Forumi

Napol izčrpen vodnik po Intelovem upravljalnem motorju in njegovem izogibanju (+ opombe AMD PSP)

Stanje
Prva objava te teme je WikiPost in jo lahko ureja vsak z ustreznimi dovoljenji. Vaši popravki bodo javni.

z970

Originalni plakat
2. junij 2017
01000101 01100001 01110010 01110100 01101000


  • 14. november 2020
Že skoraj dve leti sem se izogibal vsem Intelovim sistemom z naborom čipov 965 in novejšimi, namesto tega sem se odločil, da bom ostal pri naboru čipov 945 in starejših, da bi obšel varnostne težave, ki so povezane z Intelovim mehanizmom upravljanja v nejasnem splošnem obdobju od 2006 do 2008. iniciacija. Vendar pa sem bil v času, odkar sem kupil Dell XPS 410, prisiljen v celoti odpraviti nered, napačne informacije in zmedo, ki se nanaša na nabor čipov 965+, Intel Management Engine in Intel Active Management tehnologijo, samo zato, da bi se počutil udobno upravljanje.

Kot pri prejšnji Wiki, ki sem jo sestavil, sem sprva napisal naslednje informacije z namenom, da se uporabljajo kot osebna referenca. Toda glede na to, kako so bili pretekli primeri, ko je ta posebna skupina ljudi izrazila zanimanje in skrb za to temo ( https://forums.macrumors.com/thread...y-privacy-issues-on-intel-based-macs.2193645/ , in na pol povezani opombi, https://forums.macrumors.com/ nit...n-nove-objave.2267073/post-29238209) , skupaj z dejstvom, da, kolikor mi je znano, trenutno na internetu ne obstaja noben centraliziran informacijski vir, ki bi podrobno opisoval, kateri nabori čipov so resnično prizadeti, katere nabore čipov je mogoče ogroziti na daljavo in kaj točno je mogoče storiti za ublažitev ranljivega če bi ga uporabnik dobil v lasti, sem se odločil, da ga objavim tukaj za prihodnjo javno referenco.



Preprečevanje varnostnih ranljivosti iz Intelove tehnologije aktivnega upravljanja v sistemih Pre-Nehalem



Intel Management Engine je bil predstavljen z naborom čipov Intel Q965 in je prisoten v naslednjih naborih čipov Q35 in P/G/GM/Q45, ki so bili predstavljeni v letih 2006, 2007 oziroma 2008. Ima popoln dostop do vmesnika procesorja, krmilnika DRAM, notranjega grafičnega krmilnika, grafičnih vmesnikov in vozlišča I/O Controller, vendar lahko pošilja in prejema podatke samo po omrežju, če matična plošča podpira Intel vPro ali natančneje Intel Active Management Tehnologija (sama podmnožica vPro). Intel ME se ne sme zamenjevati z Intel AMT, saj se lahko samo AMT poveže z vgrajenim krmilnikom omrežnega vmesnika, ki ga je izdelal Intel, in tako predstavlja varnostno tveganje. ME in njegova podskupina vPro / AMT sta bila kasneje prenesena na mobilne platforme prek Centrino Pro in kasnejšega Centrino 2 vPro v letih 2007 oziroma 2008.

AMT tudi ne smemo zamenjevati z odprtim standardnim formatom opozoril, saj je ASF odvisen od operacijskega sistema prek programske opreme, ne more posredovati enake širine podatkov, ni ekskluziven za Q965+ in ne more delovati, ko je sistem izklopljen.

V mobilnih sistemih je AMT podprt samo, če je sistem označen kot združljiv s Centrino Pro ali Centrino 2 vPro. V namiznih sistemih je vPro in s tem AMT podprt le, če matična plošča vsebuje nabore čipov poslovnega razreda Q965, Q35 ali Q45, ki jih je mogoče prepoznati po natisnjeni številki modela ICH, sicer splošno znanem kot južni most (glej na velik čip z blagovno znamko Intel na sistemski matični plošči):

82801HO (Q965, Digitalna pisarna, vsebuje ME in AMT)

82801IO (Q35, Digitalna pisarna, vsebuje ME in AMT)

82801JO (Q45, Digitalna pisarna, vsebuje samo AMT)

Vse namizne plošče, ki temeljijo na Core 2 Solo, Core 2 Duo, Core 2 Quad in Core 2 Extreme, ki nimajo zgornjih ICH čipov, nimajo AMT, saj vPro / AMT (kot tudi ME na naborih čipov Q965 in Q35) niso vgrajeni v katere koli namizne nabore čipov brez predpone oznake 'Q', zaradi česar je ME na naborih čipov P/G/GM45 domnevno nežen.

Druga možnost je, da mei-amt-check ( https://github.com/mjg59/mei-amt-check ) se lahko uporablja v sistemih Linux za ugotavljanje prisotnosti ME in AMT. Če se modul 'mei_me' ob zagonu ne naloži samodejno, potem sistemu manjka ME in s tem razširitev AMT, zato ne potrebuje ročnega izogibanja.

Poleg tega lahko uporabnik tudi tečels / dev | prijem zše hitreje preveriti prisotnost ME. V primeru, da se ukaz vrnemajain s tem potrjuje prisotnost ME, ta metoda žal še vedno ne more preveriti prisotnosti AMT, medtem ko bo za končni zaključek potrebna uporaba prej omenjenega orodja mei-amt-check.

Čeprav je bil ME predstavljen z naborom čipov Q965, se je AMT predstavil nekoliko prej na sistemih, ki temeljijo na 945 z Intel 82573E Gigabit Ethernet Controller, kar je mogoče potrditi zlspci | grep Ethernet, medtem ko bi veljali naslednji ukrepi za ublažitev.

Kot preventivni ukrep na prizadetih čipih, ki običajno temeljijo na Q, onemogočite integrirano NIC prek sistemskega BIOS-a in jo zamenjajte z alternativnim omrežnim vmesnikom, ki ne vsebuje osrednjega NIC čipa, ki ga je zasnoval Intel, kar bo preprečilo AMT (in morda ME na sistemih P55 in novejših) od komunikacije z internetom, ker vsebuje samo gonilnike za vgrajeno NIC (od P55). Primeri vključujejo adapterje USB Wi-Fi, ki niso Intelovi, adapterji USB Ethernet in notranje omrežne kartice PCI ali PCIe. To dejanje lahko tudi učinkovito povzroči, da sta ME in AMT v ustreznih sistemih domnevno benigna.

Kot pri sistemih, ki temeljijo na Core 2, se zdi, da je vPro / AMT prisoten samo v sistemih, ki temeljijo na Core iX, s čipi s predpono Q. Vendar trenutno ni znano, kakšno točno razmerje ima ME z NIC vseh naborov čipov, ki temeljijo na Core iX, in kako se razlikuje od razmerja z nabori čipov, ki temeljijo na Core 2, v prejšnjih različicah. Zato so NIC na sistemih, ki temeljijo na Nehalemu in novejših, privzeto potencialno nevarni brez ročnega izogibanja z alternativno strojno opremo.


Opombe o varnostnem procesorju platforme AMD


oz PSP ima popoln dostop do vseh komponent strojne opreme, tako kot pri ME.

oz PSP se nahaja izključno na CPU matrici, medtem ko se ME nahaja na južnem mostu matične plošče.

oz Zadnji varni CPE-ji so vse v družini FX (Bulldozer), ki uporabljajo vtičnico AM3+ CPU.

oz Najhitrejši FX CPU je FX-9590 / overclockiran FX-8370. Matična plošča mora imeti čipset FX990 za najboljšo zmogljivost.


Viri


Libreboot – Pogosto zastavljena vprašanja en.wikipedia.org

Intel Management Engine - Wikipedia

en.wikipedia.org en.m.wikipedia.org

Intel Active Management Technology - Wikipedia

en.wikipedia.org

Različice Intel AMT - Wikipedia

en.wikipedia.org

INTEL-SA-00112

INTEL-SA-00112 www.intel.com

Intel VPro in optična omrežja

Rešitev: Pozdravljeni! Preveril sem z nekaj našimi Intelovimi inženirji in ugotovil sem naslednje: vPro uporablja integrirano omrežno kartico. trenutno community.spiceworks.com Izvajanje testov na različnih sistemih z različnimi nabori čipov Nazadnje urejeno: 11. julij 2021
Reakcije:RogerWilco6502

RogerWilco6502

12. januar 2019
Dežela mladih
  • 15. november 2020
Ametist1 je rekel: Varno.

Nehalem in novejši sistemi trpijo tudi zaradi ranljivosti ME.

Intel Management Engine - Wikipedia

en.m.wikipedia.org
Ok, hvala za informacije. Ne vem, kje sem dobil, da so bili novejši sistemi varni. Zdi se, da bom moral še nekaj prebrati. >.> D

destruktor

21. oktober 2013
  • 15. november 2020
RogerWilco6502 je rekel: Ok, hvala za informacije. Ne vem, kje sem dobil, da so bili novejši sistemi varni. Zdi se, da bom moral še nekaj prebrati. >.>
Novejše ni varno z Intel ME, saj ni bilo z AMT (če ne upoštevate morebitnih težav z zasebnostjo pri obeh). Vedno, kadar je mogoče, odstranim ME na mojem Thinkpadu in manj jih ima te možnosti, razen pri Thinkpadu (razen nekaterih prenosnikov ali namiznih računalnikov System76), kolikor vem, ni veliko popravkov ali raziskav.
Reakcije:RogerWilco6502 in Ametist1

Tratkazir_the_1st

11. februar 2020
Rusija, Moskovska regija
  • 15. november 2020
Teme z IntelME ustvarjajo plamen Reakcije:RogerWilco6502, dextructor in Amethyst1

RogerWilco6502

12. januar 2019
Dežela mladih
  • 15. november 2020
dextructor je rekel: Novejše ni varno z Intel ME, kot ni bilo z AMT (če ne upoštevate morebitnih težav z zasebnostjo obeh). Vedno, kadar je mogoče, odstranim ME na mojem Thinkpadu in manj jih ima te možnosti, razen pri Thinkpadu (razen nekaterih prenosnikov ali namiznih računalnikov System76), kolikor vem, ni veliko popravkov ali raziskav.
Torej imajo ThinkPad načine za onemogočanje ME? Ali bi bila to možnost vdelane programske opreme?
Tratkazir_the_1st je rekel: Teme z IntelME ustvarjajo plamen Reakcije:davisdelo in sparty411

Ametist 1

28. oktober 2015
  • 15. november 2020
Eriamjh1138@DAN je rekel: Ali lahko moderator to premakne iz foruma PPC?
Ker velja tudi za zgodaj Intel Maci, ki so tukaj našli (začasen?) dom, ni povsem izven teme.
Reakcije:MacFoxG4, Project Alice, RogerWilco6502 in 2 drugi D

destruktor

21. oktober 2013
  • 15. november 2020
RogerWilco6502 je rekel: Torej imajo ThinkPad načine za onemogočanje ME? Ali bi bila to možnost vdelane programske opreme?
Ker je ME zasnovan tako, da je vgrajen čim bližje nekaterim funkcijam, bi nekateri rekli, da samo zamenjava luknje BIOS-a ali (U)EFI z nekaj več možnostmi, kot sta Coreboot ali Libreboot, da 'varno odstranite ME', ker nekateri od teh 'popravkov' samo onemogočite ali obdržite v skoraj 'nefunkcionalnem' stanju. Pri sodobnih procesorjih x86 (bodisi AMD ali Intel) je torej treba izbrati svoj strup, ker imajo te ranljivosti ali vohunsko programsko opremo

https://coreboot.org/status/board-status.html Nazadnje urejeno: 15. november 2020
Reakcije:RogerWilco6502 in Ametist1

z970

Originalni plakat
2. junij 2017
01000101 01100001 01110010 01110100 01101000
  • 15. november 2020
@vddrnnr Ob predpostavki, da je Apple uporabil standardne revizije Intel ME, bi lahko razumno domnevali, da potencialni napadalci ne morejo infiltrirati sistemov brez naborov čipov Intel NIC. Vendar je bilo to potrjeno samo za vPro / AMT, ne pa tudi za ME (zlasti na Nehalemu in novejših).

Pri uporabi uveljavljenih informacij za računalnike Mac bi lahko vsak lahko sestavil ta seznam in ga dodal v Wikipost za referenčne namene.

Vendar se zdi, da je prva povezava, ki jo je objavil @Tratkazir_the_1st, zelo koristna v zvezi s tem, pod pogojem, da je preverjena z uporabniškim testiranjem. Žalostno pa je, da ne omenja natančno, kdaj so se te prakse za večinoma nevtraliziranje ME OOB začele uporabljati po uvedbi ME in AMT leta 2006 ...

@RogerWilco6502 @Amethyst1 Če matična plošča ThinkPad X40 ni združena z gigabitnim ethernetnim krmilnikom Intel 82573E, je res varna, saj je dve leti pred vgradnjo ME v mobilne naprave od leta 2007.

In sistemi Core 2 Duo, ki temeljijo na 965 in P35, niso prizadeti, če ne vključujejo vPro (ali v tem primeru Centrino Pro / Centrino 2 vPro na osnovi 965 in P45, pri čemer je slednji lahko prizadet tudi brez vPro na osnovo i45).

@RogerWilco6502 Za pojasnitev, Nehalem in novejši sistemi niso zajeti tako obsežno kot sistemi Core 2, ker od ME različice 6.0 v prvih sistemih Core i7 (Nehalem) ME ni le tesneje integriran v preostali sistem, vendar skupaj s popolnim pomanjkanjem kakršne koli dokumentacije, ki jo je zagotovil Intel, ni popolnoma znano, kaj lahko ME sam naredi brez AMT. Takrat bi samo začeli uporabljati alternativne omrežne adapterje, da bi sistem zaklenili kot varno.

Na splošno so bili sistemi Core 2 v tem pogledu varnejši, saj je bil ME običajno vključen samo v nabore čipov, ki podpirajo vPro, glede na to, kar lahko zberem iz raziskav in preverjanja (in ne uradne dokumentacije, z dovoljenjem Intela). To je del, kjer stvari niso bile tako tesno povezane; če vPro / AMT ni bil prisoten v sistemu, potem tudi ME ni bilo treba vključiti, vsaj na naborih čipov 965 in P35 (2006 / 2007).

Nato se je zdelo, da so ME začeli združevati v nabore čipov P45 ne glede na prisotnost AMT, kar se prav tako prilega oknu 2008. Vendar ME na naborih čipov P45 ni bil ranljiv za SA-00112 brez prisotnosti AMT, kar kaže na to, da ME ni imel nobenih omrežnih zmogljivosti in je zahteval AMT za to sposobnost (ali da bi bil grožnja) na naborih čipov P45. Po drugi strani, čeprav vsi sistemi ME 6.0+ (Nehalem) ne vključujejo AMT, so še vedno ranljivi za prej omenjeni SA-00112, ne glede na to, ali je AMT prisoten ali omogočen.

Kljub temu bi lahko tudi logično trdili, da sam ME 6.0+ v sistemih Nehalem in novejših teoretično ni nič bolj zmogljiv kot prejšnje različice v sistemih Core 2. Če je celotna premisa AMT omogočiti omrežno povezovanje in oddaljeno konfiguracijo ME, kakšen bi bil potem smisel vključitve omrežnih zmogljivosti v samo ME? Edini zadržek, ki ga imam do tega trenutka, je prej omenjena razlika v SA-00112, za katero se skoraj zdi, da nakazuje, da je ME v Nehalemu in višje pridobil nekaj lastnih omrežnih zmogljivosti, ne glede na prisotnost AMT. Žal se zdi, da trenutno ni na voljo nobenih dokazov, ki bi ovrgli to teorijo.

To je smešno zapletena tema in mejna zajčja luknja z zamegljenimi potezami. Samo tedne sem potreboval, da sem vse to obdelal. Oprostili bi vam, če bi v več trenutkih zamenjali eno stvar z drugo.

Morda bi bilo koristno vključiti kakšen primerjalni graf za lažje sklicevanje ...

@Eriamjh1138@DAN To sem objavil samo tukaj, predvsem zato, ker sem vedel, da bi nekateri radi vedeli. V nasprotnem primeru bi verjetno uporabil povsem drugo spletno mesto. Nazadnje urejeno: 15. november 2020
Reakcije:Raging Dufus, RogerWilco6502 in destructor

Ametist 1

28. oktober 2015
  • 15. november 2020
z970mp je rekel: Če matična plošča ThinkPad X40 ni združena z Intel 82573E Gigabit Ethernet krmilnikom,
Ima 82541.
Reakcije:RogerWilco6502

RogerWilco6502

12. januar 2019
Dežela mladih
  • 15. november 2020
dextructor je dejal: Ker je ME zasnovan tako, da je vgrajen čim bližje nekaterim funkcijam, bi nekateri rekli, da samo zamenjava luknje BIOS-a ali (U)EFI s kakšno dodatno možnostjo, kot sta Coreboot ali Libreboot, da 'varno odstranite ME', ker nekatere od teh 'popravki' samo onemogočijo ali ohranijo skoraj 'nefunkcionalno' stanje. Pri sodobnih procesorjih x86 (bodisi AMD ali Intel) je torej treba izbrati svoj strup, ker imajo te ranljivosti ali vohunsko programsko opremo

https://coreboot.org/status/board-status.html
Ah, ok. Hvala za razlago. Te podatke bom upošteval.
z970mp je dejal: Če matična plošča ThinkPad X40 ni združena z Intel 82573E Gigabit Ethernet krmilnikom, je res varna, saj je dve leti pred vgradnjo ME v mobilne naprave od leta 2007.

In sistemi Core 2 Duo, ki temeljijo na 965 in P35, niso prizadeti, če ne vključujejo vPro (ali v tem primeru Centrino Pro / Centrino 2 vPro na osnovi 965 in P45, pri čemer je slednji lahko prizadet tudi brez vPro na osnovo i45).

Da bi pojasnili, Nehalem in novejši sistemi niso zajeti tako obsežno kot sistemi Core 2, ker od ME različice 6.0 v prvih sistemih Core i7 (Nehalem) ME ni le tesneje integriran v preostali sistem, ampak tudi povezan s popolnim pomanjkanjem kakršne koli dokumentacije, ki jo je zagotovil Intel, ni popolnoma znano, kaj lahko ME sama stori brez AMT. Takrat bi samo začeli uporabljati alternativne omrežne adapterje, da bi sistem zaklenili kot varno.

Na splošno so bili sistemi Core 2 v tem pogledu varnejši, saj je bil ME običajno vključen samo v nabore čipov, ki podpirajo vPro, glede na to, kar lahko zberem iz raziskav in preverjanja (in ne uradne dokumentacije, z dovoljenjem Intela). To je del, kjer stvari niso bile tako tesno povezane; če vPro / AMT ni bil prisoten v sistemu, potem tudi ME ni bilo treba vključiti, vsaj na naborih čipov 965 in P35 (2006 / 2007).

Nato se je zdelo, da so ME začeli združevati v nabore čipov P45 ne glede na prisotnost AMT, kar se prav tako prilega oknu 2008. Vendar ME na naborih čipov P45 ni bil ranljiv za SA-00112 brez prisotnosti AMT, kar kaže na to, da ME ni imel nobenih omrežnih zmogljivosti in je zahteval AMT za to sposobnost (ali da bi bil grožnja) na naborih čipov P45. Po drugi strani, čeprav vsi sistemi ME 6.0+ (Nehalem) ne vključujejo AMT, so še vedno ranljivi za prej omenjeni SA-00112, ne glede na to, ali je AMT prisoten ali omogočen.

Kljub temu bi lahko tudi logično trdili, da sam ME 6.0+ v sistemih Nehalem in novejših teoretično ni nič bolj zmogljiv kot prejšnje različice v sistemih Core 2. Če je celotna premisa AMT omogočiti omrežno povezovanje in oddaljeno konfiguracijo ME, kakšen bi bil potem smisel vključitve omrežnih zmogljivosti v samo ME? Edini zadržek, ki ga imam do tega trenutka, je prej omenjena razlika v SA-00112, za katero se skoraj zdi, da nakazuje, da je ME v Nehalemu in višje pridobil nekaj lastnih omrežnih zmogljivosti, ne glede na prisotnost AMT. Žal se zdi, da trenutno ni na voljo nobenih dokazov, ki bi ovrgli to teorijo.

To je smešno zapletena tema in mejna zajčja luknja z zamegljenimi potezami. Samo tedne sem potreboval, da sem vse to obdelal. Oprostili bi vam, če bi v več trenutkih zamenjali eno stvar z drugo.

Morda bi bilo koristno vključiti kakšen primerjalni graf za lažje sklicevanje ...
Ah, ok. Hvala za to poglobljeno razširitev. Vsekakor bom to moral še veliko raziskati >.>
Reakcije:destruktor

z970

Originalni plakat
2. junij 2017
01000101 01100001 01110010 01110100 01101000
  • 15. november 2020
@RogerWilco6502 Vso srečo...
Reakcije:RogerWilco6502 in destruktor

RogerWilco6502

12. januar 2019
Dežela mladih
  • 16. november 2020
z970mp je rekel: @RogerWilco6502 Vso srečo ...
Hvala, zdi se, da je veliko informacij, ki jih je treba prebrati >.>
Reakcije:Ametist 1

sparty411

13. november 2018
  • 16. november 2020
Druga možnost je, da se preprosto izognete Intelu kot celoti in uporabite stroj, ki temelji na AMD. Kolikor vem, je vsaka plošča prek AM3+ brez PSP. Namesto uporabe starodavnih procesorjev iz obdobja 2 jedra lahko uporabite 8-jedrni FX 8350 na relativno sodobni platformi.
Reakcije:Projekt Alice in Ametist1

z970

Originalni plakat
2. junij 2017
01000101 01100001 01110010 01110100 01101000
  • 16. november 2020
@sparty411 AMD in njihov PSP še nisem analiziral. Ko to storim, ne bo izključeno videti še en vir informacij, kot je ta.

Vendar pa bom verjetno moral poiskati še kje drugje poleg tega foruma, da bi ga postavil. Kot je, je pomembnost te teme za podforum spodbudila k temu.

Projekt Alice

13. julij 2008
Post Falls, ID
  • 16. november 2020
Ali bi bili Maci 2009–2010 večinoma izvzeti iz tega, ker uporabljajo nabor čipov nvidia, ne intel? Razen Mac Pro so imeli drugi Maci nvidia čipset.
Reakcije:RogerWilco6502

z970

Originalni plakat
2. junij 2017
01000101 01100001 01110010 01110100 01101000
  • 16. november 2020
@Projekt Alice Teoretično, da. Najprej bi jih bilo treba preveriti prilspci | grep gostiteljinls / dev | prijem zbiti pa popolnoma prepričan.
Reakcije:destructor in RogerWilco6502

B S magnet

5. december 2018
odpovedana dežela severnega otoka želv
  • 2. april 2021
MODI:

Ali lahko to premaknete na forum Early Intel? Hvala vam!
Reakcije:z970 in davisdelo

Macbookprodude

1. januar 2018
ZDA
  • 2. april 2021
Zakaj je to tukaj? Ali ne bi to moralo biti v razdelku intel mac???

B S magnet

5. december 2018
odpovedana dežela severnega otoka želv
  • 2. april 2021
Macbookprodude je rekel: Zakaj je to tukaj? Ali ne bi to moralo biti v razdelku intel mac???

Če upoštevate prvotni datum objave, je ta pred nastankom foruma zgodnjih računalnikov Intel Mac.
Reakcije:RogerWilco6502, Amethyst1, AL1630 in še 1 oseba

z970

Originalni plakat
2. junij 2017
01000101 01100001 01110010 01110100 01101000
  • 11. julij 2021
Dodan opis o varnostnem procesorju platforme, ki je AMD-jev ekvivalent Intel ME.
Ocene kako drugo Kako Tos Kako
Nova maketa prikazuje, kako bi lahko izgledal iPhone 7 Plus, o katerem govorijo, 'Space Black'
Zaščita zaslona za iPhone 8 posodobljena z združljivostjo »iPhone SE« v Applovi spletni trgovini
Priljubljene Objave

Priljubljene Objave

Apple News
Google dodaja podporo za temni način v aplikacijo Google Search za iOS in Android
Apple News
Apple TV+ dobiva nov film o ustvarjanju filma 'Tetris', v katerem igra Taron Egerton
Apple News
Ponudbe: Applovi novi prenosniki MacBook Pro iz leta 2023 znižani na Amazonu, od 1.849,99 $ (149 $ popusta)
Apple News
Apple Store v Natick Collection v Greater Bostonu se ponovno odpre 16. februarja
Apple News
iOS 17: Vse varnostne funkcije v najnovejši posodobitvi za iPhone
Forumi
iPad Magic Keyboard se ne polni