Из-за уязвимости Intel Management Engine производители материнских плат готовят новые прошивки UEFI

[Scoffer]

Alexey1977
Як це немає? IPMI з приблудами є ще починаючи з ам2. А в зенах ще гірше - додатковий процесор для керування всією цією шнягою перенесли з чіпсету прямо в CPU.

[zloydiktator]

Alexey1977
Спасибо, серррр...

[Scoffer]

Технологія називається AMD PSP

[Fishnya]

Вообще обидно слышать - в биос эта хрень якобы отключена, драйвера в ось под неё не установлены (на саппорт диске точно есть), но тем не менее она живёт своей жизнью?

примерно половина содержимого флешки биоса - прошивка ME

[vltk]

У интела эта история с МЕ уже не впервой, зная об этом, я с первых core-2 и далее никогда не устанавливаю систему интеловых драйверов для МЕ. Полагая, что если и получит (через сеть) взломщик к биосу/процу работающей ОС, то его шансы что-то ловить в памяти без доступа через драйвера интела, будут минимальны. Важна реакция интеловой утилиты проверки безопасности (см.ниже) на якобы не подверженные «этой системе взлома дыры» процы до 6 поколения. Там та дыра (заложенная для заказавших/потребовавших ее у интела), при установленных МЕ драйверах, продолжает работать – они меня предупреждают, установите драйвер, а то вам может быть плохо. Кто считает параноей, мол гугл все знает и поэтому доступ к вашей банковской проге управления счетом и так всем известен, можете не беспокоится о конфиденциальности ваших данных, телеметрии Вин10 и т.д и т.п.

Запустил выданную интелом прогу Intel-SA-00086, результат:
Оценка риска
На основе анализа, выполненного этим инструментом: Обнаружена ошибка. Эта система может быть уязвима, установите драйвер Intel(R) MEI/TXEI (доступно у вашего производителя системы).

Дополнительную информацию можно получить в руководстве по программе обнаружения SA-00086, или в инструкции по безопасности Intel-SA-00086, перейдя по следующей ссылке: https://security-center.intel.com/advis ... geid=en-fr
Программа обнаружения INTEL-SA-00086
Версия приложения: 1.0.0.128
Дата сканирования: 23.11.2017 16:52:36
Информация о главном компьютере
Имя: HOME
Производитель: System manufacturer
Модель: System Product Name
Наименование процессора: Intel(R) Xeon(R) CPU X5670 @ 2.93GHz
Версия ОС: Microsoft Windows 7 Профессиональная
Информация по Intel(R) ME
Двигатель: Intel(R) Management Engine
Версия: Unknown
SVN: 0

(C) Корпорация Intel, 2017 г. Все права защищены

[KimRomik]

vltk
У меня в диспетчере есть неустановленный драйвер на "PCI-контроллер Simple Communications". Гугл говорит, что это ME (взято из ixbt).

Естественно, драйвер для данного устройства - Intel Management Engine Interface

[evrial]

Вырубил в диспетчере устройство Intel(R) Management Engine Interface, что-то должно поменяться?

[Scoffer]

evrial
Ні, ME працює і поза ОС

[NiTr0]

Alexey1977
Як це немає? IPMI з приблудами є ще починаючи з ам2.

ну-ну, где же там IPMI-тона десктопных платах... наверное, идиоты какие-то покупали отдельные PCI IPMI платы для удаленного управления

[grumbler]

забавные новости. когда родилась v-pro это было благое благо на все человечество, ибо одмины могли управлять компом полностью и бесповоротно. когда по аналогии с ви-про через меи сделали управление подсистемами компа это тоже ни у кого паники не вызывало. И вот когда меи неожиданно вдруг взломали, - ой горе-то какое и зрада на весь интел. И рассказы по всему интернету - как анб/фбр шпионят за тобой, брат, ага.
да вот только тут надо понимать, что меи - это часть биоса, которая распространияется от интела к вендорам, которые собирают биосы по кирпичикам. документации по управлению - 0. и если кто-то вдруг сломал меи - честь ему и хвала. Это совсем не означает, что вот так просто в любой комп можно взять и залезть, тем более - удаленно, без перепрошивки биоса с подменой кода меи на ломанный и без ухищрений с подключением через бекдор.
более того, если проследить выпуски модулей меи - они обновляются с заданной регулярностью и очень часто вендоры даже не указывают, ни что модуль меи был обновлен, ни что модуль патчей процессоров был обновлен и т.д.
так что посадить в комп банального червяка в тысячи раз проще, равно как и управлять им, чем поломать комп через меи и типа управлять им - повезет или нет...

Отправлено спустя 10 минут 49 секунд:
ПыСы через випро управлять компом куда проще, а юзер и знать не будет ничего. причем вполне официально. ну что, боимся дальше?

[Scoffer]

NiTr0
Там же де і в десктопних інтелоплатформах. Але це ще нічого не означає. Діра як була так і залишилась, типу "деактивавана" в біосі. Почитай про AMD PSP. Для кого написав технологію?

Отправлено спустя 4 минуты 6 секунд:
Китайці не даремно пилять свої власні проци. Було б так просто - накупили б AMD

[kyon]

Я ничего не понял... Как это работает?

http://lurkmore.to/X86#IME_.28Intel_Man ... _Engine.29

раньше на 7-ке надо было ставить IME дрова, иначе в диспетчере задач висело нераспознаное уст-во, я постоянно качал с сайта интела обновлённые дрова, найти их было еще непросто, брал дрова для одной из интеловых материнок, сейчас в 10-ку всё встроено, сервис

и да, обладатели бессмертного Сандика точно так же имеют внедрённый анальный зонд, не обольщайтесь.

[Alexey1977]

мое мнение пересичному юзеру от этого не холодно и не жарко, может там где то в недрах ЦРУ или ФСБ у кого то и проступил холодный пот.
а там пофик .

[46Tolik]

А чем всем ME не угодил. Думаю 99% пользователей даже не знают что это и зачем. И еще более не понятно зачем его вырезать? Больше параноя это только заклеивать вэбку на ноутбуке черной изолентой

[Scoffer]

46Tolik, Alexey1977
Це допоки не злили мережевий бекдор, а він то точно є А далі вірусня імені вась з петями просто відпочивають. Масштаби трагедії будуть, м'яко кажучи, значними.

Отправлено спустя 2 минуты 32 секунды:
В маршрутизаторах і тих через один х86 всередині стоїть.
Я про не домашні.

[nukeproof]

Скайнет уже рядом, дышит в ухо каждому и радуется от предвкушения скорого запуска в глобале

Именно так.
https://hightech.fm/2017/11/23/darpa-learn-ai

Отправлено спустя 9 минут 3 секунды:

не представляю как можно просто зайти в какую то контору выпаять там микросхему биоса, впаять свою

понятно но бивисы бывают и ф панельках, сделать какой то добротный бекдор при помощи этой хрени почему нет.

лично меня смущает наличии чего-то в моём пк, что работает само по себе, общается с сетью, имеет доступ ко всем ресурсам и использует их
и сейчас еще эту хрень и взломали

а какиже big brother is watching you, несъемные акумы в мобилах отттуда же

[Taran]

У мене перше покоління Коре Ай... Правда в виглдяді Зеона на Чіпсеті Н55... Інтеловький детектор каже що система уязвима) Думаете Гігабайте обновить біоси для материнок з 2010 року?

[grumbler]

Если вы посмотрите, сколько устройств на юнихе реально ломают в инете - удивитесь. Часы, табло, экраны, роутеры, видеорегистраторы - ложатся пачками. Но все молчат, юних святой, а бекдоры от лукавого, ой, от производителей. Тут же нашли дырку от бублика и такой шум
Драйвер МЕИ нужен системе, чтобы проги из ОС через АПИ могли подключаться напрямую к аппаратуре в обход всего вообще. Из винды, имеется ввиду. В стандартной прошивке БИОСа это запрещено и только некоторые параметры рид-онли доступны для мониторинга. Взлом модуля МЕ привел к тому, что теперь в теории прога может получить доступ к железяке без вашего ведома и делать шопопало. Особенность в том, "родзинка" так скажем, что МЕ работает БЕЗ загруженной системы и, фактически, за вами могут шпионить, включая в нотике микрофон, например, при выключенной системе. Страшно? Конечно. Только чтобы это все провернуть, надо сделать тучу операций с самим нотиком. Это не означает, что невозможно, это означает - слишком много гемора для такой фигни к обычной персоне "пересичного громадянына". Намного легче шпионить со смартфона, но истерик ведь нет, даже при том, что гугл/яббл безусловно сливает ваше местоположение уже прямо сейчас. А что внутри установленных прог на смарте (которые, к тому же, автоматом обновляются!) не знает никто и кол-во обнов просто зашкаливает. И смарт намного легче взломать, перепрошить и он более автономен и всегда с вами и т.д. и т.п. Страшно?
Давайте страшиться дальше. Чем стандартный БИОС отличается от (У)ЕФИ? Тем, что в БИОС есть только инициализация минимума для работы, для старта - память, проц, материнка, видео, дисковую подсистему, юсб и всякие мелочи, типа сетевух и то иногда. Для работы вообще всех устройств в штатном режиме надо было загрузить ОС со всеми драйверами. Что приводило к постоянной проблеме - кривые дрова, не успели обновить, не соответствие требованиям системы и т.д. Т.е. на разрабов дров все нагрузки. Ну и МСы тут ноют - они, бедные, потом обливаются, тестируя на стабильность дрова, но бабки стригут исправно. Слишком сложно им становится стричь - нагрузка растет, а чемоданы несут неохотно. Вот и придумали финт ушами - а давайте биос будет инициализировать и полностью поддерживать работу железа, а драйвер будет лишь "прокладкой" к интерфейсу. Так бабосы стричь проще, а все шишки на разрабов биосов. Так и родился ефи, а потом развился в уефи. Кажется ведь - благое дело? Ну, как бы - да. Надежность растет. С другой стороны, биос (тот который легаси) до сих пор тянется со всеми десктопами и многими нотиками, хоть и урезанно. И надо бедным программерам поддерживать обе платформы, а это потеря бабла, что не есть гуд. Поэтому Интел с МС сели, подумали и постановили - хрен вам, от легаси биос будем отказываться, чтобы нам бабло экономить, а вы там сами разберетесь. Все равно вин7 скоро (в 19 году) - хеппиэнд, а значит можно тушить и легасибиос. Все остальные системы, т.е. вин8/10 - полностью уефи кампатибл, про линух - пофигу нам ваши разговоры.
Так что нас готовят к полной секьюрности, быстрой и стабильной работе и так далее. А это значит, что все производители в шоколаде. Выпустили новую видуху, а под нее нет биоса для старта - вот покупайте новую мамку, а там и весь комп, ну и систему тоже новую - как же без нее. Зато если запустилось - ну просто все будет маслично-шоколадно
И так думает не только Интел или МС. Так думают все вендоры. Гляньте на нативные сборки компов от леново/айбиэм, ашпи, делл и прочих - везде есть свои дрова, расширяющие возможности материнок - для какой-то тулзы чем-то дополнительно управлять и чего-то мониторить и серверные ILO/IPMI тут лишь как характерный например. Но это было все на уровне "а может быть поставят, а может - заработает". В УЕФИ теперь все это имеет нативную поддержку, и там хоть градусник делай из стартовой страницы или частотометр для красоты - все абсолютно устройства теперь обязаны запускаться при включении. "Так от обычного компа до инета вещей рукой подать." - такими благими намерениями и выстилалась дорога...
И то, что нашли дырку сейчас, когда еще нет особой зависимости от этих самых вещей, нам почти побарабану. А вот что будет, когда будут в будущем находить дырки в УЕФИ, вот это будет настоящее веселье. И ведь они будут, куда же без них? Например, комп будет подключен к умному дому. Благие намерения. И через вайфайл вся система будет завязана. Да вы от скайнета просто скрыться не сможете - все будет под контролем - от вашей лишней шоколадки до болеете ли вы циститом, потому что пи-пи часто ходите

Scoffer, а про маршрутизаторы - это вы загнули. В дешевых вообще нет - там мипсы и армы, в более сложных и дорогих - Интел там встречается, но далеко не х86 в обычном понимании. Сетевые процессоры - вообще отдельная песня и там в угоду скорости и стабильности много чего "совсем не так".

[Crossbow]

на правах флуда...



А по теме , так я ЕФИ (УЕФИ) невзлюбил с самого его появления. Кривое уг до ужаса! И я по жизни придерживаюсь поговорки :
"чем проще , тем надежнее\лучше".
Можно ещё вспомнить фильм форсаж --где машины "с мозгами" взламывали и перехватывали управление. Вот это фильм был , но в реальной жизни, в будущем более чем может такое быть. Так что... некая доля "шутки" про Скайнет --правда.

[Scoffer]

grumbler
В маршрутизаторах якраз самі звичайні х86, з тих де, власне, в принципі стоїть х86, а не mips. Там Atom C-серії в відносно простих, або Xeon-D в рішеннях поскладніше на самих звичайних чіпсетах С-серії. Причому не тільки маршрутизатори, апаратні файерволи, СХД і інше обладнання туди ж. І якщо знайдуть дірку, а її рано чи пізно знайдуть, то цілі сегменти мережі будуть скомпрометовані.

Отправлено спустя 1 минуту 14 секунд:
Не постраждають лише військові, бо вони як мінімум станом на 2-3 роки назад, все ще використовували 486 процесори по спецзамовленю. Ніяких корів А вони шарять.