Ich habe viele Behauptungen gesehen, dass Geräte wie Laptops Komponenten enthalten, die „eine Verbindung zum Internet herstellen“ können, selbst wenn das Hauptgerät ausgeschaltet ist. Die Implikation ist, dass solche Geräte von der NSA oder anderen hintertürt werden könnten, um private Daten ohne Wissen des Benutzers zu teilen.
Ein Beispiel, das fast jeden Laptop und Desktop-Computer betreffen würde, ist, dass die Intel Management Engine (ein Controller-Chip in Intel-Prozessoren, der konstruktionsbedingt auf alle vom Computer verarbeiteten Daten zugreifen kann) seine eigene Firmware selbstständig aktualisiert und aktualisiert mit dem Internet verbinden (dazu?), auch wenn der Computer ausgeschaltet ist.
Hier ist ein Beispiel für eine solche Behauptung aus einer Antwort auf Information Security Stack Exchange :
Intel ME verfügt über einen an Ihre CPU angeschlossenen Prozessor, der Closed-Source-Software ausführt und auf Ihre gesamte Hardware und Ihren Hauptspeicher zugreifen kann. Es funktioniert, ohne für Ihre CPU sichtbar zu sein, kann aber alle Aktivitäten Ihrer CPU sehen und steuern. Es kann sich selbst aktualisieren und eine Verbindung zum Internet herstellen, selbst wenn Ihr Computer ausgeschaltet ist. Es ist mir verdammt unheimlich.
Stimmt es, dass die Intel Management Engine und/oder ähnliche Komponenten in Prozessoren anderer Marken die Fähigkeit haben, sich autonom mit dem Internet zu verbinden, wenn der Computer ausgeschaltet ist?
Ja, die meisten modernen Computerprozessoren enthalten Hardware mit der Fähigkeit , alle Komponenten des Computers vollständig zu steuern (unabhängig vom Energiezustand des Systems als Ganzes) , auf alle Daten zuzugreifen, während der Computer läuft, und sich mit dem Internet zu verbinden ( in jedem Energiezustand).
Der Fernsteuerungsaspekt der Funktionalität, die diese Hardware bietet, ist jedoch auf den meisten Geräten, die auf den Verbrauchermarkt ausgerichtet sind, nicht aktiviert .
Die Intel Management Engine , auf die in der Frage verwiesen wird, ist in fast allen seit 2006 verkauften Intel-Chips vorhanden. Es handelt sich um eine unabhängige Computerumgebung, die Zugriff auf (und Kontrolle über) den Hauptprozessor, den Speicher, die Netzwerkschnittstellen und andere hat Systeme.
Einer der Hauptzwecke des ME ist die Sicherheit: Es verifiziert die Integrität der Firmware, die auf dem Prozessor und auf dem Trusted Platform Module läuft.
Darüber hinaus ermöglicht die ME ein Fernverwaltungssystem für Unternehmenszwecke, genannt AMT (siehe unten). Bei den meisten Consumer-Geräten ist diese Funktion in der Firmware deaktiviert.
AMD hat ein ähnliches System namens PSP .
Einer der von Intel ME bereitgestellten Dienste heißt Intel Active Management Technology . AMT ermöglicht " Lights-Out-Management ", dh es ermöglicht Systemadministratoren, praktisch alle Aspekte des Systems fernzusteuern und zu modifizieren, einschließlich der Möglichkeit, Software und Firmware herunterzuladen und zu aktualisieren, unabhängig davon, ob das Betriebssystem des Computers ausgeführt wird. (Natürlich muss die Batterie oder das Netzteil angeschlossen sein.)
Diese Art der Fernverwaltung stammt ursprünglich von Servern, wo ursprünglich eine dedizierte Netzwerkschnittstelle verwendet wurde. AMT verwendet jedoch die normalen integrierten Netzwerkschnittstellen des Systems, einschließlich Ethernet, WLAN und (in seltenen Fällen) 3G.
AMT ist Teil von Intels „ vPro “-Technologie, die in einer Vielzahl von Geräten zu finden ist. Es richtet sich in erster Linie an Unternehmensbenutzer, hat jedoch seinen Weg in viele Geräte gefunden, die auf dem Verbrauchermarkt erhältlich sind, darunter Laptops, die hauptsächlich für den geschäftlichen Gebrauch bestimmt sind, sowie High-End-Gaming-Hardware.
Das AMT-System ist normalerweise nicht auf Computern aktiviert , die auf den Verbrauchermarkt ausgerichtet sind; Die Hardware ist jedoch immer noch vorhanden und die Intel Management Engine ist weiterhin aktiv, da sie auch andere Funktionen bereitstellt (siehe oben).
Es ist wichtig zu beachten, dass einer der Hauptzwecke der Intel Management Engine und ähnlicher Technologien darin besteht, die Sicherheit zu erhöhen .
Da es die Integrität der Firmware überprüft, die auf dem Prozessor und anderen wichtigen Systemkomponenten ausgeführt wird, stellt es sicher, dass diese Firmware nicht modifiziert oder durch potenziell bösartige Versionen ersetzt wurde. (Oder andere Modifikationen – es stellt einfach sicher, dass nur die Original-Firmware verwendet werden kann.)
Die Management Engine selbst ist jedoch nicht vollständig immun gegen Kompromittierungen.
In der Vergangenheit konnten Forscher das System aus der Ferne kompromittieren und die Kontrolle über Maschinen erlangen, ohne physischen Zugriff darauf zu haben.
Ein weiteres Problem (relevanter für Benutzer mit hohem Risiko wie Nicht-US-Regierungen und politische Dissidenten) ist, dass es technisch keinen Grund gibt, warum die Management Engine (oder ähnliche Komponenten in anderen Chips) keine Hintertüren enthalten könnte, die Regierungsbehörden den gleichen Zugriff ermöglichen und Kontrolle über das System.
Intel ist ein US-Unternehmen (obwohl ein erheblicher Teil ihrer Technik in Israel angesiedelt ist) und sie könnten von der US-Regierung aufgefordert werden, versteckte Hintertüren zu implementieren.
Da die Firmware nicht auditierbar ist, ist so oder so nicht nachzuweisen, ob Backdoors existieren oder ob das Risiko rein theoretisch ist .
Dieser Hackaday-Artikel ist informativ, wenn auch etwas hysterisch, schauen Sie sich die Funktionen und Sicherheitsrisiken der Management Engine an. (Danke an @William-remote für das Teilen in einem Kommentar zu seiner Antwort unten.)
Siehe Intels Seite zu AMT .
In der Vergangenheit hat Intel Unternehmen und Verbrauchern einen Diebstahlschutzdienst angeboten, bei dem der ME regelmäßig die Intel-Server überprüfte und den Computer deaktivierte, wenn er als gestohlen gemeldet wurde. Intel hat diesen Service nun eingestellt .
Ein HP-Dokument zur Verwendung von AMT (danke an Igor Skochinsky für die Weitergabe seiner Antwort unten).
Es gibt einen generischen Satz von Standards für eine AMT-ähnliche Funktionalität namens IPMI .
Ich hatte nicht erwartet, diese Frage selbst zu beantworten, aber nachdem ich einige Nachforschungen angestellt hatte, fühlte ich mich dazu in der Lage.
Danke an alle, die mit zusätzlichen Informationen beigetragen haben. Ich werde weiterhin alle neuen Informationen, die ich finde, in diese Antwort einfließen lassen.
Do consumer computers...
den in der Antwort angegebenen Referenzen scheinen nicht auf Verbraucherprodukte zuzutreffen.Lassen Sie mich die eigentliche Frage beantworten:
Stimmt es, dass die Intel Management Engine und/oder ähnliche Komponenten in Prozessoren anderer Marken sich autonom mit dem Internet verbinden können, wenn der Computer ausgeschaltet ist?
Im Fall von ME lautet die Antwort „vielleicht, in manchen Fällen, aber normalerweise nein“. Zunächst stellt sich die Frage, welche spezifische Art von ICH Sie haben. Es gibt zwei Hauptkategorien: „Consumer“ (1,5 MB) und „Enterprise“ (5 MB). Nur letzteres implementiert die AMT-Funktionalität für die Fernverwaltung. Außerdem muss ein Intel-Ethernet-Chip an Bord sein, der direkt mit dem ME verbunden ist (was nicht immer der Fall ist).
Dann gibt es die Aussage "autonom mit dem Internet verbinden". Das ME hat zwar seine eigene MAC- und IP-Adresse (getrennt vom Host), die es ihm ermöglicht, mit dem Verwaltungs-PC zu kommunizieren, aber es stellt keine wirkliche „Verbindung zum Internet“ her. Normalerweise antwortet es nur auf die Verwaltungsanfragen während der Bereitstellung .
Nun hatte Intel einige Jahre lang eine Version von ME für mobile Chipsätze (zB in Laptops verwendet), die eine Option zur Nutzung der drahtlosen 3G-Verbindung hatte. Wenn das ME vom Benutzer oder seiner IT-Abteilung bereitgestellt und konfiguriert und im Anti-Theft- Programm von Intel registriert wurde, würde es regelmäßig versuchen, sich bei den Servern von Intel (möglicherweise über 3G) einzuloggen, um festzustellen, ob das Gerät als gestohlen gemeldet wurde. In einem solchen Fall würde es beim Booten eine Meldung anzeigen und den PC sperren, damit er nicht verwendet werden kann, oder nach kurzer Zeit automatisch heruntergefahren werden. AFAIK, Intel produziert solche Chipsätze nicht mehr und die 3G-Verbindung wird in den aktuellen ME-Versionen nicht unterstützt. Die Anti-Diebstahl-Funktion wurde ebenfalls eingestellt .
Caesar
Caesar
zwöl
zwöl
Keavon
Caesar
Caesar
Seltsames Denken
Seltsames Denken
Caesar
Caesar
Caesar
Seltsames Denken
Caesar
Caesar
JDługosz
Agent_L
Zaibis
Sternenweber
Sternenweber
tniles
Caesar
Mazura
Caesar
Sternenweber
Benutzer29285
unterstrich_d
César