- Status
- Det første indlæg i denne tråd er et WikiPost og kan redigeres af alle med de passende tilladelser. Dine redigeringer vil være offentlige.
z970
Original plakat- 2. juni 2017
- 01000101 01100001 01110010 01110100 01101000
- 14. november 2020
Som med en tidligere Wiki, jeg har udarbejdet, skrev jeg i første omgang følgende information med den hensigt, at den skulle bruges som en personlig reference. Men i betragtning af hvordan der tidligere har været eksempler, hvor denne særlige gruppe mennesker har udtrykt interesse og bekymring for emnet ( https://forums.macrumors.com/thread...y-privacy-issues-on-intel-based-macs.2193645/ , og på en semi-relateret note, https://forums.macrumors.com/ tråd...n-the-new-announcements.2267073/post-29238209 ) , sammen med den kendsgerning, at der, så vidt jeg er bekendt, i øjeblikket ikke eksisterer nogen centraliseret informationsressource på internettet, der beskriver, hvilke chipsæt der virkelig er berørt, hvilke chipsæt der kan fjernkompromitteres, og hvad der præcist kan gøres for at afbøde en sårbar chipset skulle brugeren komme i besiddelse af et, har jeg besluttet at offentliggøre det her til fremtidig offentlig reference.
Forebyggelse af sikkerhedssårbarheder fra Intel Active Management Technology inden for Pre-Nehalem-systemer
Intel Management Engine blev introduceret med Intel Q965-chipsættet og er til stede i de efterfølgende Q35- og P/G/GM/Q45-chipsæt, der hver blev introduceret i henholdsvis 2006, 2007 og 2008. Den har fuld adgang til processorgrænsefladen, DRAM-controlleren, intern grafikcontroller, grafikgrænseflader og I/O Controller Hub, men kan kun sende og modtage data over netværket, hvis bundkortet understøtter Intel vPro, eller mere specifikt Intel Active Management Teknologi (i sig selv en delmængde af vPro). Intel ME bør ikke forveksles med Intel AMT, da kun AMT er i stand til at interagere med den Intel-fremstillede indbyggede Network Interface Controller og dermed udgøre en sikkerhedsrisiko. ME og dets vPro/AMT-undersæt blev senere overført til mobile platforme via Centrino Pro og den efterfølgende Centrino 2 vPro i henholdsvis 2007 og 2008.
AMT må heller ikke forveksles med det åbne Alert Standard Format, da ASF er OS-afhængig via software, ikke kan overføre samme bredde af data, ikke er eksklusivt for Q965+ og ikke kan køre, når systemet er slukket.
På mobilsystemer understøttes AMT kun, hvis systemet er mærket som kompatibelt med Centrino Pro eller Centrino 2 vPro. På desktop-systemer understøttes vPro, og derfor AMT, kun, hvis bundkortet indeholder Q965, Q35 eller Q45 business-class chipsæt, som kan identificeres ved det trykte modelnummer på ICH, ellers almindeligvis kendt som southbridge (se til den store Intel-mærkede chip på systemets bundkort):
82801HO (Q965, Digital Office, indeholder både ME og AMT)
82801IO (Q35, Digital Office, indeholder både ME og AMT)
82801JO (Q45, Digital Office, indeholder kun AMT)
Alle Core 2 Solo, Core 2 Duo, Core 2 Quad og Core 2 Extreme-baserede desktopboards, der mangler ovenstående ICH-chips, har ikke AMT, da vPro/AMT (såvel som ME på Q965 og Q35-chipsæt) ikke er bygget. ind i alle desktop-chipsæt, der er fri for 'Q'-betegnelsespræfikset, hvilket gør ME på P/G/GM45-chipsæt som formodentlig godartet.
Alternativt, mei-amt-check ( https://github.com/mjg59/mei-amt-check ) kan bruges på Linux-systemer til at bestemme tilstedeværelsen af ME og AMT. Hvis 'mei_me'-modulet ikke automatisk indlæses ved opstart, så mangler systemet ME, og i forlængelse heraf AMT, og kræver således ikke manuel omgåelse.
Yderligere kan brugeren også kørels / dev | greb medfor at kontrollere tilstedeværelsen af ME på en endnu hurtigere måde. I tilfælde af at kommandoen vender tilbageKanog dermed bekræfter tilstedeværelsen af ME, kan denne metode desværre stadig ikke kontrollere tilstedeværelsen af AMT, hvorimod brug af det førnævnte mei-amt-check-værktøj vil være nødvendigt for at drage en endelig konklusion.
Selvom ME blev introduceret med Q965-chipsættet, debuterede AMT lidt på forhånd på 945-baserede systemer med Intel 82573E Gigabit Ethernet-controlleren, hvilket kan bekræftes medlspci | grep Ethernet, hvorimod følgende afhjælpningstrin ville gælde.
Som en forebyggende foranstaltning på berørte, normalt Q-baserede chipsæt, skal du deaktivere det integrerede NIC via system-BIOS og erstatte det med et alternativt netværksinterface, der ikke indeholder en central NIC-chip designet af Intel, hvilket vil forhindre AMT (og potentielt ME sig selv på P55-systemer og opefter) fra at kommunikere med internettet, fordi den kun indeholder drivere til det indbyggede NIC (fra P55). Eksempler omfatter ikke-Intel USB Wi-Fi-adaptere, USB Ethernet-adaptere og interne PCI- eller PCIe-netværkskort. Denne handling kan også effektivt gøre ME og AMT på gældende systemer som formodentlig godartede.
Som med Core 2-baserede systemer ser vPro / AMT ud til kun at være til stede på Core iX-baserede systemer med Q-præfiks chipsæt. Det er dog i øjeblikket uvist, hvilket præcist forhold ME'en har til NIC for alle Core iX-baserede chipsæt, og hvordan det adskiller sig fra forholdet til Core 2-baserede chipsæt i tidligere versioner. Derfor er NIC'er på Nehalem-baserede systemer og opefter potentielt usikre som standard uden manuel omgåelse gennem alternativ hardware.
Bemærkninger til AMD Platform Security Processor
eller PSP'en har fuld adgang til alle hardwarekomponenter, som med ME.
eller PSP'en er udelukkende placeret på CPU-matricen, hvorimod ME er placeret på bundkortets sydbro.
eller Sidste sikre CPU'er er alt i FX (Bulldozer)-familien, der bruger AM3+ CPU-socket.
eller Hurtigste FX CPU er FX-9590 / overclocket FX-8370. Bundkort bør have FX990-chipsættet for den bedste ydeevne.
Ressourcer
Libreboot – ofte stillede spørgsmål
Intel Management Engine - Wikipedia
en.wikipedia.org
Intel Active Management Technology - Wikipedia
en.wikipedia.orgIntel AMT-versioner - Wikipedia
en.wikipedia.org
INTEL-SA-00112
INTEL-SA-00112 www.intel.comIntel VPro og fibernetværk
Løsning: Hej! Jeg tjekkede med et par af vores Intel-ingeniører, og her er, hvad jeg fandt ud af: vPro bruger den integrerede netværksadapter. I øjeblikket community.spiceworks.com Kører test på forskellige systemer med forskellige chipsæt Sidst redigeret: 11. juli 2021RogerWilco6502
- 12. januar 2019
- De unges land
- 15. november 2020
Amethyst1 sagde: Sikker.Ok, tak for infoen. Jeg ved ikke, hvor jeg fik, at nyere systemer var sikre. Det ser ud til, at jeg bliver nødt til at læse mere. >.> D
Nehalem og nyere systemer lider også af ME-sårbarheder.
Intel Management Engine - Wikipedia
en.m.wikipedia.org
ødelægger
- 21. oktober 2013
- 15. november 2020
RogerWilco6502 sagde: Ok, tak for informationen. Jeg ved ikke, hvor jeg fik, at nyere systemer var sikre. Det ser ud til, at jeg bliver nødt til at læse mere. >.>Nyere er ikke sikkert med Intel ME, da det ikke var med AMT (hvis du ikke overvejer begges potentielle privatlivsproblemer). Jeg fjerner altid, når det er muligt, ME'en på min Thinkpad's og færre har disse muligheder, uden for Thinkpad (undtagen nogle System76 notebooks eller desktops) er der så vidt jeg ved ikke mange tweaks eller research.
Tratkazir_den_1
- 11. februar 2020
- Rusland, Moskva-regionen
- 15. november 2020
RogerWilco6502
- 12. januar 2019
- De unges land
- 15. november 2020
dextructor sagde: Nyere er ikke sikkert med Intel ME, da det ikke var med AMT (hvis du ikke overvejer begges potentielle privatlivsproblemer). Jeg fjerner altid, når det er muligt, ME'en på min Thinkpad's og færre har disse muligheder, uden for Thinkpad (undtagen nogle System76 notebooks eller desktops) er der så vidt jeg ved ikke mange tweaks eller research.Så ThinkPads har måder at deaktivere ME? Ville det være en firmware mulighed?
Tratkazir_the_1st sagde: Emner med IntelME er flammegenererende Reaktioner:davisdelo og sparty411Ametyst 1
- 28. oktober 2015
- 15. november 2020
Eriamjh1138@DAN sagde: Kan en moderator flytte dette ud af PPC-forummet?Da det også gælder for tidlig Intel Macs, som på en måde har fundet et (midlertidigt?) hjem her, det er ikke helt off-topic.Reaktioner:MacFoxG4, Project Alice, RogerWilco6502 og 2 andre D
ødelægger
- 21. oktober 2013
- 15. november 2020
RogerWilco6502 sagde: Så ThinkPads har måder at deaktivere ME? Ville det være en firmware mulighed?Som ME er den konstrueret til at være indlejret så meget som tæt på nogle funktioner, vil nogle sige, at man kun erstatter hullets BIOS eller (U)EFI med nogle flere muligheder som Coreboot eller Libreboot for at 'sikkert fjerne ME', fordi nogle af disse 'patches' kun deaktivere eller holde i næsten 'ikke-funktionel' tilstand. Så med de moderne x86 CPU'er (enten AMD eller Intel) er det at vælge din gift, fordi de har disse sårbarheder eller spyware
https://coreboot.org/status/board-status.html Sidst redigeret: 15. november 2020Reaktioner:RogerWilco6502 og Amethyst1
z970
Original plakat
- 2. juni 2017
- 01000101 01100001 01110010 01110100 01101000
@vddrnnr Forudsat at Apple har brugt standard Intel ME-revisioner, ville man med rimelighed antage, at systemer, der mangler Intel NIC-chipsæt, ikke kan infiltreres af potentielle angribere. Dette blev dog kun bekræftet for vPro/AMT, ikke selve ME (især på Nehalem og opefter).
- 15. november 2020
Når man anvender de etablerede oplysninger på Mac'er, kan enhver potentielt kompilere denne liste og tilføje den til Wikipost til referenceformål.
Det første link indsendt af @Tratkazir_the_1st ser dog ud til at være meget nyttigt i denne henseende, forudsat at det er verificeret med brugertest. Frustrerende nok nævner den dog ikke præcis, hvornår disse praksisser for det meste at neutralisere ME OOB begyndte at gå på plads efter ME og AMT blev introduceret i 2006...
@RogerWilco6502 @Amethyst1 Hvis ThinkPad X40-bundkortet ikke er parret med Intel 82573E Gigabit Ethernet-controlleren, er det faktisk sikkert, da det går før ME-inkorporering i mobile enheder siden 2007 med to år.
Og 965- og P35-baserede Core 2 Duo-systemer påvirkes ikke, hvis de ikke inkluderer vPro (eller i dette tilfælde 965-baserede Centrino Pro / P45-baserede Centrino 2 vPro, hvoraf sidstnævnte kan blive påvirket selv uden vPro pga. til i45-basen).
@RogerWilco6502 For at tilføje præcisering er Nehalem og nyere systemer ikke dækket så omfattende som Core 2-systemer, fordi fra og med ME version 6.0 i de første Core i7-systemer (Nehalem), er ME ikke kun tættere integreret i resten af systemet, men sammen med den fuldstændige mangel på dokumentation, som Intel har leveret, er det ikke fuldt ud kendt, hvad ME selv kan gøre uden AMT. På hvilket tidspunkt ville du bare begynde at bruge alternative netværksadaptere til at låse systemet ned som en fejlsikker.
Generelt var Core 2-systemer sikrere i denne henseende, fordi, ud fra hvad jeg kan få ud af forskning og verifikation (og ikke officiel dokumentation, med tilladelse fra Intel), var ME typisk kun inkluderet i chipsæt, der understøttede vPro. Dette er en del af, hvor tingene ikke var så tæt integreret; hvis vPro / AMT ikke var til stede på systemet, så var der heller ikke behov for at inkludere ME'en, i det mindste på 965 og P35 chipsæt (2006 / 2007).
Derefter så de ud til at være begyndt at samle ME i P45-chipsæt uanset tilstedeværelsen af AMT, som også passer ind i 2008-vinduet. ME på P45-chipsæt var dog ikke sårbare over for SA-00112 uden tilstedeværelsen af AMT, hvilket tyder på, at ME manglede nogen netværkskapacitet og krævede AMT for denne evne (eller for at være en trussel) på P45-chipsæt. På den anden side, selvom ikke alle ME 6.0+ (Nehalem) systemer inkluderer AMT, er de stadig sårbare over for den førnævnte SA-00112, uanset om AMT er til stede eller aktiveret.
Alligevel kan det også logisk argumenteres endnu, at selve ME 6.0+ i Nehalem-systemer og nyere teoretisk set ikke er bedre end de tidligere versioner i Core 2-systemer. Hvis hele AMT's forudsætning er at muliggøre netværksgrænseflader og fjernkonfiguration af ME'en, hvad ville så være meningen med at inkludere netværkskapaciteter i ME'en selv? Det eneste forbehold, jeg har til dette punkt, er den førnævnte forskel i SA-00112, som næsten ser ud til at antyde, at ME selv i Nehalem og opefter fik nogle egne netværkskapaciteter, uanset tilstedeværelsen af AMT. Desværre ser der heller ikke ud til at være noget bevis på nuværende tidspunkt til at modbevise denne teori.
Det er et latterligt kompliceret emne, og grænseoverskridende kaninhul med slørede funktioner. Det tog mig uger bare at behandle alt dette. Du ville blive tilgivet for at forveksle en ting med en anden på flere tidspunkter.
Måske ville det være en fordel at inkorporere en slags sammenligningsgraf for lettere reference...
@Eriamjh1138@DAN Jeg postede kun dette her primært, fordi jeg vidste, at nogle ville have ønsket at vide det. Ellers ville jeg sandsynligvis have brugt en anden hjemmeside helt. Sidst redigeret: 15. november 2020Reaktioner:Raging Dufus, RogerWilco6502 og destructor
Ametyst 1
- 28. oktober 2015
- 15. november 2020
z970mp sagde: Hvis ThinkPad X40 bundkortet ikke er parret med Intel 82573E Gigabit Ethernet Controller,Den har en 82541.Reaktioner:RogerWilco6502
RogerWilco6502
- 12. januar 2019
- De unges land
- 15. november 2020
dextructor sagde: Som ME er den konstrueret til at blive indlejret så meget som tæt på nogle funktioner, vil nogle sige, at man kun erstatter hullets BIOS eller (U)EFI med nogle flere muligheder som Coreboot eller Libreboot for at 'sikkert fjerne ME', fordi nogle af disse 'patches' deaktiverer kun eller holder dem i næsten 'ikke-funktionel' tilstand. Så med de moderne x86 CPU'er (enten AMD eller Intel) er det at vælge din gift, fordi de har disse sårbarheder eller spywareÅh ok. Tak for forklaringen. Jeg vil tage disse oplysninger i betragtning.
https://coreboot.org/status/board-status.html
z970mp sagde: Hvis ThinkPad X40-bundkortet ikke er parret med Intel 82573E Gigabit Ethernet-controlleren, er det faktisk sikkert, da det går før ME-inkorporering i mobile enheder siden 2007 med to år.Åh ok. Tak for den dybdegående udvidelse. Jeg skal helt sikkert undersøge dette meget mere >.>
Og 965- og P35-baserede Core 2 Duo-systemer påvirkes ikke, hvis de ikke inkluderer vPro (eller i dette tilfælde 965-baserede Centrino Pro / P45-baserede Centrino 2 vPro, hvoraf sidstnævnte kan blive påvirket selv uden vPro pga. til i45-basen).
For at tilføje en præcisering er Nehalem og nyere systemer ikke dækket så omfattende som Core 2-systemer, fordi fra og med ME version 6.0 i de første Core i7-systemer (Nehalem), er ME ikke kun tættere integreret i resten af systemet, men koblet sammen. med den fuldstændige mangel på dokumentation, som Intel har leveret, er det ikke fuldt ud kendt, hvad ME selv kan gøre uden AMT. På hvilket tidspunkt ville du bare begynde at bruge alternative netværksadaptere til at låse systemet ned som en fejlsikker.
Generelt var Core 2-systemer sikrere i denne henseende, fordi, ud fra hvad jeg kan få ud af forskning og verifikation (og ikke officiel dokumentation, med tilladelse fra Intel), var ME typisk kun inkluderet i chipsæt, der understøttede vPro. Dette er en del af, hvor tingene ikke var så tæt integreret; hvis vPro / AMT ikke var til stede på systemet, så var der heller ikke behov for at inkludere ME'en, i det mindste på 965 og P35 chipsæt (2006 / 2007).
Derefter så de ud til at være begyndt at samle ME i P45-chipsæt uanset tilstedeværelsen af AMT, som også passer ind i 2008-vinduet. ME på P45-chipsæt var dog ikke sårbare over for SA-00112 uden tilstedeværelsen af AMT, hvilket tyder på, at ME manglede nogen netværkskapacitet og krævede AMT for denne evne (eller for at være en trussel) på P45-chipsæt. På den anden side, selvom ikke alle ME 6.0+ (Nehalem) systemer inkluderer AMT, er de stadig sårbare over for den førnævnte SA-00112, uanset om AMT er til stede eller aktiveret.
Alligevel kan det også logisk argumenteres endnu, at selve ME 6.0+ i Nehalem-systemer og nyere teoretisk set ikke er bedre end de tidligere versioner i Core 2-systemer. Hvis hele AMT's forudsætning er at muliggøre netværksgrænseflader og fjernkonfiguration af ME'en, hvad ville så være meningen med at inkludere netværkskapaciteter i ME'en selv? Det eneste forbehold, jeg har til dette punkt, er den førnævnte forskel i SA-00112, som næsten ser ud til at antyde, at ME selv i Nehalem og opefter fik nogle egne netværkskapaciteter, uanset tilstedeværelsen af AMT. Desværre ser der heller ikke ud til at være noget bevis på nuværende tidspunkt til at modbevise denne teori.
Det er et latterligt kompliceret emne, og grænseoverskridende kaninhul med slørede funktioner. Det tog mig uger bare at behandle alt dette. Du ville blive tilgivet for at forveksle en ting med en anden på flere tidspunkter.
Måske ville det være en fordel at inkorporere en slags sammenligningsgraf for lettere reference...Reaktioner:ødelægger
z970
Original plakat
- 2. juni 2017
- 01000101 01100001 01110010 01110100 01101000
@RogerWilco6502 Held og lykke...
- 15. november 2020
Reaktioner:RogerWilco6502 og destructor
RogerWilco6502
- 12. januar 2019
- De unges land
- 16. november 2020
z970mp sagde: @RogerWilco6502 Held og lykke...Tak, det ser ud til at være en masse information at gennemse >.>Reaktioner:Ametyst 1
sparty411
- 13. november 2018
Alternativt kunne man simpelthen undgå Intel som helhed og bruge en AMD baseret maskine. Så vidt jeg ved, er hvert board gennem AM3+ fri for PSP. I stedet for at bruge antikke core 2-æra-processorer, kunne du bruge en 8-core FX 8350 på en relativt moderne platform.
- 16. november 2020
Reaktioner:Projekt Alice og Ametyst1
z970
Original plakat
- 2. juni 2017
- 01000101 01100001 01110010 01110100 01101000
@sparty411 Jeg har endnu ikke analyseret AMD og deres PSP. Når jeg gør det, vil det ikke være udelukket at se en anden informationsressource som denne.
- 16. november 2020
Men jeg bliver sandsynligvis nødt til at finde et andet sted end dette forum at placere det i. Som det er, var dette emnes relevans for underforumet skubbe til det.Projekt Alice
- 13. juli 2008
- Post Falls, ID
Ville 2009-2010 Mac'erne for det meste være undtaget fra dette, da de bruger et nvidia-chipsæt, ikke intel? Med undtagelse af Mac Pro havde de andre Mac'er et nvidia-chipsæt.
- 16. november 2020
Reaktioner:RogerWilco6502
z970
Original plakat
- 2. juni 2017
- 01000101 01100001 01110010 01110100 01101000
@Projekt Alice Teoretisk set, ja. De skal først tjekkes medlspci | grep værtogls / dev | greb meddog for at være helt sikker.
- 16. november 2020
Reaktioner:destructor og RogerWilco6502
B S magnet
- 5. december 2018
- uafstået land på den nordlige Turtle Island
MODS:
- 2. april 2021
Kunne du flytte dette til Early Intels forum? Tak skal du have!Reaktioner:z970 og davisdelo
Macbook-produkt
- 1. januar 2018
- USA
Hvorfor er det her? Burde dette ikke være i intel mac sektionen ???
- 2. april 2021
B S magnet
- 5. december 2018
- uafstået land på den nordlige Turtle Island
- 2. april 2021
Macbookprodude sagde: Hvorfor er det her? Burde dette ikke være i intel mac sektionen ???
Hvis du noterer dig den oprindelige udsendelsesdato, går den forud for oprettelsen af Early Intel Macs-forummet.Reaktioner:RogerWilco6502, Amethyst1, AL1630 og 1 anden person
z970
Original plakat
- 2. juni 2017
- 01000101 01100001 01110010 01110100 01101000
Tilføjet en forklaring om Platform Security Processor, AMD's ækvivalent til Intel ME.
- 11. juli 2021
Populære Indlæg