Intel Management Engine via nieuwe methode uit te schakelen
Onderzoekers hebben een nieuwe methode gevonden om de Intel Management Engine (ME) uit te schakelen, wat volgens sommige experts de veiligheid van gebruikers en systemen ten goede komt. De Intel ME is gesloten technologie die bestaat uit een microcontroller die in de Platform Controller Hub (PCH) chip is geïntegreerd en een aantal ingebouwde randapparaten.
De PCH is verantwoordelijk voor bijna alle communicatie tussen de processor en externe apparaten, waardoor de Intel ME toegang tot bijna alle data op de computer heeft. De ME kan zelfs op afstand worden gebruikt als de computer is uitgeschakeld. De code van de Management Engine is echter gesloten, waardoor het publiek de werking niet kan controleren. In het geval er code op de Intel ME kan worden uitgevoerd kan zo het gehele systeem worden overgenomen, aldus onderzoekers van Positive Technologies. Eerder dit jaar werd er een ernstige kwetsbaarheid in de Intel Active Management (AMT) module ontdekt, die in de Management Engine van zakelijke Intel-processors aanwezig is.
De onderzoekers van Positive Technologies besloten dan ook te kijken naar een manier om de Intel ME uit te schakelen. Het blijkt niet mogelijk te zijn om de ME compleet uit te schakelen, aangezien de technologie verantwoordelijk is voor initialisatie, energiebeheer en het starten van de primaire processor. Een ander probleem is dat sommige data hardcoded in de PCH-chip is. Hackers zijn daarom al enige tijd bezig om via het me_cleaner project allerlei niet essentiële zaken van de Intel ME uit te schakelen, maar dit is een lastig proces dat gevolgen voor het systeem kan hebben.
De onderzoekers van Positive Technologies hebben door het analyseren van code die voorheen niet toegankelijk was nu een ongedocumenteerde methode gevonden om de Management Engine in een vroeg stadium uit te schakelen. Daardoor kan de Intel ME worden uitgeschakeld nadat de primaire processor is gestart. In de code vonden de onderzoekers een bit met de tekst "reserve_hap", gevolgd door een opmerking met "High Assurance Platform (HAP)" (pdf). HAP is een zogeheten 'trusted platform' programma van de NSA. Zodra de bit wordt ingeschakeld, wordt de ME na het opstarten uitgeschakeld.
Intel laat tegenover de onderzoekers weten dat op verzoek van sommige klanten met speciale eisen soms wordt gekeken naar het aanpassen of uitschakelen van bepaalde features. In dit geval werden er aanpassingen doorgevoerd op verzoek van fabrikanten om zo het High Assurance Platform te kunnen ondersteunen. Volgens Intel zijn deze aanpassingen op beperkte schaal getest en geen onderdeel van een officieel ondersteunde configuratie. De onderzoekers denken dat deze methode is ontworpen om bijvoorbeeld 'side-channel' leaks te voorkomen. Ze waarschuwen wel dat het toepassen van de nu gevonden methode op eisen risico is en systemen kan beschadigen.
Daarbij vergeleken zal WannaCry een onbeduidend incidentje zijn.
Daarbij vergeleken zal WannaCry een onbeduidend incidentje zijn.
Ik vind veel meer dingen griezelig.... dat fabrikanten allerlei dingen stiekum doen, bijvoorbeeld.
Maar je kan ook zeggen: laat er maar een keer iets heel erg vreselijk mis gaan.... misschien dat men dan eens gaat nadenken.
Die ontwikkeling is al een tijdje gaande. https://en.wikipedia.org/wiki/OpenPOWER_Foundation
Merkwaardigerwijs is ook Google daar lid van.
IBM heeft de broncode van zijn Power processors open source gemaakt, zodat iedereen die processors kan maken. De closed source Intel processoren waren overigens ook mede de reden dat IBM met de verkoop van Intel computers gestopt is en aan Lenovo over heeft gedaan.
https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/
Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
Als je gaat kijken naar bijvoorbeeld de "TALOS II", dan kosten de POWER9 CPUs niet eens zo veel, maar het mainboard is loeiduur. Dat is wel te verwachten want pietsiekleine volumes vergeleken bij mainstream bordjes. En wellicht ook hoge eisen aan het bord. Zo kon je ooit een Alpha AXP bord in ATX formaat kopen voor een vergelijkbaar bedrag, want alweer kleine volumes maar ook omdat de memory lane 256 bits was, vergeleken bij de toen gebruikelijke 64 voor de intel/amd mainstream. Dat is eventjes iets meer bandbreedte. En toch kocht "iedereen" de goedkope rommel om dan maar weer over de lage prestaties te klagen.
Maarja, als dat de enige manier is om het probleem duidelijk te maken, dan moet het maar zo. We wisten al jaren (en hadden zeker kunnen en moeten weten) dat openssl brakke rommel was, maar het duurde tot heartbleed tot er wat sjoege in kwam. Dus, hoe vaak willen we nog kompleet overrompeld worden met zulke ongein?
Systematisch de kleine hoekjes vol met ongelukjes en detailduiveltjes afgaan is duurrrr, dus maak je borst maar nat.
Kan zo'n bug worden uitgebuit?????? Patch ID met MSb set faalt bij vergelijken van patches. Allemaal 'one trick horse' code!!!
Vanuit zo'n oogpunt zijn achterdeurtjes verre te prefereren boven het kraken van encryptie. Men kan er dus vanuit gaan dat kennis over dergelijke uit te buiten ingebouwde nog onbekende "features" bij NSA e.d. bestaat. 'Het spoofing van ID is nog steeds een gemakkelijke(r) methode, Hard Disk Serial Number Changer, SysInternals Volume ID, Speccy zal echter wat anders laten zien vanweg een andere methode. Dan is er nog HWSpoofer en het totaal verbergen via ObjectTree en meer van zulke ring0 tools.
Crackers en gamers hebben het paadje al voorgegraven meestal, resource engineering van "hoog"niveau,
zoals Joanna Rutkowska's red pill code:
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m;
((void(*)())&rpill)();
return (m[5]>0xd0) ? 1 : 0;
}
https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/
Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
Apple heeft ba de 6502 de 68000 lijn gevolgd Motorola is niet meer. Na de 68000 hebben ze Power pc's gevoerd zo'n 5 jaar terug afgedankt.
In p7 harware as/400 I/series van ibm zitten ze nog. Voor zolang ibm nog hardware voert kun je dozen vinden. Voor spa moet je tegenwoordig bij ibm zijn.
Die ontwikkeling is al een tijdje gaande. https://en.wikipedia.org/wiki/OpenPOWER_Foundation
Merkwaardigerwijs is ook Google daar lid van.
Erg logisch voor Google. Als Google niet totaal afhankelijk wil zijn van Intel is een alternatieve high-performance CPU optie nodig. AMD is wellicht niet anders genoeg .
Er zoemen frequent geruchten dat Google een deel van hun servers op Power zou willen draaien. Of op ARM.
IBM heeft de broncode van zijn Power processors open source gemaakt, zodat iedereen die processors kan maken. De closed source Intel processoren waren overigens ook mede de reden dat IBM met de verkoop van Intel computers gestopt is en aan Lenovo over heeft gedaan.
Dat is onjuist. De 'code' van de CPUs is allesbehalve openbaar. Dat je wellicht licentietechnisch een CPU mag maken die dezelfde instructieset gebruikt is mooi, maar er zijn werelden van verschil (in prestatie en stroomgebruik) tussen verschillende implementaties.
Er zijn maar heel weinig CPU design teams van absolute topklasse die een maximale prestatie uit een architectuur weten te halen.
En hoe kom je erbij dat het closed source zijn van x86 de reden was voor IBM om de PC fabricage weg te doen ?
https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/
Nogal bla bla. De MIPS architectuur is (vrijwel) open - je mag bijna je eigen MIPS-compatibele CPU bouwen.
De Chinezen doen dat al (strategische redenen) voor één van hun supercomputers .[zie Loongson] . Niet de meest snelle MIPS ooit, maar je leert het alleen maar als je het doet - en volledig 'eigen' .
Ook de SPARC architectuur is erg open, en er zijn of waren (naast de Sun/Oracle SPARCS) een paar andere SPARC-CPU makers.
Fujitsu heeft een erg snelle versie.
Dan is de nieuwste hippe open CPU de OpenRisc, bedoeld voor embedded gebruik.
Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
https://www.enterprisetech.com/2014/10/08/tyan-ships-first-non-ibm-power8-server/
https://www.nextplatform.com/2016/04/06/inside-future-google-rackspace-power9-system/
https://www.raptorcs.com/TALOSII/
https://www.forbes.com/sites/rogerkay/2015/03/20/openpower-unlocks-floodgates-for-an-all-chinese-server-business/
Desondanks heb ik nog geen OpenPower cpu's en (server) motherboards op de markt zien verschijnen. Heeft iemand hier ze al wel gesignaleerd? (links?)
Apple heeft ba de 6502 de 68000 lijn gevolgd Motorola is niet meer. Na de 68000 hebben ze Power pc's gevoerd zo'n 5 jaar terug afgedankt.
In p7 harware as/400 I/series van ibm zitten ze nog. Voor zolang ibm nog hardware voert kun je dozen vinden. Voor spa moet je tegenwoordig bij ibm zijn.
daar hebben we de fietsenmaker weer met ongefundeerde beweringen. doe eens referenties naar die uitlatingen van je ?
....
daar hebben we de fietsenmaker weer met ongefundeerde beweringen. doe eens referenties naar die uitlatingen van je ?
Een lijst feiten die je zo op google kunt vinden als ongefundeerd afdoen. In welk geloof zit gij vast.
https://apple2history.org/museum/articles/microreport/
https://en.m.wikipedia.org/wiki/List_of_Macintosh_models_grouped_by_CPU_type de hele waslijst inclusief Power pc. https://en.m.wikipedia.org/wiki/IBM_System_i
https://www.globalfoundries.com/news-events/press-releases/globalfoundries-completes-acquisition-of-ibm-microelectronics-business
http://www.lowrisc.org
Hoewel bedoeld als SoC, werkt men actief aan schaalbaarheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
