerikanske sikkerhedstjeneste NSA med henblik på at sikre offentlig it i USA. Da forskerne startede microcontolleren med den konfiguration, tog microcontrolleren pludselig ikke mod input mere.

Forskerne delte deres fund med Intel, som forklarede, at de gjorde det muligt at deaktivere IME, fordi en kunde skulle understøtte HAP-platformen. De forklarer ikke, hvorfor det ikke var muligt at dele denne funktion med private brugere.

Open source-projektet me_cleaner har hidtil gjort det muligt at slukke flere af IME's funktioner, men det betød, at computeren kunne slukke vilkårligt efter 30 minutter. Vil man selv slukke for IME på sin Intel CPU, kan man følge forskernes guide her, men man risikerer selvfølgelig at smadre sin computer, hvis man ikke ved, hvad man laver.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Har egen MAC adresse og internet adgang.
Kan tænde og slukke computeren, læse alle åbne filer, tracke keyboard- og mouse-input og tage skærmbilleder.

High Assurance Platform er et sikkerheds framework udviklet af den nationale amerikanske sikkerhedstjeneste NSA med henblik på at sikre offentlig it i USA

Wooow. Jeg er ikke så overrasket over det, men hvor er det vildt at de tør!?
Hvem udnytter den bagdør først? Rusland eller Kina?

Undskyld hvis det var lidt et sidespor. Super duper der er fundet en bedre slukknap til det nu.

  • 3
  • 1
René Nielsen

Som jeg forstår High Assurance Platform så er det en selvstændig computer med et 2048 bit hemmeligt krypteret styresystem som bygges ind i alle Motherboards som benytter Intels CPU.

Det er muligt at Intel har ret når de siger at visse funktionaliteter slås til og fra, afhængig af kundens ønsker. Men kunden hedder i dette tilfælde NSA hvis opgave det er, at drive spionage.

Jeg kan som IT professionel slet ikke se behovet for den slags funktionalitet.

På kort sigt lyder det som en god ide, at man kan deaktiver mistet udstyr med sensible data eller fjernopdaterer udstyr, men i min optik svarer det til at installerer en hackerbagdør, for alt kan hackes og før eller siden skal det nok ske, at Intel bliver hacket.

Den slags remote persistent hacks giver kassen fordi hacket er uafhængig af styresystemet. Hacket vil virke på alt, Mac, Windows, Linux etc. - https://arstechnica.com/information-technology/2017/08/wanted-weaponized...

Jeg ville ikke nøjes med 300K for sådan et hack hos Zerodium. Det er mindst 5 mio USD værd, måske endnu mere fordi der er ikke noget i Zerodium anden tabel som et sådan hack ikke kan ramme. Det hack vil opfylde samtlige områder på Zerodium tavle.

I kan roligt regne med at hackere allerede er i gang med at hacke “Management Engine”. Jeg tror ikke at det er sket, fordi så ville Zerodium ikke have behov for alle de hacks de efterspøger.

Og i private pc’ere kan jeg slet ikke se hvilken værdi en “Management Engine” har, udover at fungerer som bagdør.

Jeg håber på at regeringer verden over vil fravælge Intel udstyr, for det er den eneste måde Intel fatter det på, at ramme dem på pengepungen. Forbrugerne er ligeglade.

  • 4
  • 0
Ivo Santos

Som standard burde alle have muligheden for at deaktivere den funktion.
Endnu bedre ville det være hvis den funktion var placeret i en chip man manuelt skal påmonteres i de pc'er hvor den skal bruges.

Da jeg sidst købte en Intel server skulle jeg manuelt købe og installere en chip på bundkortet for at få adgang skærm tastatur og meget andet. På server er den type funktionalitet nemmere at forstå, men på almindelige desktop pc'er ville det give mening hvis det en ekstra funktion man kunne købe sig til.

  • 1
  • 0
René Nielsen

Som standard burde alle have muligheden for at deaktivere den funktion.


Uanset om det er en server eller ej, så bør den slags KVM faciliteter slet ikke være fysisk indbygget.

Intel burde i min optik slet ikke leverer en chip med Management Engine på deres bundkort i andet end i special udstyr til f.eks. militæret.

Jeg ser måske spøgelser, men hvorfor bruger Intel penge, tid, support til udvikle og monterer noget som tæt på 100% af alle bundkort aldrig får (legalt) brug for?

Det er jo ekstra hardware de "lodder" ind i bundkortet. Og softwaren er en krypteret chip som indeholder en komplet computer der som en remote parasit kan overtage alt på "Hosten" uden at hosten opdager det.

Det kan da ikke være gratis ekstra produkt?

  • 6
  • 0
Gert Agerholm

Jeg mener at det er en feature som skal være kendt og kunne deaktiveres. Jeg ved at der i lang tid har været mulighed for at gå på HW via fjernstyrings software, mener at Netop skulle kunne. Det er en teknologi i Intell processorerne som har eksisteret i lang tid. Mener at de kalder det "Bear Metal Access" eller lignende.

Vi har aldrig brugt det, har heller ikke lige kunne få det til at fungere Out of the box, men har heller ikke brugt megen tid her på. Ideen er at man kan installere et OS på en makine uden at have fysisk adgang her til. Det kan være relevant ved industri løsninger hvor udstyret står laaangt fra leverandør. Vi har f.eks. kunder i Rusland og Sydamerika. Nogle har IT kompetente folk, andre har ikke. Her er ideen af man kan reinstallere et OS og efterfølgende programmer igen.

Så der er måske en fornuftig mening med tingene, men det SKAL kunne deaktiveres.

  • 3
  • 0
René Nielsen

Så der er måske en fornuftig mening med tingene, men det SKAL kunne deaktiveres.


Jeg er uenig. Sådan noget skal slet ikke være være indbygget i et standard produkt som anvendes af tæt på 100% af alle motherboards.

Det er i bedste fald overflødig hardware, men er samtidig en uoprettelig bagdør for alle som har nøglen. Hvis Intel havde reelle hensigter - havde de forlængst lavet en opdatering som irreversibelt destruerer High Assurance Platform.

Har du brug for den slags funktionalitet, må du indkøbe specielle motherboards eller selv isætte den nødvendige hardware.

  • 6
  • 0
Morten Sabroe Mortensen

Teknisk er dette ekstremt interessant. Jeg er meget spændt på, hvad der dukker op, fordi noget KVM-lignende funktionalitet på en nogenlunde regulær computer er da vildt interessant. Tænk at fjernstyre ting - helt vildt!

Det at producenterne ikke oplyser om disse funktionaliteter, berettiger til en hel stribe anklager om hensynsløshed i forhold til personer, firmaer og stater. Anklager om spionage af personer og virksomheder - tænk persondata og EU og konkurrence-forvridning -, et angreb på staters efterretningsvæsener, militære angrebsvåben i vores hjem, kill-switches til internet og til eget forsvar, kanoner parate til cyberwarefare på forskellige niveauer ... det er uhæderligt og en katastrofe!

Selvfølgelig bliver det fundet og på et tidspunkt. Der er mange VLSI-interesserede personer og forskere i verden - de kigger også på motherboards.

Nogle i EU burde kigge lidt nærmere på dette her. Vi vil ikke have Amerikansk krigs-mentalitet bygget ind i vores Taiwan-producerede computere og til at kompromittere vores færden, vores innovation, vores politik, vores økonomi, vores hemmeligheder og vores privatliv. For slet ikke at tale om at sætte os ude af stand til at agere, at agere på vores vegne, eller at agere helt uden vores vidne.

Om hardware kan bruges til at fjernbetjene, eller blot er god nok til at installere andre, mere OS-specifikke funktioner, som kan bruges til at fjernbetjene, har sådan set den samme effekt.

Når vi skal slå de OS-robuste reklamer fra ... det kan være, at vi så bagefter kan få lov til at arbejde 30 minutter af gangen. Herligt.

Det er krig.

  • 4
  • 0
Gert Agerholm

Her jeg så ikke enig med dig :-)

Køb af specielle motherboards er helt urealistisk når vi taler om industriløsninger eller erhvervs brug af computere. Her køber man det som leverandøren anvender, du kan ikke skifte eller vælge andet motherboard. Det er f.eks. en feature som var på alle HP professionelle desktop maskiner fra en given serie og op efter. Det er derfor IKKE på 100% af motherboardene, det er åben baret en feature som HP implementerede i deres professionelle maskiner med et min. chipset/proessor fra Intel. Jeg garanterer for at de andre "standard leverandører" som Dell, Lenovo osv. har gjort det samme.

Det som måske er galt er hvis det som standard er aktiveret, det skal som standard være deaktiveret. Hvis man vil bruge det, så skal det aktiveres.

  • 0
  • 0
Gert Agerholm

Det at producenterne ikke oplyser om disse funktionaliteter, berettiger til en hel stribe anklager om hensynsløshed i forhold til personer, firmaer og stater

HP har efter min mening oplyst at der var mulighed for bear metal remote support. Det kan ikke være Intel der skal informere her om men producenten af computeren.

Eller regner du med at Bosh skal informere dig om en feature i motorstyringen til f.eks. din Ford bil, fordi Ford har valgt at anvende en Bosh styring? Nej, det er Ford's opgave.

  • 0
  • 0
Axel Nielsen

Man må håbe der findes tilstrækkeligt mange AMD præ-2013 CPU'er i omløb, så det stadig er muligt at tilgå data såfremt "nogen" beslutter at "slukke" Intel-CPU'erne, hvad enten det er en fejl eller tilsigtet...

Hov, hvor kom den sølvpapirshat fra???

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Forskere fra Positive Technologies i London har fået adgang til firmwaren, der kører på en kontroversiel microcontroller kaldet Intel Management Engine 11 (IME), og har fundet en hemmelig sluk-knap, som var skabt til en ekstra sensitiv kunde. IME er en microcontroller på nyere Intel CPU’er, der kan
bruges som bagdør, hvis man udnytter et sikkerhedshul, og et sådan hul blev fundet i maj i år. Intel har ikke gjort det muligt at slukke for controlleren, og derfor tog forskerne hos Positive Technologies sagen i egen hånd. Det lykkedes dem at få fat i tabellerne, der gjorde det muligt at dekomprimere den firmware, som kørte på controlleren, og de har som de første offentliggjort, hvordan ...