- Stanje
z970
Originalni plakat- 2. junij 2017
- 01000101 01100001 01110010 01110100 01101000
- 14. november 2020
Kot pri prejšnji Wiki, ki sem jo sestavil, sem sprva napisal naslednje informacije z namenom, da se uporabljajo kot osebna referenca. Toda glede na to, kako so bili pretekli primeri, ko je ta posebna skupina ljudi izrazila zanimanje in skrb za to temo ( https://forums.macrumors.com/thread...y-privacy-issues-on-intel-based-macs.2193645/ , in na pol povezani opombi, https://forums.macrumors.com/ nit...n-nove-objave.2267073/post-29238209) , skupaj z dejstvom, da, kolikor mi je znano, trenutno na internetu ne obstaja noben centraliziran informacijski vir, ki bi podrobno opisoval, kateri nabori čipov so resnično prizadeti, katere nabore čipov je mogoče ogroziti na daljavo in kaj točno je mogoče storiti za ublažitev ranljivega če bi ga uporabnik dobil v lasti, sem se odločil, da ga objavim tukaj za prihodnjo javno referenco.
Preprečevanje varnostnih ranljivosti iz Intelove tehnologije aktivnega upravljanja v sistemih Pre-Nehalem
Intel Management Engine je bil predstavljen z naborom čipov Intel Q965 in je prisoten v naslednjih naborih čipov Q35 in P/G/GM/Q45, ki so bili predstavljeni v letih 2006, 2007 oziroma 2008. Ima popoln dostop do vmesnika procesorja, krmilnika DRAM, notranjega grafičnega krmilnika, grafičnih vmesnikov in vozlišča I/O Controller, vendar lahko pošilja in prejema podatke samo po omrežju, če matična plošča podpira Intel vPro ali natančneje Intel Active Management Tehnologija (sama podmnožica vPro). Intel ME se ne sme zamenjevati z Intel AMT, saj se lahko samo AMT poveže z vgrajenim krmilnikom omrežnega vmesnika, ki ga je izdelal Intel, in tako predstavlja varnostno tveganje. ME in njegova podskupina vPro / AMT sta bila kasneje prenesena na mobilne platforme prek Centrino Pro in kasnejšega Centrino 2 vPro v letih 2007 oziroma 2008.
AMT tudi ne smemo zamenjevati z odprtim standardnim formatom opozoril, saj je ASF odvisen od operacijskega sistema prek programske opreme, ne more posredovati enake širine podatkov, ni ekskluziven za Q965+ in ne more delovati, ko je sistem izklopljen.
V mobilnih sistemih je AMT podprt samo, če je sistem označen kot združljiv s Centrino Pro ali Centrino 2 vPro. V namiznih sistemih je vPro in s tem AMT podprt le, če matična plošča vsebuje nabore čipov poslovnega razreda Q965, Q35 ali Q45, ki jih je mogoče prepoznati po natisnjeni številki modela ICH, sicer splošno znanem kot južni most (glej na velik čip z blagovno znamko Intel na sistemski matični plošči):
82801HO (Q965, Digitalna pisarna, vsebuje ME in AMT)
82801IO (Q35, Digitalna pisarna, vsebuje ME in AMT)
82801JO (Q45, Digitalna pisarna, vsebuje samo AMT)
Vse namizne plošče, ki temeljijo na Core 2 Solo, Core 2 Duo, Core 2 Quad in Core 2 Extreme, ki nimajo zgornjih ICH čipov, nimajo AMT, saj vPro / AMT (kot tudi ME na naborih čipov Q965 in Q35) niso vgrajeni v katere koli namizne nabore čipov brez predpone oznake 'Q', zaradi česar je ME na naborih čipov P/G/GM45 domnevno nežen.
Druga možnost je, da mei-amt-check ( https://github.com/mjg59/mei-amt-check ) se lahko uporablja v sistemih Linux za ugotavljanje prisotnosti ME in AMT. Če se modul 'mei_me' ob zagonu ne naloži samodejno, potem sistemu manjka ME in s tem razširitev AMT, zato ne potrebuje ročnega izogibanja.
Poleg tega lahko uporabnik tudi tečels / dev | prijem zše hitreje preveriti prisotnost ME. V primeru, da se ukaz vrnemajain s tem potrjuje prisotnost ME, ta metoda žal še vedno ne more preveriti prisotnosti AMT, medtem ko bo za končni zaključek potrebna uporaba prej omenjenega orodja mei-amt-check.
Čeprav je bil ME predstavljen z naborom čipov Q965, se je AMT predstavil nekoliko prej na sistemih, ki temeljijo na 945 z Intel 82573E Gigabit Ethernet Controller, kar je mogoče potrditi zlspci | grep Ethernet, medtem ko bi veljali naslednji ukrepi za ublažitev.
Kot preventivni ukrep na prizadetih čipih, ki običajno temeljijo na Q, onemogočite integrirano NIC prek sistemskega BIOS-a in jo zamenjajte z alternativnim omrežnim vmesnikom, ki ne vsebuje osrednjega NIC čipa, ki ga je zasnoval Intel, kar bo preprečilo AMT (in morda ME na sistemih P55 in novejših) od komunikacije z internetom, ker vsebuje samo gonilnike za vgrajeno NIC (od P55). Primeri vključujejo adapterje USB Wi-Fi, ki niso Intelovi, adapterji USB Ethernet in notranje omrežne kartice PCI ali PCIe. To dejanje lahko tudi učinkovito povzroči, da sta ME in AMT v ustreznih sistemih domnevno benigna.
Kot pri sistemih, ki temeljijo na Core 2, se zdi, da je vPro / AMT prisoten samo v sistemih, ki temeljijo na Core iX, s čipi s predpono Q. Vendar trenutno ni znano, kakšno točno razmerje ima ME z NIC vseh naborov čipov, ki temeljijo na Core iX, in kako se razlikuje od razmerja z nabori čipov, ki temeljijo na Core 2, v prejšnjih različicah. Zato so NIC na sistemih, ki temeljijo na Nehalemu in novejših, privzeto potencialno nevarni brez ročnega izogibanja z alternativno strojno opremo.
Opombe o varnostnem procesorju platforme AMD
oz PSP ima popoln dostop do vseh komponent strojne opreme, tako kot pri ME.
oz PSP se nahaja izključno na CPU matrici, medtem ko se ME nahaja na južnem mostu matične plošče.
oz Zadnji varni CPE-ji so vse v družini FX (Bulldozer), ki uporabljajo vtičnico AM3+ CPU.
oz Najhitrejši FX CPU je FX-9590 / overclockiran FX-8370. Matična plošča mora imeti čipset FX990 za najboljšo zmogljivost.
Viri
Libreboot – Pogosto zastavljena vprašanja
Intel Management Engine - Wikipedia
en.wikipedia.orgIntel Active Management Technology - Wikipedia
en.wikipedia.orgRazličice Intel AMT - Wikipedia
en.wikipedia.orgINTEL-SA-00112
INTEL-SA-00112 www.intel.comIntel VPro in optična omrežja
Rešitev: Pozdravljeni! Preveril sem z nekaj našimi Intelovimi inženirji in ugotovil sem naslednje: vPro uporablja integrirano omrežno kartico. trenutno community.spiceworks.com Izvajanje testov na različnih sistemih z različnimi nabori čipov Nazadnje urejeno: 11. julij 2021RogerWilco6502
- 12. januar 2019
- Dežela mladih
- 15. november 2020
Ametist1 je rekel: Varno.Ok, hvala za informacije. Ne vem, kje sem dobil, da so bili novejši sistemi varni. Zdi se, da bom moral še nekaj prebrati. >.> D
Nehalem in novejši sistemi trpijo tudi zaradi ranljivosti ME.
Intel Management Engine - Wikipedia
en.m.wikipedia.org
destruktor
- 21. oktober 2013
- 15. november 2020
RogerWilco6502 je rekel: Ok, hvala za informacije. Ne vem, kje sem dobil, da so bili novejši sistemi varni. Zdi se, da bom moral še nekaj prebrati. >.>Novejše ni varno z Intel ME, saj ni bilo z AMT (če ne upoštevate morebitnih težav z zasebnostjo pri obeh). Vedno, kadar je mogoče, odstranim ME na mojem Thinkpadu in manj jih ima te možnosti, razen pri Thinkpadu (razen nekaterih prenosnikov ali namiznih računalnikov System76), kolikor vem, ni veliko popravkov ali raziskav.
Tratkazir_the_1st
- 11. februar 2020
- Rusija, Moskovska regija
- 15. november 2020
RogerWilco6502
- 12. januar 2019
- Dežela mladih
- 15. november 2020
dextructor je rekel: Novejše ni varno z Intel ME, kot ni bilo z AMT (če ne upoštevate morebitnih težav z zasebnostjo obeh). Vedno, kadar je mogoče, odstranim ME na mojem Thinkpadu in manj jih ima te možnosti, razen pri Thinkpadu (razen nekaterih prenosnikov ali namiznih računalnikov System76), kolikor vem, ni veliko popravkov ali raziskav.Torej imajo ThinkPad načine za onemogočanje ME? Ali bi bila to možnost vdelane programske opreme?
Tratkazir_the_1st je rekel: Teme z IntelME ustvarjajo plamen Reakcije:davisdelo in sparty411Ametist 1
- 28. oktober 2015
- 15. november 2020
Eriamjh1138@DAN je rekel: Ali lahko moderator to premakne iz foruma PPC?Ker velja tudi za zgodaj Intel Maci, ki so tukaj našli (začasen?) dom, ni povsem izven teme.Reakcije:MacFoxG4, Project Alice, RogerWilco6502 in 2 drugi D
destruktor
- 21. oktober 2013
- 15. november 2020
RogerWilco6502 je rekel: Torej imajo ThinkPad načine za onemogočanje ME? Ali bi bila to možnost vdelane programske opreme?Ker je ME zasnovan tako, da je vgrajen čim bližje nekaterim funkcijam, bi nekateri rekli, da samo zamenjava luknje BIOS-a ali (U)EFI z nekaj več možnostmi, kot sta Coreboot ali Libreboot, da 'varno odstranite ME', ker nekateri od teh 'popravkov' samo onemogočite ali obdržite v skoraj 'nefunkcionalnem' stanju. Pri sodobnih procesorjih x86 (bodisi AMD ali Intel) je torej treba izbrati svoj strup, ker imajo te ranljivosti ali vohunsko programsko opremo
https://coreboot.org/status/board-status.html Nazadnje urejeno: 15. november 2020Reakcije:RogerWilco6502 in Ametist1
z970
Originalni plakat
- 2. junij 2017
- 01000101 01100001 01110010 01110100 01101000
@vddrnnr Ob predpostavki, da je Apple uporabil standardne revizije Intel ME, bi lahko razumno domnevali, da potencialni napadalci ne morejo infiltrirati sistemov brez naborov čipov Intel NIC. Vendar je bilo to potrjeno samo za vPro / AMT, ne pa tudi za ME (zlasti na Nehalemu in novejših).
- 15. november 2020
Pri uporabi uveljavljenih informacij za računalnike Mac bi lahko vsak lahko sestavil ta seznam in ga dodal v Wikipost za referenčne namene.
Vendar se zdi, da je prva povezava, ki jo je objavil @Tratkazir_the_1st, zelo koristna v zvezi s tem, pod pogojem, da je preverjena z uporabniškim testiranjem. Žalostno pa je, da ne omenja natančno, kdaj so se te prakse za večinoma nevtraliziranje ME OOB začele uporabljati po uvedbi ME in AMT leta 2006 ...
@RogerWilco6502 @Amethyst1 Če matična plošča ThinkPad X40 ni združena z gigabitnim ethernetnim krmilnikom Intel 82573E, je res varna, saj je dve leti pred vgradnjo ME v mobilne naprave od leta 2007.
In sistemi Core 2 Duo, ki temeljijo na 965 in P35, niso prizadeti, če ne vključujejo vPro (ali v tem primeru Centrino Pro / Centrino 2 vPro na osnovi 965 in P45, pri čemer je slednji lahko prizadet tudi brez vPro na osnovo i45).
@RogerWilco6502 Za pojasnitev, Nehalem in novejši sistemi niso zajeti tako obsežno kot sistemi Core 2, ker od ME različice 6.0 v prvih sistemih Core i7 (Nehalem) ME ni le tesneje integriran v preostali sistem, vendar skupaj s popolnim pomanjkanjem kakršne koli dokumentacije, ki jo je zagotovil Intel, ni popolnoma znano, kaj lahko ME sam naredi brez AMT. Takrat bi samo začeli uporabljati alternativne omrežne adapterje, da bi sistem zaklenili kot varno.
Na splošno so bili sistemi Core 2 v tem pogledu varnejši, saj je bil ME običajno vključen samo v nabore čipov, ki podpirajo vPro, glede na to, kar lahko zberem iz raziskav in preverjanja (in ne uradne dokumentacije, z dovoljenjem Intela). To je del, kjer stvari niso bile tako tesno povezane; če vPro / AMT ni bil prisoten v sistemu, potem tudi ME ni bilo treba vključiti, vsaj na naborih čipov 965 in P35 (2006 / 2007).
Nato se je zdelo, da so ME začeli združevati v nabore čipov P45 ne glede na prisotnost AMT, kar se prav tako prilega oknu 2008. Vendar ME na naborih čipov P45 ni bil ranljiv za SA-00112 brez prisotnosti AMT, kar kaže na to, da ME ni imel nobenih omrežnih zmogljivosti in je zahteval AMT za to sposobnost (ali da bi bil grožnja) na naborih čipov P45. Po drugi strani, čeprav vsi sistemi ME 6.0+ (Nehalem) ne vključujejo AMT, so še vedno ranljivi za prej omenjeni SA-00112, ne glede na to, ali je AMT prisoten ali omogočen.
Kljub temu bi lahko tudi logično trdili, da sam ME 6.0+ v sistemih Nehalem in novejših teoretično ni nič bolj zmogljiv kot prejšnje različice v sistemih Core 2. Če je celotna premisa AMT omogočiti omrežno povezovanje in oddaljeno konfiguracijo ME, kakšen bi bil potem smisel vključitve omrežnih zmogljivosti v samo ME? Edini zadržek, ki ga imam do tega trenutka, je prej omenjena razlika v SA-00112, za katero se skoraj zdi, da nakazuje, da je ME v Nehalemu in višje pridobil nekaj lastnih omrežnih zmogljivosti, ne glede na prisotnost AMT. Žal se zdi, da trenutno ni na voljo nobenih dokazov, ki bi ovrgli to teorijo.
To je smešno zapletena tema in mejna zajčja luknja z zamegljenimi potezami. Samo tedne sem potreboval, da sem vse to obdelal. Oprostili bi vam, če bi v več trenutkih zamenjali eno stvar z drugo.
Morda bi bilo koristno vključiti kakšen primerjalni graf za lažje sklicevanje ...
@Eriamjh1138@DAN To sem objavil samo tukaj, predvsem zato, ker sem vedel, da bi nekateri radi vedeli. V nasprotnem primeru bi verjetno uporabil povsem drugo spletno mesto. Nazadnje urejeno: 15. november 2020Reakcije:Raging Dufus, RogerWilco6502 in destructor
Ametist 1
- 28. oktober 2015
- 15. november 2020
z970mp je rekel: Če matična plošča ThinkPad X40 ni združena z Intel 82573E Gigabit Ethernet krmilnikom,Ima 82541.Reakcije:RogerWilco6502
RogerWilco6502
- 12. januar 2019
- Dežela mladih
- 15. november 2020
dextructor je dejal: Ker je ME zasnovan tako, da je vgrajen čim bližje nekaterim funkcijam, bi nekateri rekli, da samo zamenjava luknje BIOS-a ali (U)EFI s kakšno dodatno možnostjo, kot sta Coreboot ali Libreboot, da 'varno odstranite ME', ker nekatere od teh 'popravki' samo onemogočijo ali ohranijo skoraj 'nefunkcionalno' stanje. Pri sodobnih procesorjih x86 (bodisi AMD ali Intel) je torej treba izbrati svoj strup, ker imajo te ranljivosti ali vohunsko programsko opremoAh, ok. Hvala za razlago. Te podatke bom upošteval.
https://coreboot.org/status/board-status.html
z970mp je dejal: Če matična plošča ThinkPad X40 ni združena z Intel 82573E Gigabit Ethernet krmilnikom, je res varna, saj je dve leti pred vgradnjo ME v mobilne naprave od leta 2007.Ah, ok. Hvala za to poglobljeno razširitev. Vsekakor bom to moral še veliko raziskati >.>
In sistemi Core 2 Duo, ki temeljijo na 965 in P35, niso prizadeti, če ne vključujejo vPro (ali v tem primeru Centrino Pro / Centrino 2 vPro na osnovi 965 in P45, pri čemer je slednji lahko prizadet tudi brez vPro na osnovo i45).
Da bi pojasnili, Nehalem in novejši sistemi niso zajeti tako obsežno kot sistemi Core 2, ker od ME različice 6.0 v prvih sistemih Core i7 (Nehalem) ME ni le tesneje integriran v preostali sistem, ampak tudi povezan s popolnim pomanjkanjem kakršne koli dokumentacije, ki jo je zagotovil Intel, ni popolnoma znano, kaj lahko ME sama stori brez AMT. Takrat bi samo začeli uporabljati alternativne omrežne adapterje, da bi sistem zaklenili kot varno.
Na splošno so bili sistemi Core 2 v tem pogledu varnejši, saj je bil ME običajno vključen samo v nabore čipov, ki podpirajo vPro, glede na to, kar lahko zberem iz raziskav in preverjanja (in ne uradne dokumentacije, z dovoljenjem Intela). To je del, kjer stvari niso bile tako tesno povezane; če vPro / AMT ni bil prisoten v sistemu, potem tudi ME ni bilo treba vključiti, vsaj na naborih čipov 965 in P35 (2006 / 2007).
Nato se je zdelo, da so ME začeli združevati v nabore čipov P45 ne glede na prisotnost AMT, kar se prav tako prilega oknu 2008. Vendar ME na naborih čipov P45 ni bil ranljiv za SA-00112 brez prisotnosti AMT, kar kaže na to, da ME ni imel nobenih omrežnih zmogljivosti in je zahteval AMT za to sposobnost (ali da bi bil grožnja) na naborih čipov P45. Po drugi strani, čeprav vsi sistemi ME 6.0+ (Nehalem) ne vključujejo AMT, so še vedno ranljivi za prej omenjeni SA-00112, ne glede na to, ali je AMT prisoten ali omogočen.
Kljub temu bi lahko tudi logično trdili, da sam ME 6.0+ v sistemih Nehalem in novejših teoretično ni nič bolj zmogljiv kot prejšnje različice v sistemih Core 2. Če je celotna premisa AMT omogočiti omrežno povezovanje in oddaljeno konfiguracijo ME, kakšen bi bil potem smisel vključitve omrežnih zmogljivosti v samo ME? Edini zadržek, ki ga imam do tega trenutka, je prej omenjena razlika v SA-00112, za katero se skoraj zdi, da nakazuje, da je ME v Nehalemu in višje pridobil nekaj lastnih omrežnih zmogljivosti, ne glede na prisotnost AMT. Žal se zdi, da trenutno ni na voljo nobenih dokazov, ki bi ovrgli to teorijo.
To je smešno zapletena tema in mejna zajčja luknja z zamegljenimi potezami. Samo tedne sem potreboval, da sem vse to obdelal. Oprostili bi vam, če bi v več trenutkih zamenjali eno stvar z drugo.
Morda bi bilo koristno vključiti kakšen primerjalni graf za lažje sklicevanje ...Reakcije:destruktor
z970
Originalni plakat
- 2. junij 2017
- 01000101 01100001 01110010 01110100 01101000
@RogerWilco6502 Vso srečo...
- 15. november 2020
Reakcije:RogerWilco6502 in destruktor
RogerWilco6502
- 12. januar 2019
- Dežela mladih
- 16. november 2020
z970mp je rekel: @RogerWilco6502 Vso srečo ...Hvala, zdi se, da je veliko informacij, ki jih je treba prebrati >.>Reakcije:Ametist 1
sparty411
- 13. november 2018
Druga možnost je, da se preprosto izognete Intelu kot celoti in uporabite stroj, ki temelji na AMD. Kolikor vem, je vsaka plošča prek AM3+ brez PSP. Namesto uporabe starodavnih procesorjev iz obdobja 2 jedra lahko uporabite 8-jedrni FX 8350 na relativno sodobni platformi.
- 16. november 2020
Reakcije:Projekt Alice in Ametist1
z970
Originalni plakat
- 2. junij 2017
- 01000101 01100001 01110010 01110100 01101000
@sparty411 AMD in njihov PSP še nisem analiziral. Ko to storim, ne bo izključeno videti še en vir informacij, kot je ta.
- 16. november 2020
Vendar pa bom verjetno moral poiskati še kje drugje poleg tega foruma, da bi ga postavil. Kot je, je pomembnost te teme za podforum spodbudila k temu.Projekt Alice
- 13. julij 2008
- Post Falls, ID
Ali bi bili Maci 2009–2010 večinoma izvzeti iz tega, ker uporabljajo nabor čipov nvidia, ne intel? Razen Mac Pro so imeli drugi Maci nvidia čipset.
- 16. november 2020
Reakcije:RogerWilco6502
z970
Originalni plakat
- 2. junij 2017
- 01000101 01100001 01110010 01110100 01101000
@Projekt Alice Teoretično, da. Najprej bi jih bilo treba preveriti prilspci | grep gostiteljinls / dev | prijem zbiti pa popolnoma prepričan.
- 16. november 2020
Reakcije:destructor in RogerWilco6502
B S magnet
- 5. december 2018
- odpovedana dežela severnega otoka želv
MODI:
- 2. april 2021
Ali lahko to premaknete na forum Early Intel? Hvala vam!Reakcije:z970 in davisdelo
Macbookprodude
- 1. januar 2018
- ZDA
Zakaj je to tukaj? Ali ne bi to moralo biti v razdelku intel mac???
- 2. april 2021
B S magnet
- 5. december 2018
- odpovedana dežela severnega otoka želv
- 2. april 2021
Macbookprodude je rekel: Zakaj je to tukaj? Ali ne bi to moralo biti v razdelku intel mac???
Če upoštevate prvotni datum objave, je ta pred nastankom foruma zgodnjih računalnikov Intel Mac.Reakcije:RogerWilco6502, Amethyst1, AL1630 in še 1 oseba
z970
Originalni plakat
- 2. junij 2017
- 01000101 01100001 01110010 01110100 01101000
Dodan opis o varnostnem procesorju platforme, ki je AMD-jev ekvivalent Intel ME.
- 11. julij 2021
Priljubljene Objave