Security Professionals - ipfw add deny all from eindgebruikers to any

Reminder: Intel Management Engine en AMT

06-01-2024, 17:45 door Anoniem, 12 reacties
Het is nog steeds een probleem. Beide processoren hebben een AMT systeem , een processor in een processor , bij intel zelfs een coprocessor en een processor, die op ring 0 werken en altijd ingeschakeld zijn, ook als je computer uitstaat kan deze coprocessor gekoppeld aan het AMT/IME Minix OS een magic packet verwachten waardoor de computer 's nachts spontaan kan aanspringen, om dan wat beperkingen uit te voeren.

Heb je een modem/gateway/firewall waar je IME/AMT niet is disabled? Dan kan men eenvoudig op je firewall inloggen en zo op je hele netwerk.

Enkele functies van de IME:

- Minix OS, proprietary gemaakt
- wireless en netwerk access
- mogelijk tot ontwaken op afstand (dit kun je niet door !higher! level in je BIOS Wake-Up on LAN uit te zetten want de coprocessor van de IME draait op ring 0, dus nog voor je BIOS/UEFI uberhaupt geladen wordt en is altijd actief zolang er een powerstekker in je computer steekt)
- toegang tot jouw processor, en je geheugen. dus mogelijk om je geheugen op encryptie keys te doorzoeken
encryptie en dus ook disk encryptie is dus waardeloos zolang je het AMT probleem niet gefixed hebt.
- toegang tot USB, dus mogelijk om je keyboard strokes te lezen
- mogelijkheid tot remote power on van je computer/device , dit kan ook een firewall zijn met Intel/AMD processor
zolang je AMT niet disabled is
- mogelijkheid tot live meekijken van alles wat je doet, door schermbuffer geheugen uit te lezen
- niet te traceren via wireshark want je wireshark draait in !higher! level , op je OS, dus de actieve poorten van AMT ga je nooit zien door netstat.exe of tcpdump uit te voeren op je host.
Heb je een firewall die ook AMT heeft? Hoe wil je dan zeker weten dat jij dan eventuele data exfiltratie packets WEL kunt zien, bijv op een mirror poort op een switch, als die host ook AMT heeft? All it needs is iets subtiels aan een packet toe te voegen om deze onzichtbaar te maken, bijv een specifieke combinatie van TCP flags in combinatie met "alleen even IP packet sequence nummers" , ik noem maar wat. In theorie kun je dus AMT traffic onzichtbaar maken voor ALLE hosts die ook een AMT/IME draaien
- Data exfiltratie geen probleem dus naast keys loggen, scherm meekijken, datastreams opzetten
- Vast veel meer mogelijkheden...

Een oud en bekend probleem, en toch denkt iedereen veilig te zijn met diskencryptie, of Linux en men slaapt verder. Hoe kan dit? Waarom zijn er geen oplossingen?

Ja, Coreboot is een optie. Maar die ondersteuning is beperkt. Wie wil nou een Thinkpad van 14 jaar oud, of een Intel CPU 4e of 5e generatie ? Dasharo is leuk maar ook commercieel, en de vendors die Dasharo leveren, kun je die nou vertrouwen? Je koopt een systeem met een firmware , die je niet zelf gecompileerd hebt. Zo kan ik nog wel even doorgaan.

Even een uitstapje: in de jaren 90 was er een issue met een Zwitsers bedrijf dat encryptie leverde aan criminelen. Naderhand bleek dat een geheime dienst deze bedrijfjes had opgezet. Hoe kun je dit toetsen, of jouw 'secure setup' nog wel secure is?

ME-cleaner, die de IME uitveegt op de CMOS chips , die werkt al lang niet meer. Intel heeft het sinds 2015 in meerdere stappen steeds moeilijker gemaakt om die IME (AMT) te disablen. Waarom wil men zoveel controle op elke processor van de consument? Lijkt mij namelijk dat alleen (zeer) grote bedrijven gebruik maken van de IME. Waarom moet dit standaard voor iedere consumer dan aanstaan, en zodanig ingeregeld dat je het nauwelijks nog uitgezet krijgt, ook niet met firmware flasher? Want de laatste processoren die starten gewoon niet eens meer op zodra de hash checksum over de IME memory regio niet klopt. What's next? Processoren die zichzelf opblazen als je de onveilige spyware in de processor probeert te disabelen? (Hier heb ik een tijdje geleden iets over vernomen, door voltage regulatie, maar geen link voorhanden momenteel, maar het is mogelijk een volgende stap) Intel , maar ook AMD doen er alles aan om de proprietary malware in hun processoren te beschermen in plaats van over te stappen naar een opensource model. Waarom? En waarom schijnt niemand dit te interesseren? De processor security is toch de core van de rest van jouw systeem....

En wat rest dan nog? De HAP bit (bedoeld voor VS overheidsdiensten want zelfs die vertrouwen Intel IME niet voor hun eigen operaties). Leuk, zo'n HAP bit maar laten wij wel stellen dat een HAP bit niet hetzelfde is als een ME-cleaner, die gewoon de code van de ME wist waardoor deze 100% uit staat. Een HAP bit is ook maar een boolean ergens. Wie zegt dat de IME werkelijk uitstaat? Als jij in je coreboot bios de optie hebt om een van de door hackers gevonden HAP bits te switchen? Die coprocessor van de IME die blijft hoe dan ook powered zodra er fysiek stroom op staat (in S3 mode, of gewoon powercable)

Lastig.... deze ellende is allemaal gekomen in de Obama tijd, en sinds 2008 zijn de Intel CPUs langzaam maar zeer zeker allemaal voorzien van deze backdoor, Patriot Act en 9/11 enzovoort. AMD heeft hun eigen "management systeem"

Ik ben een noob maar ik vraag mij af of er mensen zijn die interessante reads of links naar deze onderwerpen weten, die gelinkt kunnen worden in deze thread, voor mij en voor anderen om te lezen. Natuurlijk ook creatieve ideeen, voor wie ze heeft om "ze" buiten te houden? Ik betaal 400 euro voor een processor, en dan wil ik er geen backdoor in. Als ik mijn hardware nu gratis kreeg van de (Amerikaanse) overheid, was dat een heel ander verhaal maar ik mag alleen maar betalen (onder andere met mijn geld) zonder dat ik er iets voor terug krijg.........


Jos
Reacties (12)
06-01-2024, 19:34 door Anoniem
Door Anoniem: Het is nog steeds een probleem. Beide processoren hebben een AMT systeem , een processor in een processor , bij intel zelfs een coprocessor en een processor, die op ring 0 werken en altijd ingeschakeld zijn, ook als je computer uitstaat kan deze coprocessor gekoppeld aan het AMT/IME Minix OS een magic packet verwachten waardoor de computer 's nachts spontaan kan aanspringen, om dan wat beperkingen uit te voeren.

Jos

Beperkingen=bewerkingen

Jos
07-01-2024, 12:13 door Anoniem
Bedankt dat je dit weer onder de aandacht brengt.
Voorheen was een van de eerste zaken bij binnenkomst van nieuwe PC's om de ATM uit te schakelen omdat we dit niet gebruikten en een risico factor was.
Voor win 11 is het nu min of meer noodzakelijk om op te starten. Ik vind dit ook een vreemde zaak.
07-01-2024, 14:07 door Anoniem
Door Anoniem: Bedankt dat je dit weer onder de aandacht brengt.
Voorheen was een van de eerste zaken bij binnenkomst van nieuwe PC's om de ATM uit te schakelen omdat we dit niet gebruikten en een risico factor was.
Voor win 11 is het nu min of meer noodzakelijk om op te starten. Ik vind dit ook een vreemde zaak.

Disabelen kan tegenwoordig niet meer. Niet zolang je met Flashrom, een Raspberry Pi en een clip op de BIOS ROM chip je de hele BIOS vervangt door een ondersteunde -zelf gecompileerde- coreboot/seabios met HAP bit optie.

Software updaten kan bij sommige systemen maar als je je mobo bricked, is het lastig deze terug te flashen.

Er zijn fabrikanten die klant en klare coreboot systemen verkopen, maar ik zou ze zelf niet vertrouwen. Het is toch weer gebakken code, gebakken door iemand anders. En soms is een kleine hobbytoko meer louche dan een grote 'vertrouwde' vendor als Microsoft.

Het probleem met de AMT/Intel Management Engine en de AMD PSP is dat er vulnerabilities in gevonden zijn, en er vast nog meer in zitten. Dus je hebt in principe geen controle over jouw eigen computer.

Beheer je ergens veel werkstations, dan is de IME wel fijn. De coprocessor runt een webservertje per werkstation, die onzichtbaar is voor het werkstation zelf, waarop je kunt inloggen en het werkstation kunt aanzetten/uitzetten/rebooten, en met een RDP verbinding kunt inloggen. Heel fijn om als software KVM te gebruiken in een medium-secure environment , voor niet belangrijke office systemen , je kunt zelfs op afstand een OS installeren.

Er zijn mensen die op Linux werken en niets hebben met Microsoft en Intel en denken dat dit geen risico voor ze is. Maar de IME is platform onafhankelijk. Je kunt evengoed een Linux server of een firewall overnemen bij een BIOS misconfiguratie, slecht admin wachtwoord, of gewoon bij een vulnerability in de IME blob zelf

Dit soort fratsen (Minix OS) in elke Intel cpu na 2008 ingebakken is onacceptabel. Ik snap niet waarom niemand dat wat interesseert.
08-01-2024, 13:47 door Anoniem
Het is toch mogelijk om iets tussen je PC en router een apparaat te hangen dat alle pakketjes onderschept?
Als je dat hebt en daar een firewall op zet kan je in de gaten houden of er iets voorbij komt dat niet door wire-shark word gezien maar wel door de kabel heen gaat.

Dit kan je dan filteren en met een beetje geluk analyseren.
Het zou mooi zijn als je hiermee geheime IP pakketjes kan versturen die niet worden gezien door providers. ;-)
08-01-2024, 19:48 door Anoniem
Door Anoniem: Het is toch mogelijk om iets tussen je PC en router een apparaat te hangen dat alle pakketjes onderschept?
Als je dat hebt en daar een firewall op zet kan je in de gaten houden of er iets voorbij komt dat niet door wire-shark word gezien maar wel door de kabel heen gaat.

Dit kan je dan filteren en met een beetje geluk analyseren.
Het zou mooi zijn als je hiermee geheime IP pakketjes kan versturen die niet worden gezien door providers. ;-)

Niet als je analyse laptop zo'n Intel chip heeft dus.

Het is bekend dat AMT , de "geheime" webserver voor de localhost onzichtbaar is.

Er zijn vast meer truuks mogelijk waarvan wij niet weten.

In 1970s ontwikkelde een dev een malware die zich met de compiler verspreidde. Alle sources leken clean maar zelfs jouw eigen programmas kregen de malware. Debuggers gecompileerd met deze compiler keken over de malware heen, ook de disassembler. Zo onstonden generaties van compilers allemaal gecompileerd met die eerste compiler.

Stel jij schrijft een programma, hoe weet jij of het secure is?
Niet. Tenzij je ook de compiler schrijft, from scratch, in assembly.

Nu een stapje verder: een processor voegt malware toe aan het compilatieproces van een compiler.
Al jouw software is dus backdoored en je komt er nooit achter, want de debuggers , decompilers enz allemaal kijken over die malware heen, want die zijn compiled met de originele computer.

Dit is een gedachten experiment natuurlijk
09-01-2024, 10:38 door Anoniem
Door Anoniem:
Door Anoniem: Het is toch mogelijk om iets tussen je PC en router een apparaat te hangen dat alle pakketjes onderschept?
Als je dat hebt en daar een firewall op zet kan je in de gaten houden of er iets voorbij komt dat niet door wire-shark word gezien maar wel door de kabel heen gaat.

Dit kan je dan filteren en met een beetje geluk analyseren.
Het zou mooi zijn als je hiermee geheime IP pakketjes kan versturen die niet worden gezien door providers. ;-)

Niet als je analyse laptop zo'n Intel chip heeft dus.

Het is bekend dat AMT , de "geheime" webserver voor de localhost onzichtbaar is.

Er zijn vast meer truuks mogelijk waarvan wij niet weten.

In 1970s ontwikkelde een dev een malware die zich met de compiler verspreidde. Alle sources leken clean maar zelfs jouw eigen programmas kregen de malware. Debuggers gecompileerd met deze compiler keken over de malware heen, ook de disassembler. Zo onstonden generaties van compilers allemaal gecompileerd met die eerste compiler.

Stel jij schrijft een programma, hoe weet jij of het secure is?
Niet. Tenzij je ook de compiler schrijft, from scratch, in assembly.

Nu een stapje verder: een processor voegt malware toe aan het compilatieproces van een compiler.
Al jouw software is dus backdoored en je komt er nooit achter, want de debuggers , decompilers enz allemaal kijken over die malware heen, want die zijn compiled met de originele computer.

Dit is een gedachten experiment natuurlijk
Ik zat te denken aan het gebruik van een FPGA of iets dergelijks.
Dat je de pakketjes vergelijkt in hardware, en verdachte pakketjes als ruwe bytes over serial aan je pc terugvoert.
09-01-2024, 23:22 door Anoniem
Kun je hier niet iets mee? github.com/corna/me_cleaner/wiki/HAP-AltMeDisable-bit
11-01-2024, 14:36 door Anoniem
Door Anoniem: Kun je hier niet iets mee? github.com/corna/me_cleaner/wiki/HAP-AltMeDisable-bit


Dit is de beroemde ME_cleaner toch? Die werkt alleen op CPU's tot 2018-2019

Alle nieuwe CPUs zijn beveiligd tegen de ME_cleaner

Het beste scoor je 2de hands moederborden van de Amerikaanse overheid, die hebben meestal een HAP bit in de BIOS

Als je veilig wilt zijn heb je dus een Intel CPU van rond 2010 , die je met me_cleaner hebt bewerkt en waarop je Qubes os installeert

Jammer dat er voor qubes nog geen alternatieven zijn

Ik heb wel eens op Tails een exploit gezien die privilege esc doet, dan dan gewoon met een dns request je echte IP (=lokatie) doorstuurt naar een darknet site.
12-01-2024, 05:54 door Gilbertarvey
Het is het beste om tweedehands moederborden van de Amerikaanse overheid te beoordelen, aangezien deze meestal een HAP-bit in hun BIOS hebben.

Dus als je veilig wilt zijn, heb je een Intel CPU van ongeveer 2010, die je hebt gecleant met me_cleaner en Qubes OS erop geïnstalleerd.
13-01-2024, 16:36 door Anoniem
Door Gilbertarvey: Het is het beste om tweedehands moederborden van de Amerikaanse overheid te beoordelen, aangezien deze meestal een HAP-bit in hun BIOS hebben.

Dus als je veilig wilt zijn, heb je een Intel CPU van ongeveer 2010, die je hebt gecleant met me_cleaner en Qubes OS erop geïnstalleerd.

Maar hoe kom ik aan Amerkaanse GOV computers?
13-01-2024, 19:38 door Anoniem
Dasharo mag dan wel commercieel zijn, maar wel compleet vrij en open-source. Daarnaast is Dasharo of Coreboot zelf ook te bouwen voor systemen die door Dasharo ondersteund worden, zo hoef je niet de meegeleverde firmware te vertrouwen. Het probleem is echter dat het aantal propriëtaire blobs wat nodig is vanaf de 6e generatie Intel Core processoren vrij hoog is en er minder onderdelen van Intel ME zijn te verwijderen.

Het beste is om, als je een X86 systeem nodig hebt, een laptop met een 5e generatie (of ouder) intel processor te gebruiken die ondersteund wordt door coreboot/libreboot (nieuwste is volgens mij de HP Elitebook 820 G2, maar de T440P ondersteund weer quad core processors) of een AMD workstation board zoals de KGPE-D16 welke compleet vrij van propriëtaire blobs kan worden gebruikt (en 2 16 core cpus + 192GB ram aankan) .

Andere opties zijn de Talos II welke de Power9 architectuur gebruikt. Maar heeft de nodige software incompatibiliteit en is erg duur. RISC-V is nog een optie maar heeft nog meer kinderziektes helaas. ARM kan maar dan zit je ook weer met de nodige propriëtaire firmware die je moet vertrouwen, maar daar zit geen 2e oncontroleerbare cpu in in ieder geval.

Niks is ideaal natuurlijk, maar in principe is voor elke toepassing/budget er wel een optie. Dat Dasharo zelfs een moederbord ondersteunt met 13e generatie intel processoren en DDR5, en de Intel HAP bit weet te zetten is indrukwekkend, en zorgt ervoor dat zelfs de meest veel eisende computer gebruiker een PC kan gebruiken welke vrije goede privacy, controle en veiligheid biedt.
15-01-2024, 15:55 door Anoniem
Door Anoniem: Dasharo mag dan wel commercieel zijn, maar wel compleet vrij en open-source. Daarnaast is Dasharo of Coreboot zelf ook te bouwen voor systemen die door Dasharo ondersteund worden, zo hoef je niet de meegeleverde firmware te vertrouwen. Het probleem is echter dat het aantal propriëtaire blobs wat nodig is vanaf de 6e generatie Intel Core processoren vrij hoog is en er minder onderdelen van Intel ME zijn te verwijderen.

Het beste is om, als je een X86 systeem nodig hebt, een laptop met een 5e generatie (of ouder) intel processor te gebruiken die ondersteund wordt door coreboot/libreboot (nieuwste is volgens mij de HP Elitebook 820 G2, maar de T440P ondersteund weer quad core processors) of een AMD workstation board zoals de KGPE-D16 welke compleet vrij van propriëtaire blobs kan worden gebruikt (en 2 16 core cpus + 192GB ram aankan) .

Andere opties zijn de Talos II welke de Power9 architectuur gebruikt. Maar heeft de nodige software incompatibiliteit en is erg duur. RISC-V is nog een optie maar heeft nog meer kinderziektes helaas. ARM kan maar dan zit je ook weer met de nodige propriëtaire firmware die je moet vertrouwen, maar daar zit geen 2e oncontroleerbare cpu in in ieder geval.

Niks is ideaal natuurlijk, maar in principe is voor elke toepassing/budget er wel een optie. Dat Dasharo zelfs een moederbord ondersteunt met 13e generatie intel processoren en DDR5, en de Intel HAP bit weet te zetten is indrukwekkend, en zorgt ervoor dat zelfs de meest veel eisende computer gebruiker een PC kan gebruiken welke vrije goede privacy, controle en veiligheid biedt.

Goede post maar dat KGPE board is zo oud, DAT je caps moet omsolderen.

Ze adverteren met Extra Long Life Capacitors van wel 5 jaar! En dit board is van 2012

Opletten dus....
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.