Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: [ Ogłoszenie ] Intel® Active Management Technology - krytyczna podatność  (Przeczytany 4670 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2763
  • 1709
    • Zobacz profil
Temat dość stary, zwłaszcza że o podatności już się pisze od roku, a aktualizacja wszelkiego oprogramowania  jest pierwszym punktem bezpieczeństwa ...
 ale łatka wyszła dopiero tego roku i może nie każdy o niej słyszał.

I jeśli posiadasz sprzęt nowszy niż z 2007 sprawdź aktualizacje Biosu / UEFI i zaktualizuj do 2017.

Więcej o podatności w Intel® Active Management Technology (AMT),
1.  https://www.intel.com/content/www/us/en/architecture-and-technology/intel-amt-vulnerability-announcement.html
2.  https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr


Edytowane:
Zmniejszenie ryzyka w przypadku braku aktualnego Biosu:
1. Wyłaczenie niektórych istotnych usług uprawniających np. do kontroli z systemu lub internetu
2. Blokowanie portów w zaporze używanych przez płyte główną

Cytuj
Intel AMT sends and receives data over predefined IANA network ports: port 16992 for SOAP/HTTP, port 16993 for SOAP/HTTPS, port 16994 for Redirection/TCP, and port 16995 for Redirection/TLS. DASH compliant systems will send and receive data over ports 623 for HTTP and 664 for HTTPS. The Keyboard-video-mouse (KVM) session can run either over the above redirection ports (16994 or 16995) or over the customary RFB (VNC Server) port - 5900. The type of information sent over the network includes Intel AMT command and response messages, redirection traffic, and system alerts. Data transmitted over ports 16993 and 16995 is protected with Transport-Layer Security (TLS) if that option is enabled on the user's system.
Intel AMT may send data over either an IPV4 or IPV6 network and is compliant with RFC 3041 privacy extensions.

https://www.intel.com/content/www/us/en/privacy/intel-active-technology-vpro.html?eu-cookie-notice

3. Aktualizacja kernela jesli stary umożliwi zdalny dostęp do systemu
http://www.cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.

wilkki

  • Gość
Ciekawy temat. Możecie go rozwinąć nieco?

Jak się pozbyć intruzów z komputera, zhackowanego właśnie przy pomocy tego backdoora w prockach Intela?

Myślę, że samo wyłączenie wskazanych portów na routerze nie wystarczy?

Czy z tym Intelem AMT można się połączyć bezprzewodowo? Na zagranicznym forum czytałem że tak, ale na małą odległość (do kilkudziesięciu metrów ponoć). Jak to jest realizowane?

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2763
  • 1709
    • Zobacz profil
Cytuj
Jak się pozbyć intruzów z komputera, zhackowanego właśnie przy pomocy tego backdoora w prockach Intela?
To bez różnicy czego, odpowiedz jest zawsze taka sama, jeśli jesteś pewien intruzów najlepiej zainstalować system na nowo.

Cytuj
... samo wyłączenie wskazanych portów na routerze nie wystarczy?
Powinno wystarczeć. Nie zadziała tylko w przypadku zapory systemowej, ponieważ AMT nie jest częścią systemu, ani się tam nie znajduje.

Cytuj
Czy z tym Intelem AMT można się połączyć bezprzewodowo? Na zagranicznym forum czytałem że tak, ale na małą odległość (do kilkudziesięciu metrów ponoć). Jak to jest realizowane?
Chyba mało czytałeś...
 To jest jak z telefonem... 
Masz włączone Wi-Fi, Bluetooth, IrDA ? 
Nie ?
To jak ma się telefon połączyć bezprzewodowo ?
Także żeby być zagrożonym bezprzewodowo, to musisz włączyć AMT oraz jakąś technologie bezprzewodową ( Wi-Fi, Bluetooth, IrDA, ... )
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.

wilkki

  • Gość
Piszesz generalnie jak się ustrzec problemu w przyszłości.... Co ja jak już mamy nieproszonych gości? Jak wyłączyć to ustrojstwo?

Znalazłem coś takiego: https://github.com/bartblaze/Disable-Intel-AMT   Ale nie wiem czy to ma szanse pomóc?


Cytuj
Masz włączone Wi-Fi, Bluetooth, IrDA ?

Płyta główna to ASUS Rampage III Extreme, jest tam z wymienionych chyba tylko Bluetooth. Bluetooth pamiętam że pokazywał mi się w Linuxie przy starcie systemu. Teraz Linuz nawet nie bootuje. (IrDA odpada, wymaga bardzo bliskiej odległości)

Na zagranicznej stronie pisali coś o RFID-ach, ale dokładnie nie wiem o co chodzi (zbyt słabo znam angielski).

Cytuj
jeśli jesteś pewien intruzów najlepiej zainstalować system na nowo.

Mam 1000% pewności że mam na PC-tach intruzów. Co więcej siedzą mi na poczcie GMAIL z podwójną autoryzacją (co Google zgłasza codziennie). Jest też wiele innych objawów.

Co do zmiany systemu, no cóż dobrze wiesz że przez Intel AMT hacker ma większą kontrolę nad twoim komputerem niż ty sam. Ja mogę tylko wyłączyć prąd.... A przykładowo antywirusa na świeżo zainstalowanym Windowsie usuwają mi w moment. Już dałem sobie siana z instalacją antywirusów, czy zmianą Windowsa (Linux obecnie nie chce bootwać z nieznanej przyczyny).
« Ostatnia zmiana: 2017-08-16, 09:15:58 wysłana przez wilkki »

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2763
  • 1709
    • Zobacz profil
Cytuj
Piszesz generalnie jak się ustrzec problemu w przyszłości.... Co ja jak już mamy nieproszonych gości? Jak wyłączyć to ustrojstwo?
Chyba nie rozumiesz co wyżej jest napisane ( także w linkach )...
To nie jest ustrojstwo ani żaden wirus.
Poczytaj :
https://www.intel.pl/content/www/pl/pl/architecture-and-technology/intel-active-management-technology.html
https://pl.wikipedia.org/wiki/VPro

W wolnym tłumaczeniu:
1. Jakaś technologia  która pozwala  przez internet na  zarządzanie urządzeniami pracowników dostępna w ustawieniach Biosu / UEFI
Tu nie wystarczy mieć tylko odpowiedni procesor żeby z tego skorzystać  ...
Potrzebny jest odpowiedni: procesor, płyta główna, BIOS lub UEFI które by to wspierało.
2. Coprawda wiele nie napisali, ale jak poszperasz to się dowiesz, że żeby skorzystać z usługi
- trzeba włączyć i może skonfigurować usługę w Biosie / UEFI
- potem wystarczy w przeglądarce wpisać odpowiedni adres
Przykład:  http://support.radmin.com/index.php?/Knowledgebase/Article/View/9/9/How-to-set-up-Intel-AMT-features
3. Dostęp do strony był odpowiednio zabezpieczony, to gdzie leży problem ?
- Po pierwsze jeden gościu mechanicznie dostał sie do procesora ( polał kwasem, przeciął nożem, nie wiem )
co pozwoliło mu podpiąć się i lepiej poznać technologie i ominąć zabezpieczenia
- Ale to nie jedyny problem, jeszcze jest teoria w której, w której każdy typ ma pewne ograniczenia, co może rodzić zagrożenie
- Potem okazało się że strona dostępu posiada lukę i nie trzeba wpisywać hasła
Więcej na
https://pl.wikipedia.org/wiki/SHA-1
https://www.dobreprogramy.pl/W-zabezpieczeniach-zdalnego-zarzadzania-Intela-przez-9-lat-tkwila-luka,News,80830.html
4. Co daje nowy zaktualizowany Bios / UEFI
- załataną lukę w stronie dostępu
- nowy klucz szyfrujący ( czy coś tam )

PS: Jestem takim samym użytkownikiem jak ty, troche wiecej szperaj w sieci.

Cytuj
Na zagranicznej stronie pisali coś o RFID-ach
Nie dotyczy.
RFID dotyczy naklejek, wisiorków w sklepie żebyś nic nie ukradł i różnych kart ( bankowe, dostępu, ... )
https://pl.wikipedia.org/wiki/RFID

Cytuj
(zbyt słabo znam angielski).
https://translate.google.pl/?hl=pl

Cytuj
Co do zmiany systemu, no cóż dobrze wiesz że przez Intel AMT hacker ma większą kontrolę nad twoim komputerem niż ty sam.
Wybacz, ale rusz trochę głową ...
- Jeśli wiesz że włamali Ci się na pocztę, wystarczy zmienić hasło na silniejsze
- Jeśli boisz się że ktoś Cię obserwuje, to przy wpisywaniu hasła się zakrywaj.
- Jeśli podajesz komuś hasło, to twój problem
- Jeśli zapisujesz gdzieś hasło w sposób nie zabezpieczony / nie zaszyfrowany to także twój problem
- Jeśli na wszystkich serwisach internetowych używasz tego samego hasła ( i 1 serwis należy do hakera, lub serwis został przejęty ) to także twój problem
choć w przypadku podejrzenia o włamanie zawsze możesz napisać do administratora serwisu, może coś zaradzi.
Ale już sam fakt używania tego samego hasła nie jest mądre.
- Jesli na mieście publicznie ładujesz telefon prosto z gniazda z USB, to też nie jest mądre.
- Używanie samego antywirusa nie jest mądre, bo podstawą jest dobra zapora internetowa
- ściąganie plików i instalowanie z mało znanych stron bez sparwdzania też nie jest mądre
- instalowanie, używanie plików z zarażonego komputera bez sparwdzania , np. antywirusem tez nie jest zbyt mądre
- nie aktualizowanie systemu, ściąganie systemu ze strony mało wiarygodnej lub od osoby też nie jest mądre
- A jak nie uffasz swojemu sprzętowi to reinstaluj jeszcze Bios / Uefi i sformatuj dysk.
- Na początek możesz np. zainstalować linuxa ( jak juz dojdziesz w czym był problem )
potem sobie sobie skonguruj zapore, najlepiej restrykcyjną i ucz się bezpieczeństwa.

Poczytaj trochę o bezpieczeństwie w sieci, bo to jeszcze mało, a ja nie prowadze wykładów.
np. pliki .pdf mogą zwierać niebezpieczne skrypty , itd...


Cytuj
Google zgłasza codziennie
Google nie stwierdza intruzów, google wysyła tylko powiadomienia o ostatnim logowaniu się do serwisu google
( czyli do Google,  Google Blog, GMail , Google Dysk , Youtube, ... )
Ty uzytkowniku musisz sam to stwierdzić, czy w tym samym czasie się logowałeś, jesli nie, to faktycznie ktoś używa twojego konta.
Choć jesli korzystarz z " podwójnej autoryzacji " która polega kodu z SMS-a  i uważasz że  twój telefon jest bezpieczny, bo
- nie korzystarz z interentu, Bluetooth
- i ładujesz telefon tylko z gniazda 230V
- nie dajesz nikomu swojego telefonu i zawsze masz go przy sobie
To nie ma możliwości żeby ktoś dostał się do twojego GMail.
O wiele łatwiej juz korzystać z twojego GMail, kiedy ty z niego korzystasz i zainstalowałeś trojana z jakąś aplikacją, czyli metodą powiedzmy podsłuchu.
Jeśli wiesz jak działa antywirus, to wiesz że on wykrywa tylko znane i popularne paskudztwa, a inne juz nie.

Edytowane:
A w wracając do
Cytuj
Znalazłem coś takiego: ...
Jak zauważyłeś ludzie są coraz bardziej ostrożni i nawet nie uffają producentom sprzętu, dlatego wolą na własną rekę wyłączyć wszystko co sie da.
Instalujesz zawsze na własną odpowiedzialność.
Znasz tego gościa ? Uwazasz że to bezpieczne ? Wiesz co tam wrzucił do tego kodu ? Ktoś Ci znany, popularny potwierdził że to bezpieczne ?
A jak kiedyś bedziesz chciał skorzystać z ATM to uważasz że bedziesz wstanie cofnąć zmiany ?

1. Po modelu procesora i płyty na stronach producentów znajdziesz które i czy razem wspierają ATM ,
 po tym poznasz czy twój sprzęt wogóle wspiera ATM jeśli nie mozesz znaleść opcji w Bios / UEFI
2. Na stronie Intela masz link który kieruje do aplikacji która wskazuje czy twój sprzęt wspiera ATM ( kijowo działa, ale lepsze niż nic )

Dlaczego nikomu już ludzie nie uffają ?
Bo nie można ...
- Na jakiejś tam stronie kiedyś czytałem, że agencje są zainteresowane dziurami bezpieczeństwa ( nie tylko by bronić obywateli )
a że ktoś wmawiał ludziom że to do walki z przestępczością i nagle im wyciekły prawie wszystkie dziury, wirusy i trojany ...
W każdym razie podobno USA nie rezygnuje z tworzenia dziur, teraz ma je np. szyfrować, a jak im wyciekną to będą tworzyć aktualizacje bezpieczeństwa,
która nie załata dziury, a tylko zmieni klucz dostępu do dziury. ( i to nie tylko o oprogramowaniu mowa, ale i o sprzęcie )
-  Poza tym wpadka, pomyłka każdemu się może zdarzyć.


PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.