- Estat
- El primer missatge d'aquest fil és un WikiPost i pot ser editat per qualsevol persona amb els permisos adequats. Les teves modificacions seran públiques.
z970
Cartell original- 2 de juny de 2017
- 01000101 01100001 01110010 01110100 01101000
- 14 de novembre de 2020
Igual que amb un wiki anterior que he compilat, inicialment vaig escriure la informació següent amb la intenció que s'utilitzi com a referència personal. Però, veient com hi ha hagut exemples passats en què aquest grup particular de persones ha expressat interès i preocupació pel tema ( https://forums.macrumors.com/thread...y-privacy-issues-on-intel-based-macs.2193645/ , i en una nota semi-relacionada, https://forums.macrumors.com/ fil...n-els-nous-anuncis.2267073/post-29238209 ) , juntament amb el fet que, pel que jo sé, actualment no existeix cap recurs d'informació centralitzada a Internet que detalli quins conjunts de xips es veuen realment afectats, quins conjunts de xips poden estar compromesos de manera remota i què es pot fer exactament per mitigar una situació vulnerable. Si l'usuari en té un, he decidit publicar-lo aquí per a una futura referència pública.
Prevenció de vulnerabilitats de seguretat de la tecnologia Intel Active Management dins de sistemes pre-Nehalem
L'Intel Management Engine es va introduir amb el chipset Intel Q965, i està present en els següents chipsets Q35 i P/G/GM/Q45, cadascun introduït el 2006, 2007 i 2008, respectivament. Té accés complet a la interfície del processador, al controlador DRAM, al controlador gràfic intern, a les interfícies gràfiques i al concentrador del controlador d'E/S, però només pot enviar i rebre dades a la xarxa si la placa base és compatible amb Intel vPro, o més concretament Intel Active Management. Tecnologia (un subconjunt de vPro). L'Intel ME no s'ha de confondre amb Intel AMT, ja que només AMT és capaç de connectar-se amb el controlador d'interfície de xarxa a bord fabricat per Intel i, per tant, presenta un risc de seguretat. El ME i el seu subconjunt vPro / AMT es van traslladar posteriorment a plataformes mòbils mitjançant Centrino Pro i el posterior Centrino 2 vPro el 2007 i el 2008, respectivament.
Tampoc s'ha de confondre AMT amb el format estàndard d'alerta obert, ja que ASF depèn del sistema operatiu mitjançant programari, no pot transmetre la mateixa amplitud de dades, no és exclusiu del Q965+ i no pot funcionar quan el sistema està apagat.
Als sistemes mòbils, AMT només s'admet si el sistema es marca com a compatible amb Centrino Pro o Centrino 2 vPro. Als sistemes d'escriptori, vPro, i per tant AMT, només s'admet si la placa base conté els chipsets de classe empresarial Q965, Q35 o Q45, que es poden identificar pel número de model imprès de l'ICH, també conegut com a southbridge (consulteu al gran xip de la marca Intel de la placa base del sistema):
82801HO (Q965, Oficina digital, conté ME i AMT)
82801IO (Q35, Oficina digital, conté ME i AMT)
82801JO (Q45, Oficina digital, només conté AMT)
Totes les plaques d'escriptori basades en Core 2 Solo, Core 2 Duo, Core 2 Quad i Core 2 Extreme que no tenen els xips ICH anteriors no tenen AMT, ja que vPro / AMT (així com el ME dels chipsets Q965 i Q35) no estan construïts. en qualsevol chipset d'escriptori lliure del prefix de designació 'Q', fent que el ME dels chipsets P/G/GM45 sigui presumptament benigne.
Alternativament, mei-amt-check ( https://github.com/mjg59/mei-amt-check ) es pot utilitzar en sistemes Linux per determinar la presència de ME i AMT. Si el mòdul 'mei_me' no es carrega automàticament a l'arrencada, aleshores el sistema no té el ME i, per extensió, l'AMT, i per tant no requereix una elusió manual.
A més, l'usuari també pot executarls / dev | agafar ambper comprovar la presència del ME d'una manera encara més ràpida. En cas que torni l'ordremaigi, per tant, confirma la presència del ME, malauradament aquest mètode encara no pot comprovar la presència d'AMT, mentre que l'ús de l'esmentada eina mei-amt-check serà necessari per treure una conclusió final.
Tot i que el ME es va presentar amb el chipset Q965, AMT va debutar una mica abans en sistemes basats en 945 amb el controlador Intel 82573E Gigabit Ethernet, que es pot confirmar amblspci | grep Ethernet, mentre que s'aplicarien els passos de mitigació següents.
Com a mesura preventiva en els chipsets afectats, normalment basats en Q, desactiveu la NIC integrada a través de la BIOS del sistema i substituïu-la per una interfície de xarxa alternativa que no contingui un xip NIC central dissenyat per Intel, que impedirà AMT (i potencialment el ME). en sistemes P55 i posteriors) de comunicar-se amb Internet perquè només conté controladors per a la NIC integrada (a partir del P55). Alguns exemples inclouen adaptadors USB Wi-Fi que no siguin d'Intel, adaptadors USB Ethernet i targetes de xarxa internes PCI o PCIe. Aquesta acció també pot fer que ME i AMT en els sistemes aplicables siguin presumptament benignes.
Igual que amb els sistemes basats en Core 2, sembla que vPro / AMT només està present en sistemes basats en Core iX amb chipsets Q-prefix. Tanmateix, actualment es desconeix quina relació exacta té el ME amb la NIC de tots els chipsets basats en Core iX i com es diferencia de la seva relació amb els dels chipsets basats en Core 2 en versions anteriors. Per tant, les NIC dels sistemes basats en Nehalem i posteriors són potencialment insegurs per defecte sense una elusió manual mitjançant maquinari alternatiu.
Notes sobre el processador de seguretat de la plataforma AMD
o La PSP té accés complet a tots els components de maquinari, com amb el ME.
o El PSP es troba exclusivament a la matriu de la CPU, mentre que el ME es troba al pont sud de la placa base.
o Les darreres CPU segures són qualsevol cosa de la família FX (Bulldozer) que utilitza el sòcol de CPU AM3+.
o La CPU FX més ràpida és FX-9590 / FX-8370 overclockejada. La placa base hauria de tenir el chipset FX990 per obtenir el millor rendiment.
Recursos
Libreboot - Preguntes freqüents
Intel Management Engine - Viquipèdia
a.wikipedia.org
Tecnologia de gestió activa Intel - Viquipèdia
a.wikipedia.orgVersions d'Intel AMT - Viquipèdia
a.wikipedia.org
INTEL-SA-00112
INTEL-SA-00112 www.intel.comIntel VPro i xarxes de fibra
Solució: Hola! Ho vaig consultar amb un parell dels nostres enginyers d'Intel i això és el que vaig descobrir: vPro utilitza l'adaptador de xarxa integrat. Actualment community.spiceworks.com Execució de proves en diversos sistemes amb diferents chipsets Darrera edició: 11 de juliol de 2021RogerWilco6502
- 12 de gener de 2019
- Terra dels joves
- 15 de novembre de 2020
Amethyst1 va dir: Segur.D'acord, gràcies per la informació. No sé d'on vaig treure que els sistemes més nous eren segurs. Sembla que hauré de llegir més. >.> D
Nehalem i els sistemes més nous també pateixen vulnerabilitats ME.
Intel Management Engine - Viquipèdia
a.m.wikipedia.org
destructor
- Oct 21, 2013
- 15 de novembre de 2020
RogerWilco6502 va dir: D'acord, gràcies per la informació. No sé d'on vaig treure que els sistemes més nous eren segurs. Sembla que hauré de llegir més. >.>El més nou no és segur amb Intel ME com no ho era amb AMT (si no teniu en compte els possibles problemes de privadesa d'ambdós). Sempre elimino sempre que sigui possible el ME del meu Thinkpad i menys té aquestes opcions, fora del Thinkpad (excepte alguns ordinadors portàtils o ordinadors de sobretaula System76), que jo sàpiga, no hi ha molts retocs o investigacions.
Tratkazir_the_1r
- Feb 11, 2020
- Rússia, regió de Moscou
- 15 de novembre de 2020
RogerWilco6502
- 12 de gener de 2019
- Terra dels joves
- 15 de novembre de 2020
dextructor va dir: El més nou no és segur amb Intel ME com no ho era amb AMT (si no teniu en compte els possibles problemes de privadesa d'ambdós). Sempre elimino sempre que sigui possible el ME del meu Thinkpad i menys té aquestes opcions, fora del Thinkpad (excepte alguns ordinadors portàtils o ordinadors de sobretaula System76), que jo sàpiga, no hi ha molts retocs o investigacions.Així, els ThinkPads tenen maneres de desactivar el ME? Seria una opció de firmware?
Tratkazir_the_1st va dir: Els temes amb IntelME generen flama Reaccions:davisdelo i sparty411Ametista 1
- Oct 28, 2015
- 15 de novembre de 2020
Eriamjh1138@DAN va dir: Pot un moderador treure això del fòrum PPC?Ja que també s'aplica a d'hora Els Mac Intel, que han trobat una llar (temporal?) aquí, no són del tot fora del tema.Reaccions:MacFoxG4, Project Alice, RogerWilco6502 i 2 més D
destructor
- Oct 21, 2013
- 15 de novembre de 2020
RogerWilco6502 va dir: Així que els ThinkPads tenen maneres de desactivar el ME? Seria una opció de firmware?Com que el ME està dissenyat per incrustar-se tant com a prop d'algunes funcions, alguns dirien que només substituïu el forat BIOS o (U)EFI per alguna opció més com Coreboot o Libreboot per 'eliminar ME de manera segura' perquè alguns d'aquests 'pegats' només desactivar o mantenir en estat gairebé 'no funcional'. Així que amb les CPU modernes x86 (ja sigui AMD o Intel) cal triar el vostre verí perquè tenen aquestes vulnerabilitats o programari espia.
https://coreboot.org/status/board-status.html Última edició: 15 de novembre de 2020Reaccions:RogerWilco6502 i Amethyst1
z970
Cartell original
- 2 de juny de 2017
- 01000101 01100001 01110010 01110100 01101000
@vddrnnr Suposant que Apple hagi utilitzat revisions Intel ME comercials, es podria suposar raonablement que els possibles atacants no poden infiltrar-se en sistemes que no disposen de chipsets Intel NIC. Tanmateix, això només es va confirmar per a vPro / AMT, no per al ME en si (especialment a Nehalem i posteriors).
- 15 de novembre de 2020
Quan s'aplica la informació establerta a Mac, qualsevol persona podria compilar aquesta llista i afegir-la a la Viquipost amb finalitats de referència.
Tanmateix, el primer enllaç publicat per @Tratkazir_the_1st sembla ser molt útil en aquest sentit, sempre que es verifiqui amb proves d'usuari. De manera frustrant, però, no s'esmenta exactament quan aquestes pràctiques per neutralitzar majoritàriament el ME OOB van començar a posar-se en marxa després que el ME i l'AMT es van introduir el 2006...
@RogerWilco6502 @Amethyst1 Si la placa base ThinkPad X40 no està emparellada amb el controlador Intel 82573E Gigabit Ethernet, és segur, ja que és anterior a la incorporació de ME als dispositius mòbils des del 2007 amb dos anys.
A més, els sistemes Core 2 Duo basats en 965 i P35 no es veuen afectats si no inclouen vPro (o en aquest cas, Centrino Pro basat en 965 / Centrino 2 vPro basat en P45, aquest últim dels quals es pot veure afectat fins i tot sense vPro). a la base i45).
@RogerWilco6502 Per afegir una aclariment, Nehalem i els sistemes més nous no es cobreixen tan àmpliament com els sistemes Core 2 perquè a partir de la versió ME 6.0 als primers sistemes Core i7 (Nehalem), el ME no només està més estretament integrat a la resta del sistema, però juntament amb la manca completa de cap documentació que Intel hagi proporcionat, no se sap del tot què pot fer el propi ME sense AMT. En aquest moment, només començaríeu a utilitzar adaptadors de xarxa alternatius per bloquejar el sistema com a seguretat.
En general, els sistemes Core 2 eren més segurs en aquest sentit perquè, pel que puc obtenir de la investigació i la verificació (i no de la documentació oficial, cortesia d'Intel), el ME només s'incloïa normalment en chipsets compatibles amb vPro. Això és part d'on les coses no estaven tan estretament integrades; si vPro / AMT no estava present al sistema, tampoc calia incloure el ME, almenys en els chipsets 965 i P35 (2006/2007).
Aleshores, semblava que havien començat a agrupar el ME en els chipsets P45 independentment de la presència d'AMT, que també s'adapta a la finestra del 2008. Tanmateix, el ME dels chipsets P45 no eren vulnerables a SA-00112 sense la presència d'AMT, cosa que suggereix que el ME no tenia cap capacitat de xarxa i requeria AMT per a aquesta capacitat (o per ser una amenaça) als chipsets P45. D'altra banda, tot i que no tots els sistemes ME 6.0+ (Nehalem) inclouen AMT, encara són vulnerables a l'esmentat SA-00112, independentment de si l'AMT està present o habilitat o no.
Tot i així, també es podria argumentar lògicament que el propi ME 6.0+ als sistemes Nehalem i els més nous no és teòricament més capaç que les versions anteriors dels sistemes Core 2. Si tota la premissa d'AMT és habilitar la interfície de xarxa i la configuració remota del ME, quin sentit tindria incloure les capacitats de xarxa al propi ME? L'única reserva que tinc fins a aquest punt és la diferència esmentada a SA-00112, que gairebé sembla suggerir que el propi ME a Nehalem i més va obtenir algunes capacitats de xarxa pròpies, independentment de la presència d'AMT. Malauradament, tampoc sembla que hi hagi cap evidència disponible actualment per refutar aquesta teoria.
És un tema ridículament complicat i un forat de conill límit amb característiques borroses. Em va costar setmanes processar tot això. Et perdonarien per confondre una cosa amb una altra en diversos moments.
Potser seria beneficiós incorporar algun tipus de gràfic de comparació per a una referència més fàcil...
@Eriamjh1138@DAN Només vaig publicar això aquí principalment perquè sabia que a alguns els hauria agradat saber. En cas contrari, probablement hauria utilitzat un lloc web completament diferent. Última edició: 15 de novembre de 2020Reaccions:Raging Dufus, RogerWilco6502 i destructor
Ametista 1
- Oct 28, 2015
- 15 de novembre de 2020
z970mp va dir: Si la placa base ThinkPad X40 no està emparellada amb el controlador Intel 82573E Gigabit Ethernet,Té un 82541.Reaccions:RogerWilco6502
RogerWilco6502
- 12 de gener de 2019
- Terra dels joves
- 15 de novembre de 2020
dextructor va dir: Com que el ME està dissenyat per ser integrat tant com a prop d'algunes funcions, alguns dirien que només substituïu la BIOS del forat o (U)EFI per alguna opció més com Coreboot o Libreboot per 'eliminar ME' de manera segura perquè alguns d'ells Els 'pedaços' només desactiven o es mantenen en estat gairebé 'no funcional'. Així que amb les CPU modernes x86 (ja sigui AMD o Intel) cal triar el vostre verí perquè tenen aquestes vulnerabilitats o programari espia.Ah, d'acord. Gràcies per l'explicació. Tindré en compte aquesta informació.
https://coreboot.org/status/board-status.html
z970mp va dir: Si la placa base ThinkPad X40 no està emparellada amb el controlador Intel 82573E Gigabit Ethernet, és segur, ja que és anterior a la incorporació de ME als dispositius mòbils des del 2007 amb dos anys.Ah, d'acord. Gràcies per aquesta ampliació en profunditat. Sens dubte hauré d'investigar-ho molt més >.>
A més, els sistemes Core 2 Duo basats en 965 i P35 no es veuen afectats si no inclouen vPro (o en aquest cas, Centrino Pro basat en 965 / Centrino 2 vPro basat en P45, aquest últim dels quals es pot veure afectat fins i tot sense vPro). a la base i45).
Per afegir una aclariment, Nehalem i els sistemes més nous no es cobreixen tan àmpliament com els sistemes Core 2 perquè a partir de la versió ME 6.0 als primers sistemes Core i7 (Nehalem), el ME no només està més estretament integrat a la resta del sistema, sinó que està acoblat. amb la manca completa de cap documentació que Intel hagi proporcionat, no se sap del tot què pot fer el propi ME sense AMT. En aquest moment, només començaríeu a utilitzar adaptadors de xarxa alternatius per bloquejar el sistema com a seguretat.
En general, els sistemes Core 2 eren més segurs en aquest sentit perquè, pel que puc obtenir de la investigació i la verificació (i no de la documentació oficial, cortesia d'Intel), el ME només s'incloïa normalment en chipsets compatibles amb vPro. Això és part d'on les coses no estaven tan estretament integrades; si vPro / AMT no estava present al sistema, tampoc calia incloure el ME, almenys en els chipsets 965 i P35 (2006 / 2007).
Aleshores, semblava que havien començat a agrupar el ME en els chipsets P45 independentment de la presència d'AMT, que també s'adapta a la finestra del 2008. Tanmateix, el ME dels chipsets P45 no eren vulnerables a SA-00112 sense la presència d'AMT, cosa que suggereix que el ME no tenia cap capacitat de xarxa i requeria AMT per a aquesta capacitat (o per ser una amenaça) als chipsets P45. D'altra banda, tot i que no tots els sistemes ME 6.0+ (Nehalem) inclouen AMT, encara són vulnerables a l'esmentat SA-00112, independentment de si l'AMT està present o habilitat o no.
Tot i així, també es podria argumentar lògicament que el propi ME 6.0+ als sistemes Nehalem i els més nous no és teòricament més capaç que les versions anteriors dels sistemes Core 2. Si tota la premissa d'AMT és habilitar la interfície de xarxa i la configuració remota del ME, quin sentit tindria incloure les capacitats de xarxa al propi ME? L'única reserva que tinc fins a aquest punt és la diferència esmentada a SA-00112, que gairebé sembla suggerir que el propi ME a Nehalem i més va obtenir algunes capacitats de xarxa pròpies, independentment de la presència d'AMT. Malauradament, tampoc sembla que hi hagi cap evidència disponible actualment per refutar aquesta teoria.
És un tema ridículament complicat i un forat de conill límit amb característiques borroses. Em va costar setmanes processar tot això. Et perdonarien per confondre una cosa amb una altra en diversos moments.
Potser seria beneficiós incorporar algun tipus de gràfic de comparació per a una referència més fàcil...Reaccions:destructor
z970
Cartell original
- 2 de juny de 2017
- 01000101 01100001 01110010 01110100 01101000
@RogerWilco6502 Molta sort...
- 15 de novembre de 2020
Reaccions:RogerWilco6502 i destructor
RogerWilco6502
- 12 de gener de 2019
- Terra dels joves
- 16 de novembre de 2020
z970mp va dir: @RogerWilco6502 Bona sort...Gràcies, sembla molta informació per tamisar >.>Reaccions:Ametista 1
sparty411
- 13 de novembre de 2018
Alternativament, es podria simplement evitar Intel en el seu conjunt i utilitzar una màquina basada en AMD. Que jo sàpiga, tots els taulers mitjançant AM3+ estan lliures de PSP. En lloc d'utilitzar processadors antics de l'era 2, podríeu utilitzar un FX 8350 de 8 nuclis en una plataforma relativament moderna.
- 16 de novembre de 2020
Reaccions:Projecte Alice and Amethyst1
z970
Cartell original
- 2 de juny de 2017
- 01000101 01100001 01110010 01110100 01101000
@sparty411 Encara no he analitzat AMD i la seva PSP. Quan ho faci, no estarà fora de dubte veure un altre recurs d'informació com aquest.
- 16 de novembre de 2020
Tanmateix, és probable que hagi de trobar un altre lloc a més d'aquest fòrum per col·locar-lo. Tal com és, la rellevància d'aquest tema per al subfòrum l'impulsava.Projecte Alice
- Jul 13, 2008
- Post Falls, ID
Els Mac 2009-2010 estarien majoritàriament exempts d'això ja que utilitzen un chipset nvidia, no intel? Excloent el Mac Pro, els altres Mac tenien un chipset nvidia.
- 16 de novembre de 2020
Reaccions:RogerWilco6502
z970
Cartell original
- 2 de juny de 2017
- 01000101 01100001 01110010 01110100 01101000
@Projecte Alice Teòricament, sí. Primer haurien de ser comprovats amb ellslspci | amfitrió grepils / dev | agafar ambper estar totalment segur, però.
- 16 de novembre de 2020
Reaccions:destructor i RogerWilco6502
B S Imant
- 5 de desembre de 2018
- terra no cedida del nord de l'illa de les tortugues
MODS:
- 2 d'abril de 2021
Podries traslladar-ho al fòrum Early Intel? Gràcies!Reaccions:z970 i davisdelo
Produeix Macbook
- 1 de gener de 2018
- EUA
Per què és això aquí? Això no hauria d'estar a la secció intel mac???
- 2 d'abril de 2021
B S Imant
- 5 de desembre de 2018
- terra no cedida del nord de l'illa de les tortugues
- 2 d'abril de 2021
Macbookprodude va dir: Per què és això aquí? Això no hauria d'estar a la secció intel mac???
Si prengueu nota de la data de publicació original, precedeix la creació del fòrum Early Intel Macs.Reaccions:RogerWilco6502, Amethyst1, AL1630 i 1 persona més
z970
Cartell original
- 2 de juny de 2017
- 01000101 01100001 01110010 01110100 01101000
S'ha afegit una informació sobre el processador de seguretat de la plataforma, l'equivalent d'AMD a l'Intel ME.
- Jul 11, 2021
Entrades Populars