Enthalten Verbrauchercomputer Komponenten, die sich mit dem Internet verbinden können, wenn der Computer offensichtlich ausgeschaltet ist?

Ich habe viele Behauptungen gesehen, dass Geräte wie Laptops Komponenten enthalten, die „eine Verbindung zum Internet herstellen“ können, selbst wenn das Hauptgerät ausgeschaltet ist. Die Implikation ist, dass solche Geräte von der NSA oder anderen hintertürt werden könnten, um private Daten ohne Wissen des Benutzers zu teilen.

Ein Beispiel, das fast jeden Laptop und Desktop-Computer betreffen würde, ist, dass die Intel Management Engine (ein Controller-Chip in Intel-Prozessoren, der konstruktionsbedingt auf alle vom Computer verarbeiteten Daten zugreifen kann) seine eigene Firmware selbstständig aktualisiert und aktualisiert mit dem Internet verbinden (dazu?), auch wenn der Computer ausgeschaltet ist.

Hier ist ein Beispiel für eine solche Behauptung aus einer Antwort auf Information Security Stack Exchange :

Intel ME verfügt über einen an Ihre CPU angeschlossenen Prozessor, der Closed-Source-Software ausführt und auf Ihre gesamte Hardware und Ihren Hauptspeicher zugreifen kann. Es funktioniert, ohne für Ihre CPU sichtbar zu sein, kann aber alle Aktivitäten Ihrer CPU sehen und steuern. Es kann sich selbst aktualisieren und eine Verbindung zum Internet herstellen, selbst wenn Ihr Computer ausgeschaltet ist. Es ist mir verdammt unheimlich.

Stimmt es, dass die Intel Management Engine und/oder ähnliche Komponenten in Prozessoren anderer Marken die Fähigkeit haben, sich autonom mit dem Internet zu verbinden, wenn der Computer ausgeschaltet ist?

@Oddthinking Ich stimme Ihren Änderungen nicht wirklich zu, die den Umfang dieser Frage auf eine bestimmte Prozessormarke einschränken. Ich habe die Intel Management Engine als Beispiel verwendet (anwendbar auf eine große Mehrheit von Desktop-/Laptop-Computern), aber diese Fähigkeit wird auch oft für andere Computergeräte gemunkelt, insbesondere für Smartphones, die andere Prozessormarken verwenden. Die Absicht der Frage war, ob dies überhaupt passieren kann oder geschieht; nicht nur mit Intels IME.
Ich bin mir auch nicht sicher, ob Ihr bearbeiteter Titel überhaupt Sinn macht. Was ist ein „Intel ME-Gerät“? Bezieht es sich auf „ein Gerät, das einen Prozessor mit der Intel Management Engine verwendet“ oder auf die Intel Management Engine selbst? Es ist mir nicht klar.
Vorgeschlagener überarbeiteter Titel: „Enthalten (einige) moderne Computer ‚Management‘-Komponenten, die eine Verbindung zum Internet herstellen können, wenn der Computer offensichtlich ausgeschaltet ist?“ … vielleicht ist das zu ausführlich?
Der allgemeine (und nicht Intel-spezifische) Begriff für diese Funktion lautet Lights-out-Management und ist seit einiger Zeit bei Motherboard-Designs üblich, die für den Einsatz in Serverfarmen vorgesehen sind. Es sollte unter der Kontrolle des legitimen Systemadministrators stehen, aber selbst wenn es keine absichtlichen Hintertüren gibt, war die Erfolgsbilanz der Anbieter bei der Vermeidung ausnutzbarer Fehler ziemlich schlecht .
Ja, und diese Funktion wird für Wake-on-LAN verwendet , um Ihren Computer aus der Ferne einzuschalten, was für die Remote-Desktop-Steuerung nützlich ist.
Danke @zwol, ich habe den Titel in eine etwas kürzere Variante deines Vorschlags geändert. Es ist immer noch ziemlich lang, aber meiner Meinung nach jetzt viel klarer. Vielen Dank auch für den generischen Wikipedia-Link zur Out-of-Band-Verwaltung. Ich werde meine Antwort ändern, um einige allgemeinere Referenzen aufzunehmen, die auf dem basieren, was ich dort gelesen habe.
@Keavon Ich habe keinen Zweifel, dass die Funktionalität legitime (und nützliche) Verwendungen hat. Es gibt jedoch viele Benutzer, die solche Funktionen äußerst besorgniserregend finden (aus vielen Gründen, von denen einige gültiger sind als andere).
Hier sind einige der Gründe, warum ich die von mir vorgenommenen Änderungen vorgenommen habe: (1) Wenn die Behauptung nicht spezifisch ist (alle Arten von Computergeräten), wird sie unwiderlegbar. Niemand kann vernünftigerweise sagen: "Nein, es gibt kein solches Gerät." (2) Sie haben keine Beispiele für solche Behauptungen gegeben. Die einzige Behauptung, die Sie vorgebracht haben, bezog sich speziell auf Intel ME. (3) Fragen wie diese hatten wir schon einmal (z. B. zu Handys) und es artet aus in "Was bedeutet 'ausgeschaltet'?" zB Eine Maschine mit "Wake-On-LAN" wird nicht wirklich ausgeschaltet. Für so komplizierte Geräte wie Telefone und Laptops gibt es eine Reihe von "Aus"-Stufen.
(4) Ich habe einige meiner eigenen Kenntnisse über das Lights-out-Management genutzt, um zu wissen, dass die Technologie seit Jahren als teures Add-on für Server in Racks existiert, aber das spricht nicht die geäußerten Bedenken an, dass Ihr Consumer-Laptop dies könnte , haben, ohne Ihr Wissen, eine solche Technologie eingebaut. Das Stellen der allgemeinen Frage kann Antworten einladen, die einen Strohmann ansprechen.
Danke @Oddthinking, ich stimme zu, dass dies eine gültige Argumentation ist, obwohl ich der Meinung bin, dass vielleicht ein mittlerer Boden am besten wäre. Was denkst du über meine letzte kleine Änderung?
In Bezug auf Wake-on-Lan verstehe ich, dass dieses Konzept normalerweise zutrifft, wenn der Computer schläft, aber nicht, wenn er vollständig ausgeschaltet ist. Während AMT auch dann funktioniert, wenn der Computer vollständig ausgeschaltet ist (offensichtlich schläft der IME-Chip nie, aber der Rest der Maschine ist ausgeschaltet). Mit "ausgeschaltet" meine ich, dass ich den Computer heruntergefahren habe; Das Betriebssystem und das BIOS wurden aus dem Speicher entladen.
Ich stimme zu, dass diese Frage einigen Fragen zu Mobiltelefonen möglicherweise ähnlich ist. Aber ich denke, es ist nicht dieselbe Frage, weil ein Laptop oder (insbesondere) ein Desktop normalerweise als vollständig ausgeschaltet angesehen wird, nachdem Sie ihn heruntergefahren haben, und die meisten Leute würden es nicht für möglich halten, dass er noch mit dem Internet verbunden sein könnte und möglicherweise kompromittierte Firmware oder Software herunterzuladen und zu installieren, während sie vollständig ausgeschaltet zu sein scheint.
Ich hatte gehofft, Diskussionen über die Definitionen von „vollständig ausgeschaltet“ in einer Welt von Laptop-Batterien, CR2032-BIOS-Batterien und Energieverwaltungssystemen zu vermeiden, die Bildschirme, CPUs, Festplatten und spezielle Lights-Out-Management-Hardware unabhängig voneinander ausschalten können .
Tatsächlich ist es eindeutig eine verschwommene Linie; wie du andeutest. Mein Punkt hier ist wirklich, dass es für die meisten Menschen sehr klar zu sein scheint, wann ihr Computer "aus" ist; auch wenn es, wie Sie richtig betonen, schwer zu definieren ist.
Ich möchte den Punkt "Was ist aus" nicht wirklich weiter diskutieren, aber ich bin gerade darauf gestoßen . Wir könnten also gemäß den ACPI-Definitionen sagen, dass es sich im G2-Zustand befindet.
Ich habe ein Motherboard für einen Dateiserver ausgewählt, der über einen IPMI-Chip verfügt. Ich kann den Computer tatsächlich über das ipmi-Applet über das LAN einschalten. Keine typische Consumer-Hardware, aber üblich für SOHO-Server und eingebettete PCs.
Wenn Sie Konsolen zählen, bieten sie explizit Systeme zum Aktualisieren und Verwalten, wenn sie "aus" sind.
Setzen Sie dies als Kommentar ein, da ich keine Referenz angeben kann. Aber meine alte Firma hatte eine Software auf den Computern installiert, die es ihnen ermöglichte, eingeschaltet zu werden. das Netzwerk anbieten. Dies wurde zwar durch die Verwendung einer bestimmten Netzwerkkartenfunktion gemacht, aber wie Sie sicher sein können, werden keine undokumentierten Funktionen unterstützt, die sich gleich verhalten.
@Caesar Wake-on-lan, zumindest wie vom NIC-BIOS bereitgestellt (falls aktiviert), funktioniert, solange das Motherboard überhaupt mit Strom versorgt wird, z. B. der Zustand zwischen dem Einschalten des Festschalters am Netzteil und dem tatsächlichen Zeitpunkt Schalten Sie das Gerät mit dem Hauptschalter ein. Es ist effektiv die NIC, die den Soft-Schalter für Sie drückt.
(Außerdem höre ich Wake-on-Lan nur auf das Rauschen, das über sein Kabel kommt, und sucht nach einem Muster; es verbindet sich mit nichts und bezieht sich nicht einmal auf ein Protokoll, das höher ist als isolierte Ethernet-Frames.)
@ StarWeaver, in der Tat. Ich denke nicht, dass Wake-on-Lan für diese Frage wirklich relevant ist, da es sich um ein vollständig passives System handelt, das sich in seinem Umfang beispielsweise von AMT unterscheidet.
WOL ist äußerst relevant im Hinblick auf den Titel (der übrigens durch den letzten Absatz ersetzt werden sollte).
WOL ist ein passives System, das die Maschine einfach aufweckt, wenn sie ein bestimmtes Muster auf den Drähten hört. Es stellt keine "Verbindung zum Internet" her.
@Mazura Eh, der Titel sagt "mit dem Internet verbinden", WOL stellt keine Verbindung zu irgendetwas her. Selbst die bestimmungsgemäße Verwendung in IPV4 erfordert den Zugriff auf einen anderen Host im LAN, um das Paket zu senden, oder die Einrichtung einer Portweiterleitung zum "off" -Ziel und den Versuch, es darüber zu senden. Oh, und Sie brauchen auch den physischen MAC im Voraus. … Ich bin mir nicht sicher, ob IPV6 die Tunneling-Anforderungen dafür aufhebt oder nicht.
Dafür gibt es Steckdosenleisten. Selbst wenn der PC eine Art Nicht-Netzstrom an Bord hat, hat Ihr Kabelmodem keinen Strom, und es wird nicht mit Strom versorgt. Wenn Ihnen das nicht reicht, ziehen Sie das Netzwerkkabel ab. Was? Sie verwenden keine Kabel? Nun, was erwarten Sie dann in Bezug auf die Sicherheit?
vielleicht nicht per strenger Definition "ausgeschaltet", aber zunehmend werden Geräte mit "immer verbunden" - ähm - "Features" herausgebracht, die Internettish-Ereignisse auch dann eintreten lassen sollen, wenn der Computer im Ruhezustand ist, z. B. Überwachung auf neue E-Mails usw. Ich wünschte, ich könnte mich an einige der spezifischen Markennamen dafür erinnern, aber ich empfehle trotzdem zu suchen.
Überlegen Sie, wie gefährlich eine solche Funktion wäre und wie begehrt sie von Hackern ist. Die Fähigkeit, in den RAM jedes Intel-basierten PCs und Servers zu lesen / schreiben (Sie hätten eine Hintertür zu 80% der Computer der Welt ... Sie müssten auch die Lebensfähigkeit berücksichtigen. Ein Chip, der die CPU überwachen kann, wäre erforderlich ein Prozessor, der genauso leistungsfähig oder leistungsfähiger ist wie die CPU selbst. Stellen Sie sich die Herstellungskosten vor.

Antworten (2)

Ja, die meisten modernen Computerprozessoren enthalten Hardware mit der Fähigkeit , alle Komponenten des Computers vollständig zu steuern (unabhängig vom Energiezustand des Systems als Ganzes) , auf alle Daten zuzugreifen, während der Computer läuft, und sich mit dem Internet zu verbinden ( in jedem Energiezustand).

Der Fernsteuerungsaspekt der Funktionalität, die diese Hardware bietet, ist jedoch auf den meisten Geräten, die auf den Verbrauchermarkt ausgerichtet sind, nicht aktiviert .

Intel Management Engine (und ähnliche Systeme)

Die Intel Management Engine , auf die in der Frage verwiesen wird, ist in fast allen seit 2006 verkauften Intel-Chips vorhanden. Es handelt sich um eine unabhängige Computerumgebung, die Zugriff auf (und Kontrolle über) den Hauptprozessor, den Speicher, die Netzwerkschnittstellen und andere hat Systeme.

Einer der Hauptzwecke des ME ist die Sicherheit: Es verifiziert die Integrität der Firmware, die auf dem Prozessor und auf dem Trusted Platform Module läuft.

Darüber hinaus ermöglicht die ME ein Fernverwaltungssystem für Unternehmenszwecke, genannt AMT (siehe unten). Bei den meisten Consumer-Geräten ist diese Funktion in der Firmware deaktiviert.

AMD hat ein ähnliches System namens PSP .

Fernverwaltung (AMT usw.)

Einer der von Intel ME bereitgestellten Dienste heißt Intel Active Management Technology . AMT ermöglicht " Lights-Out-Management ", dh es ermöglicht Systemadministratoren, praktisch alle Aspekte des Systems fernzusteuern und zu modifizieren, einschließlich der Möglichkeit, Software und Firmware herunterzuladen und zu aktualisieren, unabhängig davon, ob das Betriebssystem des Computers ausgeführt wird. (Natürlich muss die Batterie oder das Netzteil angeschlossen sein.)

Diese Art der Fernverwaltung stammt ursprünglich von Servern, wo ursprünglich eine dedizierte Netzwerkschnittstelle verwendet wurde. AMT verwendet jedoch die normalen integrierten Netzwerkschnittstellen des Systems, einschließlich Ethernet, WLAN und (in seltenen Fällen) 3G.

AMT ist Teil von Intels „ vPro “-Technologie, die in einer Vielzahl von Geräten zu finden ist. Es richtet sich in erster Linie an Unternehmensbenutzer, hat jedoch seinen Weg in viele Geräte gefunden, die auf dem Verbrauchermarkt erhältlich sind, darunter Laptops, die hauptsächlich für den geschäftlichen Gebrauch bestimmt sind, sowie High-End-Gaming-Hardware.

Das AMT-System ist normalerweise nicht auf Computern aktiviert , die auf den Verbrauchermarkt ausgerichtet sind; Die Hardware ist jedoch immer noch vorhanden und die Intel Management Engine ist weiterhin aktiv, da sie auch andere Funktionen bereitstellt (siehe oben).

Sicherheit

Es ist wichtig zu beachten, dass einer der Hauptzwecke der Intel Management Engine und ähnlicher Technologien darin besteht, die Sicherheit zu erhöhen .
Da es die Integrität der Firmware überprüft, die auf dem Prozessor und anderen wichtigen Systemkomponenten ausgeführt wird, stellt es sicher, dass diese Firmware nicht modifiziert oder durch potenziell bösartige Versionen ersetzt wurde. (Oder andere Modifikationen – es stellt einfach sicher, dass nur die Original-Firmware verwendet werden kann.)

Die Management Engine selbst ist jedoch nicht vollständig immun gegen Kompromittierungen.
In der Vergangenheit konnten Forscher das System aus der Ferne kompromittieren und die Kontrolle über Maschinen erlangen, ohne physischen Zugriff darauf zu haben.

Ein weiteres Problem (relevanter für Benutzer mit hohem Risiko wie Nicht-US-Regierungen und politische Dissidenten) ist, dass es technisch keinen Grund gibt, warum die Management Engine (oder ähnliche Komponenten in anderen Chips) keine Hintertüren enthalten könnte, die Regierungsbehörden den gleichen Zugriff ermöglichen und Kontrolle über das System.
Intel ist ein US-Unternehmen (obwohl ein erheblicher Teil ihrer Technik in Israel angesiedelt ist) und sie könnten von der US-Regierung aufgefordert werden, versteckte Hintertüren zu implementieren.
Da die Firmware nicht auditierbar ist, ist so oder so nicht nachzuweisen, ob Backdoors existieren oder ob das Risiko rein theoretisch ist .

Dieser Hackaday-Artikel ist informativ, wenn auch etwas hysterisch, schauen Sie sich die Funktionen und Sicherheitsrisiken der Management Engine an. (Danke an @William-remote für das Teilen in einem Kommentar zu seiner Antwort unten.)

Weitere Referenzen

Siehe Intels Seite zu AMT .

In der Vergangenheit hat Intel Unternehmen und Verbrauchern einen Diebstahlschutzdienst angeboten, bei dem der ME regelmäßig die Intel-Server überprüfte und den Computer deaktivierte, wenn er als gestohlen gemeldet wurde. Intel hat diesen Service nun eingestellt .

Ein HP-Dokument zur Verwendung von AMT (danke an Igor Skochinsky für die Weitergabe seiner Antwort unten).

Es gibt einen generischen Satz von Standards für eine AMT-ähnliche Funktionalität namens IPMI .

Ich hatte nicht erwartet, diese Frage selbst zu beantworten, aber nachdem ich einige Nachforschungen angestellt hatte, fühlte ich mich dazu in der Lage.

Danke an alle, die mit zusätzlichen Informationen beigetragen haben. Ich werde weiterhin alle neuen Informationen, die ich finde, in diese Antwort einfließen lassen.

Beachten Sie, dass ich meine eigene Antwort noch nicht akzeptieren werde: Hoffentlich kann jemand anderes eine allgemeinere Antwort geben, die Informationen zu anderen Technologien als Intel enthält. Diese Antwort zeigt jedoch, dass ein solcher Fernzugriff im ausgeschalteten Zustand uneingeschränkt möglich ist.
Die Intel-Seite, auf die Sie verlinkt haben, enthält tatsächlich eine Fußnote für den KVM (dh Remote Operator Access), was (zumindest für mich) impliziert, dass Technologie nur auf einer kleinen Teilmenge ihrer CPUs verfügbar ist, die auf einen Unternehmensmarkt ausgerichtet sind. IE Ich habe noch nichts gesehen, was darauf hindeutet, dass die KVM-Funktionalität in jedem alten Intel-Prozessor verfügbar ist, den Sie möglicherweise verwenden.
@bloopletech, das ist interessant. Tatsächlich scheint die ganze Seite nur auf „Prozessoren mit Intel® vPro™-Technologie und Workstation-Plattformen basierend auf ausgewählten Intel® Xeon®-Prozessoren“ anwendbar zu sein. Ich bin mir nicht sicher, ob normale i3-, i5- und i7-Chips "vPro-Technologie" enthalten, aber ich weiß, dass das LibreBoot-Projekt behauptet, den IME in ihren modifizierten IBM Thickpads (mit älteren Pentium- und Core 2 Duo-Prozessoren) zu deaktivieren. Siehe libreboot.org/docs/hcl/gm45_remove_me.html
Laut Wikipedia ist „derzeit AMT in Desktops, Servern, Ultrabooks, Tablets und Laptops mit der Intel Core vPro-Prozessorfamilie verfügbar, einschließlich Intel Core i3, i5, i7 und der Intel Xeon-Prozessor E3-1200-Produktfamilie.“ Auf die genauen Modelle kommt es sowieso nicht an; Der Punkt ist, dass die Technologie existiert und verwendet wird.
Sie können auch Magic Packet in Betracht ziehen, bei dem ein speziell erstelltes Paket an eine LAN-NIC-Karte gesendet werden kann, wodurch der Host-Computer aktiviert wird. PXE kann verwendet werden, um ein Image zum Booten von statt vom Hostcomputer zu senden. Ja, sie können abgeschaltet werden – wenn Sie glauben, dass diese Funktionen nicht gehackt wurden.
@Blackbeagle, wenn Sie sich auf Wake-on-LAN beziehen, würde das normalerweise nicht nur einen schlafenden Computer aufwecken, anstatt tatsächlich einen zu booten, der anscheinend ausgeschaltet war?
Nein, angeblich vor Win 8, wenn ein Computer heruntergefahren wird, hat er die WOL-Fähigkeit auf der Karte eingestellt, um aus dem S5-Zustand (vollständig ausgeschaltet) aufwachen zu können. Win 8 und höher setzen die Karte angeblich nicht darauf, aber - wer weiß.
-1 für die Nichtbeantwortung der Frage. Zum Zeitpunkt meiner Abstimmung beginnt es ganz klar mit Do consumer computers...den in der Antwort angegebenen Referenzen scheinen nicht auf Verbraucherprodukte zuzutreffen.
@AndrejaKo, gemäß dem beliebten Wikipedia-Artikel: „Aktuell ist AMT in Desktops, Servern, Ultrabooks, Tablets und Laptops mit Intel Core vPro-Prozessorfamilie verfügbar, einschließlich Intel Core i3, i5, i7“. Dies sind meist Consumer-Computer. Vielleicht sollte ich meine Antwort bearbeiten, um auf diese Tatsache hinzuweisen.
@Caesar Ich bin mit Ihrer Interpretation nicht einverstanden, da dieselben Systeme Benutzer in Nicht-Verbraucheranwendungen sind, wie sie auf der Seite von Intel beschrieben sind, auf die Sie verlinkt haben. Dass dies auf Consumer- statt Industriesysteme abzielt, ist meines Erachtens nicht hinreichend belegt.
@AndrejaKo vielleicht hängt es davon ab, wie Sie "Verbraucher" definieren. Ich würde das ThinkPad (das dieses Feature definitiv hat) als Consumer-Gerät bezeichnen, obwohl es auch häufig in Unternehmen verwendet wird. Es gibt keine harte Linie. Übrigens, wenn Sie oder jemand anderes eine Antwort oder Referenz geben kann, die mir widerspricht oder mehr Details enthält (auch Details zu Nicht-Intel-Äquivalenten), wäre ich sehr interessiert. Deshalb habe ich diese Antwort noch nicht akzeptiert.
@Caesar OK, ich verstehe, woher deine Argumentation kommt, aber ich bin immer noch anderer Meinung. Ich habe gerade etwas wenig Zeit, daher kann ich keine Antwort versprechen, aber ich werde versuchen, eine zu geben.
Ein potenzieller Vorteil für die Verbraucher könnte darin bestehen, dass dadurch alles billiger wird – Dinge, die Server- und Client-Systeme gemeinsam haben, werden tendenziell sowohl Server- als auch Client-Systeme aufgrund verbesserter Erträge aus der Massenproduktion billiger machen. Ich weiß nicht, ob dies Teil der Argumentation für die Einbeziehung der Funktion in Consumer-Hardware ist, aber es ist ein Punkt, den man berücksichtigen sollte.
Die Technologie wird allgemein als IPMI (oder Out-of-Band-Management, wie im Wikipedia-Link) bezeichnet, und obwohl sie heutzutage auf Serverplattformen fast allgegenwärtig ist, müssen Sie danach suchen oder sie speziell auf Desktop-Plattformen anfordern oder Verbrauchergeräte - es ist für diese Plattformen nicht allgemein verfügbar, da es keinen großen Markt dafür gibt. Beachten Sie, dass es einen Unterschied gibt, ob Sie Hardwareunterstützung für eine Funktion haben oder ob diese Funktion tatsächlich installiert und funktionsfähig ist.
„Derzeit ist AMT verfügbar“ bedeutet, dass es in EINIGEN installiert ist, nicht in ALLEN.
Es ist Marketing: Systeme, die an Verbraucher vermarktet werden, haben diese Funktionalität nicht, während Systeme, die an Unternehmen und Unternehmen vermarktet werden, dies im Allgemeinen tun. Natürlich ist es für jeden einfach genug, ein System aus einem der beiden Segmente zu kaufen und manchmal nicht zu wissen, für welches Segment der Computer vermarktet wurde.
Diese Antwort ist falsch. Lights-out-Management hat nichts mit einem Verbrauchercomputer zu tun, der sich automatisch mit dem Internet verbindet und Firmware herunterlädt – es ist eine Technologie, die verwendet wird, um sich über ein lokales Netzwerk mit einem Management-Server zu verbinden. Das sind wirklich andere Biester!
Wäre eine im lokalen Netzwerk verfügbare Schnittstelle nicht für das Internet offen (es sei denn, Sie haben eine Firewall auf Ihrem Router, die diese Ports blockiert)? Von einer anderen Website über vPro: „Einfach durchzuführende sichere Remote-Löschungen werden noch wertvoller, wenn ein PC gestohlen wird oder wenn ein Mitarbeiter entlassen wurde“. Impliziert sicherlich den Zugriff über das Internet (und vermutlich das Gerät, das nach Hause telefoniert, da Sie sonst seine IP-Adresse nicht kennen würden, um es zu kontaktieren).
Diese wahrheitsgemäße Antwort erschreckt mich absolut. Die Tatsache, dass jemand aus irgendeinem Grund auf meinen Computer zugreift, während ich nicht daran bin, ist bestenfalls zweifelhaft, insbesondere ohne meine Erlaubnis. +1
Nur weil die Technologie nicht auf den Verbrauchermarkt ausgerichtet ist, heißt das nicht, dass sie auf Verbrauchergeräten nicht vorhanden ist. Ich habe keine expliziten Referenzen dafür, aber ein Unternehmen wird Ihnen etwas verkaufen, das für sie billiger herzustellen ist. Aus dem gleichen Grund werden übrigens auch heute noch Aschenbecher in Passagierjets eingebaut.
@MichaelJ.: Die Aschenbecher werden von der FAA verlangt; das hat nichts mit den Produktionskosten zu tun.
@ThalesPereira Lights Out muss nicht über das lokale Netzwerk sein. Ich verwende Lights Out regelmäßig über mein WAN. Ohne sie wäre ich nicht in der Lage, viele Remote-Geräte ordnungsgemäß zu beheben.
@kundor Es ist umstritten, ob die FAA Aschenbecher aus einem legitimen Grund verlangt oder ob es einfach billiger ist, sie weiterhin zu verlangen. Es wäre enorm teuer für die FAA, ihre Vorschriften zu ändern, und noch mehr für die Hersteller, sich daran zu halten. Siehe: travel.stackexchange.com/questions/53559/…
@Caesar Der eigentliche Punkt von Lights-out (und die Bedeutung von Out-of-Band) besteht darin, eine dedizierte Buchse auf dem Computer zu haben, die mit einem dedizierten Kabel verbunden ist, das ein dediziertes (und sich stark vom Internet unterscheidendes) Protokoll ausführt. vPro ist eine Softwarelösung mit etwas Hardwareunterstützung.
@Agent_L Ich verstehe, dass dies bei Serverlösungen der Fall ist. Es scheint jedoch, dass die Verbrauchergeräte (womit ich Laptops, Workstations, Tablets, Hybridgeräte meine; möglicherweise für Unternehmen gedacht, aber auch von anderen Power-Usern verwendet), die die vPro-Technologie verwenden, keine separate (physische) Steckdose verwenden; Vielmehr ist die Schnittstelle über die vorhandene Ethernet- oder (häufiger) WLAN-Verbindung verfügbar. Sicherlich würde der oben erwähnte Fall der Fernlöschung im Falle eines Diebstahls von dieser Tatsache abhängen.
Zu Ihrer Information, ich entdeckte in den 1990er Jahren, dass einige meiner ausgeschalteten Computer mitten in der Nacht von selbst hochfuhren. In diesem Fall schalteten sie jedoch den gesamten Computer ein und booteten das Betriebssystem. Es war natürlich ein "Feature", und es war möglich, sie so einzustellen, dass sie dies nicht taten.
Besonders zu beachten: en.wikipedia.org/wiki/…
Wie um alles in der Welt soll es Software aktualisieren, ohne dass die Festplatte mit Strom versorgt wird?
@Mazura kann die HD mit Strom versorgen, wenn der Betreiber dies wünscht. Es kann den Computer booten.
Nun, dann ist es nicht mehr ausgeschaltet und es ist nicht "unabhängig vom Energiezustand des Computers".
"Diese als wahr vorausgesetzte Antwort erschreckt mich absolut" - das zu vermeiden, ist genau der Grund, warum diese Seite existiert. Es gibt keinen Grund, Leute wegen Hardware auszuflippen, die sie gar nicht haben, oder wegen Dingen, die nicht passieren können.
Der Punkt ist, dass der IME immer eingeschaltet und mit dem Internet verbunden ist, selbst wenn sich die Maschine im Energiezustand G2 (S5) befindet (dh ausgeschaltet ist). Bestimmte Fähigkeiten wie das Lesen oder Ändern des Inhalts der Festplatte würden eindeutig das Einschalten dieser Komponenten beinhalten (und bestimmte Fähigkeiten würden das Einschalten der Maschine als Ganzes oder das Booten des Betriebssystems beinhalten, in welchem ​​​​Fall die Maschine nicht länger "heruntergefahren" wäre "). Falls erforderlich, hat das IME die Möglichkeit, dies zu tun.
Hardware in Rechenzentrumsqualität verfügt häufig über einen zweiten/dritten dedizierten Netzwerkport, den das IPMI-System ausschließlich verwenden soll, häufig in einem dedizierten und geschützten Netzwerksegment. Wird oft so gemacht, weil Sie diese Dinge aus Ihrem eigentlichen Produktionsnetzwerk entfernen möchten.
@Caesar: Ich denke, die wichtige Frage ist, ob diese Funktionen bei Verbraucherprodukten standardmäßig aktiviert oder deaktiviert sind. Und wie ein Verbraucher das herausfinden kann. Wenn sie aktiviert sind, dann würde ich mir Sorgen machen -- und würde übrigens auch wissen wollen, wie ich sie selbst verwenden könnte, schon aus keinem anderen Grund, als zu wissen, wie sie funktionieren. Wenn es behindert wäre, wäre es mir egal; es würde keiner externen Entität den Zugriff auf den Computer erlauben ...
FYI, AMT implementiert kein IPMI, sondern ein benutzerdefiniertes Intel-Protokoll, das auf WS-Management basiert. IPMI wird normalerweise von einem vollständig separaten Prozessor/Board namens BMC (Baseboard Management Controller) gehandhabt. AFAIK, es gab Bemühungen von Intel, ein 'uBMC' auf der Basis von ME zu entwickeln, aber es ging nicht wirklich irgendwohin.
@Caesar: Wie Agent_L in seinem Kommentar erwähnte, ist der IME nicht "mit dem Internet verbunden", es sei denn, der Benutzer führt ein dediziertes Kabel zu einem Router, der Router weist eine IP-Adresse zu und der Router erlaubt dieser IP, sich mit dem Wild zu verbinden. Dies geschieht standardmäßig nicht, insbesondere beim Kabelteil.
@Caesar Suchen Sie nach aktuellen Intel-Chipsätzen - nur der Q (Corporate) unterstützt vPro, er ist auf Consumer-Chipsätzen nicht verfügbar
@MartinArgerami das ist falsch, wie verschiedene Leute oben darauf hingewiesen haben. In Rechenzentrumssystemen ist es aus den von rackandboneman aufgezeigten Gründen so, wie Sie sagen. In den meisten Systemen mit dem IME (und sicherlich in allen Consumer-Systemen) wird jedoch das eingebaute Netzwerk des PCs verwendet - Ethernet, WLAN und gelegentlich 3G.
@Agent_L, ich denke, es ist wichtig zu unterscheiden, ob die vPro / AMT- Funktionalität aktiviert ist und ob die Hardware die beschriebenen Fähigkeiten hat. Meine Frage bezog sich auf letzteres (weil die Firmware-Fähigkeiten größtenteils nicht überprüfbar sind), obwohl ersteres sicherlich auch relevante und interessante Informationen sind. Ich werde meine Antwort aktualisieren, um mehr zu unterscheiden und darauf hinzuweisen, dass die Fernzugriffsfunktion auf Consumer-Geräten normalerweise nicht aktiviert ist, obwohl die Hardwarefunktion vorhanden ist.
@Caesar - ja, das habe ich gesagt. Die meisten Verbraucher-Intel-Chipsätze sind nicht vPro-fähig.
@Agent_L, das ist nicht mein Verständnis von dem, was ich gelesen habe. Soweit ich sehen kann, ist ME in den meisten Intel-Chipsätzen vorhanden und verfügt über die beschriebenen Fähigkeiten, obwohl vPro nicht auf allen diesen Chipsätzen verfügbar ist. Ich hoffe jedoch, dass Sie eine Antwort nach Ihrem eigenen Verständnis geben werden.
Gibt es bekannte Exploits für ein deaktiviertes AMT? Oder erst bei der ersten Aktivierung?

Lassen Sie mich die eigentliche Frage beantworten:

Stimmt es, dass die Intel Management Engine und/oder ähnliche Komponenten in Prozessoren anderer Marken sich autonom mit dem Internet verbinden können, wenn der Computer ausgeschaltet ist?

Im Fall von ME lautet die Antwort „vielleicht, in manchen Fällen, aber normalerweise nein“. Zunächst stellt sich die Frage, welche spezifische Art von ICH Sie haben. Es gibt zwei Hauptkategorien: „Consumer“ (1,5 MB) und „Enterprise“ (5 MB). Nur letzteres implementiert die AMT-Funktionalität für die Fernverwaltung. Außerdem muss ein Intel-Ethernet-Chip an Bord sein, der direkt mit dem ME verbunden ist (was nicht immer der Fall ist).

Dann gibt es die Aussage "autonom mit dem Internet verbinden". Das ME hat zwar seine eigene MAC- und IP-Adresse (getrennt vom Host), die es ihm ermöglicht, mit dem Verwaltungs-PC zu kommunizieren, aber es stellt keine wirkliche „Verbindung zum Internet“ her. Normalerweise antwortet es nur auf die Verwaltungsanfragen während der Bereitstellung .

Nun hatte Intel einige Jahre lang eine Version von ME für mobile Chipsätze (zB in Laptops verwendet), die eine Option zur Nutzung der drahtlosen 3G-Verbindung hatte. Wenn das ME vom Benutzer oder seiner IT-Abteilung bereitgestellt und konfiguriert und im Anti-Theft- Programm von Intel registriert wurde, würde es regelmäßig versuchen, sich bei den Servern von Intel (möglicherweise über 3G) einzuloggen, um festzustellen, ob das Gerät als gestohlen gemeldet wurde. In einem solchen Fall würde es beim Booten eine Meldung anzeigen und den PC sperren, damit er nicht verwendet werden kann, oder nach kurzer Zeit automatisch heruntergefahren werden. AFAIK, Intel produziert solche Chipsätze nicht mehr und die 3G-Verbindung wird in den aktuellen ME-Versionen nicht unterstützt. Die Anti-Diebstahl-Funktion wurde ebenfalls eingestellt .

Danke für die Antwort, die einige interessante Informationen enthält. Ich möchte jedoch klar unterscheiden zwischen der Hardware , die die Möglichkeit hat , sich in der gefragten Weise mit dem Internet zu verbinden, und der Software (bzw. Firmware) , die die Nutzung dieser Funktionalität tatsächlich ermöglicht . Beides ist sicherlich interessant und relevant, aber die Frage bezog sich in erster Linie auf ersteres – allein schon deshalb, weil es nahezu unmöglich ist, Angaben des Herstellers zu letzterem unabhängig zu verifizieren.
Ich hoffe, es macht Ihnen nichts aus, wenn ich meine eigene Antwort aktualisiere, um einige der von Ihnen bereitgestellten Informationen aufzunehmen! :-)
Enthalten Verbrauchercomputer Komponenten, die sich mit dem Internet verbinden können, wenn der Computer offensichtlich ausgeschaltet ist?
AntwortenHierDatenschutz-Bestimmungen1y, 0v