Spíš než bezpečnostní chyba se mi uz zdá, že je teď Intel na pranýři z prostého důvodu: je jednoduché si kopnout.. Nejvtipnejsi na tom je, že mnoho bezpečnostních chyb v technologiích, které vetsina medii propira jako horkou novinku jsou známé odborné verejnosti už nekolik let. Chyb jsou mraky, ale jeden web něco publikuje a další to přebírají..a pomalu se z toho stava hysterie..
+1
-4
-1
Je komentář přínosný?
Spíš než bezpečnostní chyba
bigless https://diit.cz/profil/bigless
16. 1. 2018 - 06:13https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseSpíš než bezpečnostní chyba se mi uz zdá, že je teď Intel na pranýři z prostého důvodu: je jednoduché si kopnout.. Nejvtipnejsi na tom je, že mnoho bezpečnostních chyb v technologiích, které vetsina medii propira jako horkou novinku jsou známé odborné verejnosti už nekolik let. Chyb jsou mraky, ale jeden web něco publikuje a další to přebírají..a pomalu se z toho stava hysterie..https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114681
+
Což je ale dobře, snad se Intel vzpamatuje a přestane na své zákazníky kašlat.
+1
+6
-1
Je komentář přínosný?
Což je ale dobře, snad se
Jack FX https://diit.cz/profil/jackfx
16. 1. 2018 - 07:59https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseCož je ale dobře, snad se Intel vzpamatuje a přestane na své zákazníky kašlat.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114735
+
Tohle ale neni vubec problem Intelu. To zas jen no-X tady fabuluje, v ramci sveho rage a nenavisti k Intelu. Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek, protoze:
a) tu technologii nechavaji zapnutou, i kdyz ji zakaznik nepotrebuje. Melo by to byt opt-in, pro ty, kteri ji chteji (a takovi lide si ji samozrejme zabezpeci heslem), aby si ji mohli zapnout
b) kdyz uz tu technologii nechaji zapnutou, nemeli by nechavat defaultni heslo, ale meli by prednastavit nejake rozumne silne heslo a pridat ho do baleni notebooku (podobne, jako to delaji nekteri dobri vyrobci routeru, kdy je nahodne generovane heslo na nalepce primo na routeru)
V technologii jako takove dira neni (alespon ne v tomto konkretnim pripade). Zaslepena nenavist nikdy nikomu nepomohla. Pak vznikaji takovehle paclanky.
+1
-4
-1
Je komentář přínosný?
Tohle ale neni vubec problem
Bedrich https://diit.cz/profil/bedrich-lopata
16. 1. 2018 - 14:59https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTohle ale neni vubec problem Intelu. To zas jen no-X tady fabuluje, v ramci sveho rage a nenavisti k Intelu. Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek, protoze:
a) tu technologii nechavaji zapnutou, i kdyz ji zakaznik nepotrebuje. Melo by to byt opt-in, pro ty, kteri ji chteji (a takovi lide si ji samozrejme zabezpeci heslem), aby si ji mohli zapnout
b) kdyz uz tu technologii nechaji zapnutou, nemeli by nechavat defaultni heslo, ale meli by prednastavit nejake rozumne silne heslo a pridat ho do baleni notebooku (podobne, jako to delaji nekteri dobri vyrobci routeru, kdy je nahodne generovane heslo na nalepce primo na routeru)
V technologii jako takove dira neni (alespon ne v tomto konkretnim pripade). Zaslepena nenavist nikdy nikomu nepomohla. Pak vznikaji takovehle paclanky.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114990
+
„Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek“
Tak prosím jmenujte 3 základní desky nebo notebooky postavené na platformě AMD, které tím trpí, když to není chyba Intelu, ale výrobců desek a notebooků. Díky :-)
+1
0
-1
Je komentář přínosný?
„Tohle je ve skutecnosti
no-X https://diit.cz/autor/no-x
16. 1. 2018 - 16:42https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse„Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek“
Tak prosím jmenujte 3 základní desky nebo notebooky postavené na platformě AMD, které tím trpí, když to není chyba Intelu, ale výrobců desek a notebooků. Díky :-)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115026
+
To je jak nadavat Androidu za to, ze podporuje pametovky, protoze si je nekteri uzivatele svoji blbosti smazou a doplnit to tim, ze iOS prece takove problem nema. (no jasne, kdyz nepodporuje pametovky)
Tohle nema nic spolecneho s produktem (Intel AMT). Je to o tom, kdo ho pouziva (a pouziva ho blbe) a to jsou vyrobci zakladek a notebooku. Vase jalova logika jen dokazuje, co rikam. Staci si precist dalsi komentare a je jasne, ze se mnou souhlasi a tu samou diru ve vasi logice vidi spousta lidi. Jste proste jen fanousek, co si chce kopnout, chce to Intelu ze zahorklosti nandat, i kdyz k tomu neni duvod. Profesionalita nikde ;)
+1
-2
-1
Je komentář přínosný?
To je jak nadavat Androidu za
Bedrich https://diit.cz/profil/bedrich-lopata
16. 1. 2018 - 23:23https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTo je jak nadavat Androidu za to, ze podporuje pametovky, protoze si je nekteri uzivatele svoji blbosti smazou a doplnit to tim, ze iOS prece takove problem nema. (no jasne, kdyz nepodporuje pametovky)
Tohle nema nic spolecneho s produktem (Intel AMT). Je to o tom, kdo ho pouziva (a pouziva ho blbe) a to jsou vyrobci zakladek a notebooku. Vase jalova logika jen dokazuje, co rikam. Staci si precist dalsi komentare a je jasne, ze se mnou souhlasi a tu samou diru ve vasi logice vidi spousta lidi. Jste proste jen fanousek, co si chce kopnout, chce to Intelu ze zahorklosti nandat, i kdyz k tomu neni duvod. Profesionalita nikde ;)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115107
+
To nepopiram. Jde spíš o fakt, ze bezpečnostní diry v SW jsou proste tak nejak otrepane. Prijde zaplata na OS a nikdo moc neresi jestli to v nejakem směru ovlivnuje vykon. Kdyz se objevi HW bezpečnostní dira, je z toho nekonecna telenovela. Pritom pri slozitosti dnesnich cipu se divím, že to ziskalo vetsi pozornost az ted a stale to trva. A pritom nektere z tech chyb existuji jen na papire, tzn nebyl zaznamenan jediny pripad zneuziti. Samozřejmě chyby maji byt opraveny, ale je okolo toho silna hysterie vyvolana medii. Hlavne tohle muze postihnout kazdeho vyrobce. Lidi delaji chyby. Za dva mesice klidne muze vyplavat neco zavazneho na AMD. Proste moc emoci )
+1
+1
-1
Je komentář přínosný?
To nepopiram. Jde spíš o fakt
bigless https://diit.cz/profil/bigless
16. 1. 2018 - 20:11https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTo nepopiram. Jde spíš o fakt, ze bezpečnostní diry v SW jsou proste tak nejak otrepane. Prijde zaplata na OS a nikdo moc neresi jestli to v nejakem směru ovlivnuje vykon. Kdyz se objevi HW bezpečnostní dira, je z toho nekonecna telenovela. Pritom pri slozitosti dnesnich cipu se divím, že to ziskalo vetsi pozornost az ted a stale to trva. A pritom nektere z tech chyb existuji jen na papire, tzn nebyl zaznamenan jediny pripad zneuziti. Samozřejmě chyby maji byt opraveny, ale je okolo toho silna hysterie vyvolana medii. Hlavne tohle muze postihnout kazdeho vyrobce. Lidi delaji chyby. Za dva mesice klidne muze vyplavat neco zavazneho na AMD. Proste moc emoci )https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115089
+
''jako horkou novinku jsou známé odborné verejnosti už nekolik let''
no nevim, ale tohle ctu prvne.. budou nejaky linky na to, ze tenhle problem je znamej uz nekolik let?
''je jednoduché si kopnout.. ''
no to vidim.. (: kopes, kopes, ale nicim to nedokladas..
+1
+3
-1
Je komentář přínosný?
''jako horkou novinku jsou
Tom Buri https://diit.cz/profil/t-b
16. 1. 2018 - 09:35https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse''jako horkou novinku jsou známé odborné verejnosti už nekolik let''
no nevim, ale tohle ctu prvne.. budou nejaky linky na to, ze tenhle problem je znamej uz nekolik let?
''je jednoduché si kopnout.. ''
no to vidim.. (: kopes, kopes, ale nicim to nedokladas..https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114777
+
Nikde jsem nenapsal, že se to týká chyby uváděné v tomto článku. Stejně tak netuším do koho konkrétně kopu. Jmenuj. Tomu co děláš se říká "vkladat nekomu slova do ust" a patří to mezi dezinformační praktiky, nikoli argumenty k diskuzi. A nechtěl po me abych dohledaval vsechny clanky na webu ktere ohlasovaly nejakej bug. Na to mas cas mozna ty behem svýho trolleni, ale ja fakt ne.
+1
0
-1
Je komentář přínosný?
Nikde jsem nenapsal, že se to
bigless https://diit.cz/profil/bigless
16. 1. 2018 - 19:13https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseNikde jsem nenapsal, že se to týká chyby uváděné v tomto článku. Stejně tak netuším do koho konkrétně kopu. Jmenuj. Tomu co děláš se říká "vkladat nekomu slova do ust" a patří to mezi dezinformační praktiky, nikoli argumenty k diskuzi. A nechtěl po me abych dohledaval vsechny clanky na webu ktere ohlasovaly nejakej bug. Na to mas cas mozna ty behem svýho trolleni, ale ja fakt ne.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115071
+
Proč to, že výrobce počítače používá defaultní heslo k AMT, je chybou Intelu?
+1
0
-1
Je komentář přínosný?
Proč to, že výrobce počítače
radek-holecek (neověřeno) https://diit.cz
16. 1. 2018 - 06:29https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseProč to, že výrobce počítače používá defaultní heslo k AMT, je chybou Intelu?https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114684
+
protoze vyrobce prebira referencni koncept intelu.. proc si myslis ze tim jsou zasazeny prakticky vsechny systemy s intelem a zadnej na jiny platforme? (:
+1
+2
-1
Je komentář přínosný?
protoze vyrobce prebira
Tom Buri https://diit.cz/profil/t-b
16. 1. 2018 - 09:27https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseprotoze vyrobce prebira referencni koncept intelu.. proc si myslis ze tim jsou zasazeny prakticky vsechny systemy s intelem a zadnej na jiny platforme? (:https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114768
+
Protože AMT má jen Intel, může to být jen na Intelu. To, že výrobce desky nastaví nějaké heslo (v pořádku) a neupozorní zákazníka, že si ho může a má změnit, je problém výrobce desky a ne Intelu.
Když se prodávají počítače s nezaheslovaným BIOSem, taky tu někdo vyřvává, že je to bezpečnostní chyba Intelu a AMD?
+1
0
-1
Je komentář přínosný?
Protože AMT má jen Intel,
radek-holecek (neověřeno) https://diit.cz
16. 1. 2018 - 17:05https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseProtože AMT má jen Intel, může to být jen na Intelu. To, že výrobce desky nastaví nějaké heslo (v pořádku) a neupozorní zákazníka, že si ho může a má změnit, je problém výrobce desky a ne Intelu.
Když se prodávají počítače s nezaheslovaným BIOSem, taky tu někdo vyřvává, že je to bezpečnostní chyba Intelu a AMD?https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115032
+
Objevil jsem zavaznou chybu ve Windows. Je znama uz leta a Microsoft s ni stale nic neudelal, je to silene! Microsoft dovoli uzivatelum zadat heslo 12345, ktere je jednoduse zhakovatelne a nekdo cizi muze zacit ovladat vas pocitac. :-D :-D :-D
+1
-2
-1
Je komentář přínosný?
Objevil jsem zavaznou chybu
RedMaX https://diit.cz/profil/redmarx
16. 1. 2018 - 06:46https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseObjevil jsem zavaznou chybu ve Windows. Je znama uz leta a Microsoft s ni stale nic neudelal, je to silene! Microsoft dovoli uzivatelum zadat heslo 12345, ktere je jednoduse zhakovatelne a nekdo cizi muze zacit ovladat vas pocitac. :-D :-D :-Dhttps://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114687
+
A mimochodem, pokud jsou v nekterych firmach schopni pouzivat Intel McAfee Security, ktery je deravy jak reseto, tak se vubec nedivim pouzivani AMT a ze to je na stejne urovni.
+1
0
-1
Je komentář přínosný?
A mimochodem, pokud jsou v
RedMaX https://diit.cz/profil/redmarx
16. 1. 2018 - 06:47https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseA mimochodem, pokud jsou v nekterych firmach schopni pouzivat Intel McAfee Security, ktery je deravy jak reseto, tak se vubec nedivim pouzivani AMT a ze to je na stejne urovni.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114690
+
Intel majoritní podíl v McAfee prodal už předloni a ve společnosti se už nijak neangažuje, proto si myslím, že je divné nazývat ten produkt Intel McAfee Security. Navíc neexistuje ani žádný produkt, který by se jmenoval McAfee Security.
+1
0
-1
Je komentář přínosný?
Intel majoritní podíl v
radek-holecek (neověřeno) https://diit.cz
16. 1. 2018 - 06:58https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseIntel majoritní podíl v McAfee prodal už předloni a ve společnosti se už nijak neangažuje, proto si myslím, že je divné nazývat ten produkt Intel McAfee Security. Navíc neexistuje ani žádný produkt, který by se jmenoval McAfee Security.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114693
+
No hlavne ze ma McAfee dva produkty se slovem Security v nazvu, McAfee internet security a McAfee mobile security, i kdyz uznavam ze ten druhy neni pro normalni PC.
+1
+1
-1
Je komentář přínosný?
No hlavne ze ma McAfee dva
xrodney https://diit.cz/profil/rodney
16. 1. 2018 - 07:32https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseNo hlavne ze ma McAfee dva produkty se slovem Security v nazvu, McAfee internet security a McAfee mobile security, i kdyz uznavam ze ten druhy neni pro normalni PC.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114708
+
A to mají jako generovat náhodné heslo a posílat ho poštou, jak PIN k platební kartě? A ještě nejlíp někam jet s deskou ji aktivovat, kde by se podepsalo čestné prohlášení, že nejsem retard a nebudu používat slabá hesla... Problém by to byl, kdyby to bylo jak u některých síťových věcí hardcodované a nešlo změnit, ale tohle je prostě defaultní heslo, jak ho používají snad úplně všichni (přísáhám, že si to heslo admin/admin do routeru už opravdu změním ;)
+1
0
-1
Je komentář přínosný?
A to mají jako generovat
shurin https://diit.cz/profil/shurin
16. 1. 2018 - 07:14https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseA to mají jako generovat náhodné heslo a posílat ho poštou, jak PIN k platební kartě? A ještě nejlíp někam jet s deskou ji aktivovat, kde by se podepsalo čestné prohlášení, že nejsem retard a nebudu používat slabá hesla... Problém by to byl, kdyby to bylo jak u některých síťových věcí hardcodované a nešlo změnit, ale tohle je prostě defaultní heslo, jak ho používají snad úplně všichni (přísáhám, že si to heslo admin/admin do routeru už opravdu změním ;)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114696
+
A co takhle heslo chranene podobne jako Pin/Puk na simce a nebo Pin k bankovni karte prilozeny k dokumentaci, pokud by ho nekdo zjistoval tak to zarucene poznate.
Tak zrovna heslo do biosu ci routeru si vetsina lidi zmeni pri prvnim pouziti, ale kolik lidi ma duvod lest to AMT a nebo dokonce o nem vi? A co se default hesel v network zarizenich tyka tak bohuzel ISP na nejake nastavovani vetsinou kaslou, klidne vam do bytovky daji 10 routeru co jede na stejnem wifi pasmu a ma stejne heslo, jeden z duvodu proc mam za ISP routerem ktery vyuzivam max jako modem svuj vlastni router a Wifi AP a bez defaultniho nastaveni.
+1
+2
-1
Je komentář přínosný?
A co takhle heslo chranene
xrodney https://diit.cz/profil/rodney
16. 1. 2018 - 07:42https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseA co takhle heslo chranene podobne jako Pin/Puk na simce a nebo Pin k bankovni karte prilozeny k dokumentaci, pokud by ho nekdo zjistoval tak to zarucene poznate.
Tak zrovna heslo do biosu ci routeru si vetsina lidi zmeni pri prvnim pouziti, ale kolik lidi ma duvod lest to AMT a nebo dokonce o nem vi? A co se default hesel v network zarizenich tyka tak bohuzel ISP na nejake nastavovani vetsinou kaslou, klidne vam do bytovky daji 10 routeru co jede na stejnem wifi pasmu a ma stejne heslo, jeden z duvodu proc mam za ISP routerem ktery vyuzivam max jako modem svuj vlastni router a Wifi AP a bez defaultniho nastaveni.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114720
+
Tak asi jsem amatér, ale o AMT jsem dosud neslyšel, anebo pod jiným názvem... Co je přesně myšleno těmi firemním ntb? To jako co máme např HP Probook nebo Elitebook tam u těch je tato díra a tato funkce? A co ostatní pc poskládané na platformě Intelu? Chápu to dobře že je to nějaký subsystem, do kterého se dostane útočník nehledě na login do BIOSu/win, ale jak se tam dostane, pokud je pc spuštěny a locknuty...? Pokud je pc vypnutý a nepoužívá žádný wake on lan, tak jak jej zapne aby do AMT nabootoval?
Diky za odpovědi, rád bych se dozvěděl více.
+1
+2
-1
Je komentář přínosný?
Tak asi jsem amatér, ale o
koudy_cz https://diit.cz/profil/koudycz
16. 1. 2018 - 07:30https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTak asi jsem amatér, ale o AMT jsem dosud neslyšel, anebo pod jiným názvem... Co je přesně myšleno těmi firemním ntb? To jako co máme např HP Probook nebo Elitebook tam u těch je tato díra a tato funkce? A co ostatní pc poskládané na platformě Intelu? Chápu to dobře že je to nějaký subsystem, do kterého se dostane útočník nehledě na login do BIOSu/win, ale jak se tam dostane, pokud je pc spuštěny a locknuty...? Pokud je pc vypnutý a nepoužívá žádný wake on lan, tak jak jej zapne aby do AMT nabootoval?
Diky za odpovědi, rád bych se dozvěděl více. https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114705
+
Obecně se dá říct, jestliže má notebook vPRO pak má i ATM. ATM jde v BIOSu zakázat ale jeho skutečné vypnutí je pak otázkou implementace daného výrobce. Probook a Elitebook jdou tedy jistě zasaženy. Není nic snazšího než to vyzkoušet :-)
+1
0
-1
Je komentář přínosný?
Obecně se dá říct, jestliže
Kert https://diit.cz/profil/kert
16. 1. 2018 - 07:54https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseObecně se dá říct, jestliže má notebook vPRO pak má i ATM. ATM jde v BIOSu zakázat ale jeho skutečné vypnutí je pak otázkou implementace daného výrobce. Probook a Elitebook jdou tedy jistě zasaženy. Není nic snazšího než to vyzkoušet :-)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114726
+
U probook to nejde hned jsem to zkusil a navíc má probook preboot security! ptá se na heslo ještě dřív něž se dá dostat do biosu. chce to i heslo pokud se pokusím změnit boot priority.
17. 1. 2018 - 10:38https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseU probook to nejde hned jsem to zkusil a navíc má probook preboot security! ptá se na heslo ještě dřív něž se dá dostat do biosu. chce to i heslo pokud se pokusím změnit boot priority.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115284
+
Ano, přesně tak. Aby celý ten systém byl funkční, musí splňovat několik podmínek, jako povolení iAMT v BIOSu a WakeOnLAN. Celý vtip je ale v tom, že firmy (velké firmy) nenakupují notebooky jako běžný zákazník. Běžný zákazník jde do obchodu a vybere laptop podle ceny, jenže firemní zákazník zvedne sluchátko a zavolá: "Dobrý den, pane HP, potřebuju notebooka."
Pan HP se ho zeptá: "A chcete standartní konfiguraci, nebo chcete něco upravit?"
No a tady v tom okamžiku silně záleží na tom firemním zákazníkovi, jestli je manažerem anebo ajťákem.
Manažer totiž řekne: "To je v poho, my máme IT oddělení, takže oni to nastaví sami. Hlavně, aby to bylo levně. Prosím pět tisíc kusů. Ušetřené peníze budou na felinu pro syna."
Ajťák naproti tomu řekne: "Nechce se mi na tom moc dělat. Chci tam image, kterej vám dodám, BIOS zaheslujte tímhle heslem, vypněte iAMT a WakeOnLAN a do každý bedny dejte tašku a myš, ať to tu nemusíme řešit. Starej sice nebude mít na felinu pro syna hned, ale nebudem muset řešit pět tisíc notebooků, takže mu na to vyděláme rychleji."
No a to je ten rozdíl. V základní konfiguraci odejde notebook nastavený tak, jak je popsáno výše a nikdo se s tím nikdy nastavovat nebude, protože se ušetří čas. A to je asi tak všechno.
+1
+4
-1
Je komentář přínosný?
Ano, přesně tak. Aby celý ten
DrStr https://diit.cz/autor/drstr
16. 1. 2018 - 08:02https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseAno, přesně tak. Aby celý ten systém byl funkční, musí splňovat několik podmínek, jako povolení iAMT v BIOSu a WakeOnLAN. Celý vtip je ale v tom, že firmy (velké firmy) nenakupují notebooky jako běžný zákazník. Běžný zákazník jde do obchodu a vybere laptop podle ceny, jenže firemní zákazník zvedne sluchátko a zavolá: "Dobrý den, pane HP, potřebuju notebooka."
Pan HP se ho zeptá: "A chcete standartní konfiguraci, nebo chcete něco upravit?"
No a tady v tom okamžiku silně záleží na tom firemním zákazníkovi, jestli je manažerem anebo ajťákem.
Manažer totiž řekne: "To je v poho, my máme IT oddělení, takže oni to nastaví sami. Hlavně, aby to bylo levně. Prosím pět tisíc kusů. Ušetřené peníze budou na felinu pro syna."
Ajťák naproti tomu řekne: "Nechce se mi na tom moc dělat. Chci tam image, kterej vám dodám, BIOS zaheslujte tímhle heslem, vypněte iAMT a WakeOnLAN a do každý bedny dejte tašku a myš, ať to tu nemusíme řešit. Starej sice nebude mít na felinu pro syna hned, ale nebudem muset řešit pět tisíc notebooků, takže mu na to vyděláme rychleji."
No a to je ten rozdíl. V základní konfiguraci odejde notebook nastavený tak, jak je popsáno výše a nikdo se s tím nikdy nastavovat nebude, protože se ušetří čas. A to je asi tak všechno.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114738
+
Oukej, hned jak budu v kanclu, tak na to mrknu. V BIOSech takovýchto zařízení toho k nastavení obyčejně je velmi málo, takže bych si toho snad i všiml, no uvidíme.
+1
0
-1
Je komentář přínosný?
Oukej, hned jak budu v kanclu
koudy_cz https://diit.cz/profil/koudycz
16. 1. 2018 - 08:07https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseOukej, hned jak budu v kanclu, tak na to mrknu. V BIOSech takovýchto zařízení toho k nastavení obyčejně je velmi málo, takže bych si toho snad i všiml, no uvidíme. https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114744
+
Ne tak to není. Základní verze těchto notebooků vPro a AMT nemají, to je nutné objednat zvlášť a je to cca o 3000 dražší, takže si to objednává jen ten, kdo ví o co jde.
+1
-1
-1
Je komentář přínosný?
Ne tak to není. Základní
Jaroslav Brümmer https://diit.cz/profil/jfb
16. 1. 2018 - 11:18https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseNe tak to není. Základní verze těchto notebooků vPro a AMT nemají, to je nutné objednat zvlášť a je to cca o 3000 dražší, takže si to objednává jen ten, kdo ví o co jde. https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114840
+
To je zajímavé, protože když jsem dělal ve Foxconnu, tak se to dávalo do všech notebooků třídy bussiness, jenom jsme to někde aktivovali a někde ne :-).
+1
+4
-1
Je komentář přínosný?
To je zajímavé, protože když
DrStr https://diit.cz/autor/drstr
16. 1. 2018 - 12:29https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTo je zajímavé, protože když jsem dělal ve Foxconnu, tak se to dávalo do všech notebooků třídy bussiness, jenom jsme to někde aktivovali a někde ne :-).https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114894
+
Já sice ve foxconnu nedělal, ale přesně tak bych to očekával. Ostatně, rodičům jsem vybíral počítač a tak jsem šáhnul po lokálním refubrished prodejci a vzal optiplex 7010. Je trochu smutné, že vždycky zahodím tu úmornou práci těch lidí v té firmě (instalovat OS na 4GB RAM a starej plotňák, včetně driverů), ale stroj vždy rozdělám, zkontroluju, upgradnu co jde, vyčistím a přepastuju (i když byl celkem vyčištěn, stejně to nebylo úplně ono). No a na kysně byla gigantická nálepka IME Disabled (z vnitřní strany).
Stejné je to s procesory (ty 8C ryzeny 5 nebo 3) a další elektronikou (různé sériové záležitosti, jako třeba základní model osciloskopů od Rigolu, kde lze "upgradem" SW získat lepší parametry). Tak to dneska chodí :)
+1
+1
-1
Je komentář přínosný?
Já sice ve foxconnu nedělal,
Artael https://diit.cz/profil/artael
17. 1. 2018 - 09:15https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseJá sice ve foxconnu nedělal, ale přesně tak bych to očekával. Ostatně, rodičům jsem vybíral počítač a tak jsem šáhnul po lokálním refubrished prodejci a vzal optiplex 7010. Je trochu smutné, že vždycky zahodím tu úmornou práci těch lidí v té firmě (instalovat OS na 4GB RAM a starej plotňák, včetně driverů), ale stroj vždy rozdělám, zkontroluju, upgradnu co jde, vyčistím a přepastuju (i když byl celkem vyčištěn, stejně to nebylo úplně ono). No a na kysně byla gigantická nálepka IME Disabled (z vnitřní strany).
Stejné je to s procesory (ty 8C ryzeny 5 nebo 3) a další elektronikou (různé sériové záležitosti, jako třeba základní model osciloskopů od Rigolu, kde lze "upgradem" SW získat lepší parametry). Tak to dneska chodí :)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115209
+
Aby všechno fungovalo, musí to mít čipset+CPU s podporou. Věřím, že ty desky jsou ve skutečnosti stejnéé, a jen nastavením ve foxconnu se z nich udělá ta nižší bez podpory.
+1
0
-1
Je komentář přínosný?
Aby všechno fungovalo, musí
Jaroslav Brümmer https://diit.cz/profil/jfb
17. 1. 2018 - 14:41https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseAby všechno fungovalo, musí to mít čipset+CPU s podporou. Věřím, že ty desky jsou ve skutečnosti stejnéé, a jen nastavením ve foxconnu se z nich udělá ta nižší bez podpory. https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115471
+
Tak my máme normálně z krámu, ale i refurbished Pro/Elite Booky a tam už to mohli mít objednané, bůhví odkud to stroje jsou...
+1
0
-1
Je komentář přínosný?
Tak my máme normálně z krámu,
koudy_cz https://diit.cz/profil/koudycz
16. 1. 2018 - 16:34https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTak my máme normálně z krámu, ale i refurbished Pro/Elite Booky a tam už to mohli mít objednané, bůhví odkud to stroje jsou...https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115020
+
Tak ProBook jsem projel a v BIOSu nic nenašel, Ctrl+P při bootu nic nedělá, tak snad...
Ještě obchoďákův EliteBook, ten je ale novy ze shopu, takze tam predpokladam to nebude.
+1
0
-1
Je komentář přínosný?
Tak ProBook jsem projel a v
koudy_cz https://diit.cz/profil/koudycz
17. 1. 2018 - 10:22https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTak ProBook jsem projel a v BIOSu nic nenašel, Ctrl+P při bootu nic nedělá, tak snad...
Ještě obchoďákův EliteBook, ten je ale novy ze shopu, takze tam predpokladam to nebude.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115266
+
16. 1. 2018 - 07:56https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusekde je zoznam postihnutych procesorov?https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114732
+
Postihnuté procesory... ona to fakt není chyba Intelu, nýbrž zákazníků, kteří si koupili něco, aniž by to vzápětí adekvátně nastavili.
Jinak půjde především o všemožná i7 U řady, ale netroufnu si zevšeobecňovat, protože systém označování procesorů jsem přestal chápat už dávno a tady navíc záleží i na výrobci notebooku.
+1
0
-1
Je komentář přínosný?
Postihnuté procesory... ona
Tiktak https://diit.cz/profil/jan-kadlcek
16. 1. 2018 - 09:07https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusePostihnuté procesory... ona to fakt není chyba Intelu, nýbrž zákazníků, kteří si koupili něco, aniž by to vzápětí adekvátně nastavili.
Jinak půjde především o všemožná i7 U řady, ale netroufnu si zevšeobecňovat, protože systém označování procesorů jsem přestal chápat už dávno a tady navíc záleží i na výrobci notebooku.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114759
+
je to chyba intelu, kdyz si nastavis heslo k EFI a to ti pak chrani pulku systemu, tak to samozrejme neni chyba zakaznika.. ukaz mi jedinej dokument intelu kerej zakaznikovi sdeluje ze heslo k AMT je nadrazeny heslu k EFI.. tohle je proste dojebana hierarchie..
+1
+5
-1
Je komentář přínosný?
je to chyba intelu, kdyz si
Tom Buri https://diit.cz/profil/t-b
16. 1. 2018 - 09:31https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseje to chyba intelu, kdyz si nastavis heslo k EFI a to ti pak chrani pulku systemu, tak to samozrejme neni chyba zakaznika.. ukaz mi jedinej dokument intelu kerej zakaznikovi sdeluje ze heslo k AMT je nadrazeny heslu k EFI.. tohle je proste dojebana hierarchie..https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114771
+
No, z principu celé té technologie - to, k čemu slouží - mi přijde podivné, že by heslo k EFI mělo být nadřazené heslu k AMT. To by prostě nedávalo smysl a mohl by ses na celé AMT vybodnout.
+1
-1
-1
Je komentář přínosný?
No, z principu celé té
Tiktak https://diit.cz/profil/jan-kadlcek
16. 1. 2018 - 09:39https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseNo, z principu celé té technologie - to, k čemu slouží - mi přijde podivné, že by heslo k EFI mělo být nadřazené heslu k AMT. To by prostě nedávalo smysl a mohl by ses na celé AMT vybodnout.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114780
+
tak jasne, jenze zakaznik nemuze cekat, ze ma implicitne zapnutou funkci, ktera nekomu umoznuje obejit heslo EFI.. bud by melo bejt AMT implicitne vyply a pri zapnuti zadat o zadani hesla (tim se vyhne jak implicine zapnutymu AMT tak exitenci nejakyho hesla ktery maj pak vsechny notasy) nebo - kdyz uz musi bejt AMT implicitne zaply - tak by nemelo bejt ve vychozim nastaveni nadrazeny EFI (pac v takovy konfiguraci ho nikdo pro nic dobryho nemuze pouzivat) a az po zmene vychoziho nastaveni k nemu bude mozny pristupovat mimo EFI..
ta vychozi kombinace intelu je fakt nepochopitelna a otevira diru jak krava.. (:
+1
+2
-1
Je komentář přínosný?
tak jasne, jenze zakaznik
Tom Buri https://diit.cz/profil/t-b
16. 1. 2018 - 09:55https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusetak jasne, jenze zakaznik nemuze cekat, ze ma implicitne zapnutou funkci, ktera nekomu umoznuje obejit heslo EFI.. bud by melo bejt AMT implicitne vyply a pri zapnuti zadat o zadani hesla (tim se vyhne jak implicine zapnutymu AMT tak exitenci nejakyho hesla ktery maj pak vsechny notasy) nebo - kdyz uz musi bejt AMT implicitne zaply - tak by nemelo bejt ve vychozim nastaveni nadrazeny EFI (pac v takovy konfiguraci ho nikdo pro nic dobryho nemuze pouzivat) a az po zmene vychoziho nastaveni k nemu bude mozny pristupovat mimo EFI..
ta vychozi kombinace intelu je fakt nepochopitelna a otevira diru jak krava.. (:https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114795
+
a ono heslo do biosu nekdy nekoho jako zastavilo kdyz mas fyzickej pristup ?
vzdycky je tam override kvuli zapomenuti
+1
0
-1
Je komentář přínosný?
a ono heslo do biosu nekdy
Warden https://diit.cz/profil/warden
16. 1. 2018 - 10:22https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusea ono heslo do biosu nekdy nekoho jako zastavilo kdyz mas fyzickej pristup ?
vzdycky je tam override kvuli zapomenutihttps://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114807
+
Postup, při kterém na notebooku za 30 sekund vyresetuju heslo k BIOSu a získám k němu vzdálený přístup, aniž by se chování notebooku změnilo a vzbudilo to jakoukoli pozornost, bych rád znal :-)
+1
0
-1
Je komentář přínosný?
Postup, při kterém na
no-X https://diit.cz/autor/no-x
16. 1. 2018 - 10:30https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusePostup, při kterém na notebooku za 30 sekund vyresetuju heslo k BIOSu a získám k němu vzdálený přístup, aniž by se chování notebooku změnilo a vzbudilo to jakoukoli pozornost, bych rád znal :-)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114810
+
tak asi neumis cist, protoze to nidko netvrdi, jen rikam, ze i kdyz ti to nedovoli obejit heslo v efi tak je to stejne irelevantni, protoze obejit heslo v efi je sranda...
navic i kdyz ziskas vzdalenou plochu tak se stejne budes divat na zmackni ctrl+alt+del nez se ti dotycnej naloguje navic to jeste dotycnej vidi, ze se mu tam nekdo lognul
+1
0
-1
Je komentář přínosný?
tak asi neumis cist, protoze
Warden https://diit.cz/profil/warden
16. 1. 2018 - 10:39https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusetak asi neumis cist, protoze to nidko netvrdi, jen rikam, ze i kdyz ti to nedovoli obejit heslo v efi tak je to stejne irelevantni, protoze obejit heslo v efi je sranda...
navic i kdyz ziskas vzdalenou plochu tak se stejne budes divat na zmackni ctrl+alt+del nez se ti dotycnej naloguje navic to jeste dotycnej vidi, ze se mu tam nekdo lognulhttps://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114813
+
Možná neumím číst, ale to, co popisuješ, prostě není v žádném ohledu adekvátní situace, ani srovnatelná bezpečnostní díra. Buďto zásah bude patrný a uživatel pozná, že se s notebookem něco dělo, nebo útočník ztroskotá na další úrovni ochrany. Ani jedno navíc není proces, který se dá stihnout během pár okamžiků, kdy si uživatel notebooku odběhne z kanceláře pro kafe.
+1
+2
-1
Je komentář přínosný?
Možná neumím číst, ale to, co
no-X https://diit.cz/autor/no-x
16. 1. 2018 - 10:46https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseMožná neumím číst, ale to, co popisuješ, prostě není v žádném ohledu adekvátní situace, ani srovnatelná bezpečnostní díra. Buďto zásah bude patrný a uživatel pozná, že se s notebookem něco dělo, nebo útočník ztroskotá na další úrovni ochrany. Ani jedno navíc není proces, který se dá stihnout během pár okamžiků, kdy si uživatel notebooku odběhne z kanceláře pro kafe.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114825
+
Až na to, že toto není v žádném případě problém Intelu. Pokud necháte v routeru defaultní přístup admin/admin, tak je to taky chyba výrobce routeru, že se vám do něj někdo dostal?
+1
+1
-1
Je komentář přínosný?
Až na to, že toto není v
Potooczech https://diit.cz/profil/lukas-kment
16. 1. 2018 - 08:24https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseAž na to, že toto není v žádném případě problém Intelu. Pokud necháte v routeru defaultní přístup admin/admin, tak je to taky chyba výrobce routeru, že se vám do něj někdo dostal? https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114747
+
Problem to je. Ak si aj zmenite heslo do EFI, viete sa prihlasit aj heslom do AMT do EFI
+1
+3
-1
Je komentář přínosný?
Problem to je. Ak si aj
Peter Fodrek https://diit.cz/profil/fotobanew
16. 1. 2018 - 08:47https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseProblem to je. Ak si aj zmenite heslo do EFI, viete sa prihlasit aj heslom do AMT do EFIhttps://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114750
+
To je nieco ine. Problem je, ze vela ludi nevie o tom, ze je potrebne nastavit aj druhe heslo, ktorym sa da pripojit na ten router z WAN (niekedy to bol napr. telnet).
Problem dnesnych veci je, ze defaultne sa dodavaju aktivovane. Normalny stav je dodat zaklad, s tym, ze si dotycny aktivuje funkcie, ktore potrebuje.
+1
+5
-1
Je komentář přínosný?
To je nieco ine. Problem je,
Pocituj Lasku https://diit.cz/profil/pocitujlasku
16. 1. 2018 - 09:06https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTo je nieco ine. Problem je, ze vela ludi nevie o tom, ze je potrebne nastavit aj druhe heslo, ktorym sa da pripojit na ten router z WAN (niekedy to bol napr. telnet).
Problem dnesnych veci je, ze defaultne sa dodavaju aktivovane. Normalny stav je dodat zaklad, s tym, ze si dotycny aktivuje funkcie, ktore potrebuje.
https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114756
+
Já to pochopil tak, že je to defaultně deaktivované, ale jde to aktivovat prostou klávesovou zkratkou. (což, přiznávám, je pro notebooky kiks jak prase:) )
+1
0
-1
Je komentář přínosný?
Já to pochopil tak, že je to
Tiktak https://diit.cz/profil/jan-kadlcek
16. 1. 2018 - 09:40https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseJá to pochopil tak, že je to defaultně deaktivované, ale jde to aktivovat prostou klávesovou zkratkou. (což, přiznávám, je pro notebooky kiks jak prase:) )https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114774
+
Existuje nějak možnost to zjisit bez toho aniž bych instaloval Intel Managment and Security Status?
Díky
+1
0
-1
Je komentář přínosný?
Tak tohle je pěkná prasárna,
code https://diit.cz/profil/jmeno-prijmeni123
16. 1. 2018 - 08:59https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTak tohle je pěkná prasárna, potom co jsem si přečetl tohle - https://software.intel.com/en-us/forums/intel-business-client-software-development/topic/563988 a mám to v BIOSu deaktivované, tak bych ještě rád ve Win ověřil zdali je to aktivní či ne.
Existuje nějak možnost to zjisit bez toho aniž bych instaloval Intel Managment and Security Status?
Díkyhttps://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114753
+
tak kdyz ma clovek fyzickej pristup k zarizeni....
to je jak dojit k jakymukoli serveru HP, otevrit case a prepnout pin 1 na SW2 a ziskate uplne stejnej pristup
+1
0
-1
Je komentář přínosný?
tak kdyz ma clovek fyzickej
Warden https://diit.cz/profil/warden
16. 1. 2018 - 09:15https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusetak kdyz ma clovek fyzickej pristup k zarizeni....
to je jak dojit k jakymukoli serveru HP, otevrit case a prepnout pin 1 na SW2 a ziskate uplne stejnej pristuphttps://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114762
+
Jenže přepnout switch u servru a zmáčknout Ctrl-P u notebooku je trochu rozdíl...
+1
+3
-1
Je komentář přínosný?
Jenže přepnout switch u
Jirka1 https://diit.cz/profil/jirka1
16. 1. 2018 - 09:48https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseJenže přepnout switch u servru a zmáčknout Ctrl-P u notebooku je trochu rozdíl...https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114786
+
V BIOSech vždycky byla nějaká default hesla, ale díky za připomenutí.
+1
0
-1
Je komentář přínosný?
V BIOSech vždycky byla nějaká
Pety https://diit.cz/profil/petyy
16. 1. 2018 - 10:02https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseV BIOSech vždycky byla nějaká default hesla, ale díky za připomenutí.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114798
+
Tady je problém spíš to, že zvolená hierarchie, výchozí nastavení systému a výchozí heslo, vytvářejí kombinaci, která je z hlediska bezpečnosti nejhorší možná.
+1
0
-1
Je komentář přínosný?
Tady je problém spíš to, že
no-X https://diit.cz/autor/no-x
16. 1. 2018 - 10:19https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTady je problém spíš to, že zvolená hierarchie, výchozí nastavení systému a výchozí heslo, vytvářejí kombinaci, která je z hlediska bezpečnosti nejhorší možná.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114804
+
Tak tohle je fakt jen bouře ve sklenici vody. Stroje s funkčním vPro a AMT jsou o dost dražší, než jejich základní, jinak stejně výkonná, varianta, takže si to objednávají jen společnosti, které ví o co jde. a ty by měly mít lidi, kteří ví co a jak z hlediska bezpečnosti a zabezpečení.
Jak toto má řešeno AMD, kde alternativu k AIMT má naprostá většina CPU?
+1
0
-1
Je komentář přínosný?
Tak tohle je fakt jen bouře
Jaroslav Brümmer https://diit.cz/profil/jfb
16. 1. 2018 - 11:22https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseTak tohle je fakt jen bouře ve sklenici vody. Stroje s funkčním vPro a AMT jsou o dost dražší, než jejich základní, jinak stejně výkonná, varianta, takže si to objednávají jen společnosti, které ví o co jde. a ty by měly mít lidi, kteří ví co a jak z hlediska bezpečnosti a zabezpečení.
Jak toto má řešeno AMD, kde alternativu k AIMT má naprostá většina CPU? https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114846
+
super argument.. kdyz se to tyka drahejch notebooku, tak vlastne nevadi, ze to intel posral, protoze ve firmach sedi vestci, ktery maji predpokladat ze intel neco posere a ocekavat nedokumentovanou funkcnost, o ktery nikdo netusil..
+1
+4
-1
Je komentář přínosný?
super argument.. kdyz se to
Tom Buri https://diit.cz/profil/t-b
16. 1. 2018 - 11:51https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusesuper argument.. kdyz se to tyka drahejch notebooku, tak vlastne nevadi, ze to intel posral, protoze ve firmach sedi vestci, ktery maji predpokladat ze intel neco posere a ocekavat nedokumentovanou funkcnost, o ktery nikdo netusil..https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114867
+
Ján Olšan z konkurenčného webu napísal nasledovné:
"Celý tento problém je způsoben tím, že výrobci notebooků používají nebezpečné výchozí nastavení pro Active Management Technology a nezamezují přístupu do MEBx. F-Secure uvádí, že problém je značně rozšířený. Intel přitom partnery v dokumentaci nabádá k tomu, aby tuto díru do systému nenechávali otevřenou. V doporučeních je například, aby bylo pro konfiguraci AMT také vyžadováno heslo BIOSu, jehož nastavení by poté uživatele ochránilo (toto heslo ale také samozřejmě musíte mít manuálně nastaveno). Odpovědnost tedy padá na výrobce počítačů, ne na Intel."
Z toho mi nevychádza, že by mal byť za túto situáciu zodpovedný Intel.
+1
0
-1
Je komentář přínosný?
Ján Olšan z konkurenčného
Marek Moravčík https://diit.cz/profil/mareknr
16. 1. 2018 - 12:10https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseJán Olšan z konkurenčného webu napísal nasledovné:
"Celý tento problém je způsoben tím, že výrobci notebooků používají nebezpečné výchozí nastavení pro Active Management Technology a nezamezují přístupu do MEBx. F-Secure uvádí, že problém je značně rozšířený. Intel přitom partnery v dokumentaci nabádá k tomu, aby tuto díru do systému nenechávali otevřenou. V doporučeních je například, aby bylo pro konfiguraci AMT také vyžadováno heslo BIOSu, jehož nastavení by poté uživatele ochránilo (toto heslo ale také samozřejmě musíte mít manuálně nastaveno). Odpovědnost tedy padá na výrobce počítačů, ne na Intel."
Z toho mi nevychádza, že by mal byť za túto situáciu zodpovedný Intel.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114882
+
Podívej, Buri řekl, že za to může Intel, tak to tak už je :) S Meltdown má Intel máslo na hlavě, to bez řečí, ale za blbost výrobců s AMT opravdu nemůže.
+1
-1
-1
Je komentář přínosný?
Podívej, Buri řekl, že za to
mike https://diit.cz/profil/mike
16. 1. 2018 - 13:43https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusePodívej, Buri řekl, že za to může Intel, tak to tak už je :) S Meltdown má Intel máslo na hlavě, to bez řečí, ale za blbost výrobců s AMT opravdu nemůže.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114945
+
..>90 % firemnich ntb intelu problem ma
..u zadnyho notebooku amd ten problem neni
takze co? lenovo, asus, hp, vsichni se domluvili, ze budou delat intelu na truc problem, ale amd ne? nebo jak si predstavujes, ze to vzniklo? intel proste umoznil, ze existuje vychozi kombinace kdy muzu po zmene EFI hesla se stejne do EFI muzu prihlasit pres AMT, aniz bych znal heslo k EFI.. takova kombinace, kdy je navic AMT implicitne zaply a nechraneny, vubec nema existovat.. intel je ten, kdo ji umoznil..
+1
+3
-1
Je komentář přínosný?
staci obcas pouzit mozek..
Tom Buri https://diit.cz/profil/t-b
16. 1. 2018 - 13:57https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusestaci obcas pouzit mozek..
..>90 % firemnich ntb intelu problem ma
..u zadnyho notebooku amd ten problem neni
takze co? lenovo, asus, hp, vsichni se domluvili, ze budou delat intelu na truc problem, ale amd ne? nebo jak si predstavujes, ze to vzniklo? intel proste umoznil, ze existuje vychozi kombinace kdy muzu po zmene EFI hesla se stejne do EFI muzu prihlasit pres AMT, aniz bych znal heslo k EFI.. takova kombinace, kdy je navic AMT implicitne zaply a nechraneny, vubec nema existovat.. intel je ten, kdo ji umoznil..https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114969
+
Boli nútení výrobcovia NTB používať AMT? Nemali na výber? Pýtam sa lebo sám neviem. V prípade, že nemuseli, tak je namieste sa pozastaviť aj nad tým, že to urobili a použili ju spôsobom, aký Intel v dokumentácii neodporúča. Tým ale nijak nespochybňujem to, že daná situácia pri implicitnom nastavení nemala nastať. To je proste fail.
+1
0
-1
Je komentář přínosný?
Boli nútení výrobcovia NTB
Marek Moravčík https://diit.cz/profil/mareknr
16. 1. 2018 - 14:22https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseBoli nútení výrobcovia NTB používať AMT? Nemali na výber? Pýtam sa lebo sám neviem. V prípade, že nemuseli, tak je namieste sa pozastaviť aj nad tým, že to urobili a použili ju spôsobom, aký Intel v dokumentácii neodporúča. Tým ale nijak nespochybňujem to, že daná situácia pri implicitnom nastavení nemala nastať. To je proste fail.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114984
+
IMHO je chyba na obou stranach v tomto prioade. Primarni chyba nebo spis primarne ie spatne, ze vubec neco jako AMT vubec existuje. Blacbox, ktery nema jasne pravidla, nikdo do toho nevidi. Chyby (jine) jak na bezicim pase, umoznujici obejiti vsech standardnich bezp. principu. Neco takoveho nemelo vubec vzniknout.
+1
+1
-1
Je komentář přínosný?
IMHO je chyba na obou
tombomino https://diit.cz/profil/tombomino
16. 1. 2018 - 16:02https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseIMHO je chyba na obou stranach v tomto prioade. Primarni chyba nebo spis primarne ie spatne, ze vubec neco jako AMT vubec existuje. Blacbox, ktery nema jasne pravidla, nikdo do toho nevidi. Chyby (jine) jak na bezicim pase, umoznujici obejiti vsech standardnich bezp. principu. Neco takoveho nemelo vubec vzniknout. https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115014
+
dalsi problem je mozno aj redistribucia nepredanych kusov oem partnerov:
C:\Users\ovad>wmic computersystem get model
Model
To be filled by O.E.M.
+1
0
-1
Je komentář přínosný?
dalsi problem je mozno aj
ovadisko https://diit.cz/profil/ovadisko
16. 1. 2018 - 18:45https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusedalsi problem je mozno aj redistribucia nepredanych kusov oem partnerov:
C:\Users\ovad>wmic computersystem get model
Model
To be filled by O.E.M.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115056
+
Chyba je vzdy na obou stranach. jak na strane manzelky..... tak na strane tchyne. :-)
+1
0
-1
Je komentář přínosný?
Chyba je vzdy na obou
Kardano https://diit.cz/profil/peter-mikus
16. 1. 2018 - 22:48https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseChyba je vzdy na obou stranach. jak na strane manzelky..... tak na strane tchyne. :-)https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115098
+
Je to tak. Do celé problematiky AMT moc nevidím (měl jsem to na ntb, ale vypínal jsem to a nikdy jsem to nepoužil), už roky jedu pjur na desktopu kde je tahle věc vypnutá.
Tipuju že celé je to o supportu HW (tzn. jestli je CPU s podporou vPro, chipset a celkově mobo) a potom to leží na bedrech FW (EFI + IME (ve kterém to celé leží, ny?)). Intel tipuju všem distribuuje stejný FW a hrejte si (od tud asi to default heslo, které doporučuje změnit). Výrobci na to dlabou nebo to ti čínani nečtou celé a dodělají k tomu ten zbytek. Ti slušní to jen defaultně vypnou, zbytek to nechá zapnuté (default).
Proč je to standardně zapnuté? Podle mě ze stejného důvodu, jako je zapnutá správa routeru i z portů označených jako WAN. Aby to někdo připojil do fungující infrastruktury, nastavil to a běhalo to. Čili jeden ze správců firemní sítě položí stroj na místo pracoviště a vzdáleně to zapne, nastaví ze svého teplého bydélka.
U serveru se snad AMT nepoužívá, tam máme IPMI, kdy v případě HP iLO (můj prehistorickej DL360 G3) je na serveru nalepena nálepka s loginem, MAC... zkrátka vším nutným. Server se pak hodí do racku, je k tomu možná i druhá nálepka (já to měl z druhé ruky) a nebo si to prostě vyfotí na telefon a vzdáleně vše nakonfiguruje a nainstaluje.
+1
0
-1
Je komentář přínosný?
Je to tak. Do celé
Artael https://diit.cz/profil/artael
17. 1. 2018 - 09:24https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseJe to tak. Do celé problematiky AMT moc nevidím (měl jsem to na ntb, ale vypínal jsem to a nikdy jsem to nepoužil), už roky jedu pjur na desktopu kde je tahle věc vypnutá.
Tipuju že celé je to o supportu HW (tzn. jestli je CPU s podporou vPro, chipset a celkově mobo) a potom to leží na bedrech FW (EFI + IME (ve kterém to celé leží, ny?)). Intel tipuju všem distribuuje stejný FW a hrejte si (od tud asi to default heslo, které doporučuje změnit). Výrobci na to dlabou nebo to ti čínani nečtou celé a dodělají k tomu ten zbytek. Ti slušní to jen defaultně vypnou, zbytek to nechá zapnuté (default).
Proč je to standardně zapnuté? Podle mě ze stejného důvodu, jako je zapnutá správa routeru i z portů označených jako WAN. Aby to někdo připojil do fungující infrastruktury, nastavil to a běhalo to. Čili jeden ze správců firemní sítě položí stroj na místo pracoviště a vzdáleně to zapne, nastaví ze svého teplého bydélka.
U serveru se snad AMT nepoužívá, tam máme IPMI, kdy v případě HP iLO (můj prehistorickej DL360 G3) je na serveru nalepena nálepka s loginem, MAC... zkrátka vším nutným. Server se pak hodí do racku, je k tomu možná i druhá nálepka (já to měl z druhé ruky) a nebo si to prostě vyfotí na telefon a vzdáleně vše nakonfiguruje a nainstaluje.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115224
+
https://www.intel.com/content/dam/support/us/en/documents/technologies/I...
Q6. Is Intel AMT disabled by default on Intel vPro platforms? If not, can it be disabled or have any default passwords changed by end users not part of the IT-supported network?
A6. Depending on the customers’ request, Intel vPro platforms can be delivered by OEMs in multiple states: un-provisioned and ON in BIOS, un-provisioned and OFF in BIOS, and un-provisioned and permanently OFF in BIOS ... There is a default password for the local end user to enable or disable AMT. Intel recommends when receiving a new Intel AMT capable platform with AMT being turned on in the BIOS, that the default password be changed and either Intel AMT be provisioned or the user should disable Intel AMT.
+1
0
-1
Je komentář přínosný?
https://www.intel.com/content
mike https://diit.cz/profil/mike
16. 1. 2018 - 16:33https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskusehttps://www.intel.com/content/dam/support/us/en/documents/technologies/Intel_AMT_Security_Best_Practices_QA.pdf
Q6. Is Intel AMT disabled by default on Intel vPro platforms? If not, can it be disabled or have any default passwords changed by end users not part of the IT-supported network?
A6. Depending on the customers’ request, Intel vPro platforms can be delivered by OEMs in multiple states: un-provisioned and ON in BIOS, un-provisioned and OFF in BIOS, and un-provisioned and permanently OFF in BIOS ... There is a default password for the local end user to enable or disable AMT. Intel recommends when receiving a new Intel AMT capable platform with AMT being turned on in the BIOS, that the default password be changed and either Intel AMT be provisioned or the user should disable Intel AMT.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115017
+
Opakuji, když chcete AMT? musíte si to v 90 % případů objednat, standardní skladové konfigurace je nemají funkční.
+1
0
-1
Je komentář přínosný?
Opakuji, když chcete AMT?
Jaroslav Brümmer https://diit.cz/profil/jfb
17. 1. 2018 - 14:44https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseOpakuji, když chcete AMT? musíte si to v 90 % případů objednat, standardní skladové konfigurace je nemají funkční. https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1115477
+
Strasite tady obycejne lidi kolika lidem se to asi stane kdybych mel po kazde vasi zprave reagovat tak dnes mam PC v offlinu a dum obehnany betonovym plotem aby se nekdo nedostal k memu PC.
+1
0
-1
Je komentář přínosný?
Strasite tady obycejne lidi
Jiri Brabec https://diit.cz/profil/helix123
16. 1. 2018 - 13:37https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuseStrasite tady obycejne lidi kolika lidem se to asi stane kdybych mel po kazde vasi zprave reagovat tak dnes mam PC v offlinu a dum obehnany betonovym plotem aby se nekdo nedostal k memu PC.https://diit.cz/clanek/bezpecnostni-slabina-procesoru-intel-amt/diskuse#comment-1114936
+
Spíš než bezpečnostní chyba se mi uz zdá, že je teď Intel na pranýři z prostého důvodu: je jednoduché si kopnout.. Nejvtipnejsi na tom je, že mnoho bezpečnostních chyb v technologiích, které vetsina medii propira jako horkou novinku jsou známé odborné verejnosti už nekolik let. Chyb jsou mraky, ale jeden web něco publikuje a další to přebírají..a pomalu se z toho stava hysterie..
Což je ale dobře, snad se Intel vzpamatuje a přestane na své zákazníky kašlat.
Tohle ale neni vubec problem Intelu. To zas jen no-X tady fabuluje, v ramci sveho rage a nenavisti k Intelu. Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek, protoze:
a) tu technologii nechavaji zapnutou, i kdyz ji zakaznik nepotrebuje. Melo by to byt opt-in, pro ty, kteri ji chteji (a takovi lide si ji samozrejme zabezpeci heslem), aby si ji mohli zapnout
b) kdyz uz tu technologii nechaji zapnutou, nemeli by nechavat defaultni heslo, ale meli by prednastavit nejake rozumne silne heslo a pridat ho do baleni notebooku (podobne, jako to delaji nekteri dobri vyrobci routeru, kdy je nahodne generovane heslo na nalepce primo na routeru)
V technologii jako takove dira neni (alespon ne v tomto konkretnim pripade). Zaslepena nenavist nikdy nikomu nepomohla. Pak vznikaji takovehle paclanky.
„Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek“
Tak prosím jmenujte 3 základní desky nebo notebooky postavené na platformě AMD, které tím trpí, když to není chyba Intelu, ale výrobců desek a notebooků. Díky :-)
To je jak nadavat Androidu za to, ze podporuje pametovky, protoze si je nekteri uzivatele svoji blbosti smazou a doplnit to tim, ze iOS prece takove problem nema. (no jasne, kdyz nepodporuje pametovky)
Tohle nema nic spolecneho s produktem (Intel AMT). Je to o tom, kdo ho pouziva (a pouziva ho blbe) a to jsou vyrobci zakladek a notebooku. Vase jalova logika jen dokazuje, co rikam. Staci si precist dalsi komentare a je jasne, ze se mnou souhlasi a tu samou diru ve vasi logice vidi spousta lidi. Jste proste jen fanousek, co si chce kopnout, chce to Intelu ze zahorklosti nandat, i kdyz k tomu neni duvod. Profesionalita nikde ;)
To nepopiram. Jde spíš o fakt, ze bezpečnostní diry v SW jsou proste tak nejak otrepane. Prijde zaplata na OS a nikdo moc neresi jestli to v nejakem směru ovlivnuje vykon. Kdyz se objevi HW bezpečnostní dira, je z toho nekonecna telenovela. Pritom pri slozitosti dnesnich cipu se divím, že to ziskalo vetsi pozornost az ted a stale to trva. A pritom nektere z tech chyb existuji jen na papire, tzn nebyl zaznamenan jediny pripad zneuziti. Samozřejmě chyby maji byt opraveny, ale je okolo toho silna hysterie vyvolana medii. Hlavne tohle muze postihnout kazdeho vyrobce. Lidi delaji chyby. Za dva mesice klidne muze vyplavat neco zavazneho na AMD. Proste moc emoci )
''jako horkou novinku jsou známé odborné verejnosti už nekolik let''
no nevim, ale tohle ctu prvne.. budou nejaky linky na to, ze tenhle problem je znamej uz nekolik let?
''je jednoduché si kopnout.. ''
no to vidim.. (: kopes, kopes, ale nicim to nedokladas..
Nikde jsem nenapsal, že se to týká chyby uváděné v tomto článku. Stejně tak netuším do koho konkrétně kopu. Jmenuj. Tomu co děláš se říká "vkladat nekomu slova do ust" a patří to mezi dezinformační praktiky, nikoli argumenty k diskuzi. A nechtěl po me abych dohledaval vsechny clanky na webu ktere ohlasovaly nejakej bug. Na to mas cas mozna ty behem svýho trolleni, ale ja fakt ne.
Proč to, že výrobce počítače používá defaultní heslo k AMT, je chybou Intelu?
protoze vyrobce prebira referencni koncept intelu.. proc si myslis ze tim jsou zasazeny prakticky vsechny systemy s intelem a zadnej na jiny platforme? (:
Protože AMT má jen Intel, může to být jen na Intelu. To, že výrobce desky nastaví nějaké heslo (v pořádku) a neupozorní zákazníka, že si ho může a má změnit, je problém výrobce desky a ne Intelu.
Když se prodávají počítače s nezaheslovaným BIOSem, taky tu někdo vyřvává, že je to bezpečnostní chyba Intelu a AMD?
Objevil jsem zavaznou chybu ve Windows. Je znama uz leta a Microsoft s ni stale nic neudelal, je to silene! Microsoft dovoli uzivatelum zadat heslo 12345, ktere je jednoduse zhakovatelne a nekdo cizi muze zacit ovladat vas pocitac. :-D :-D :-D
A mimochodem, pokud jsou v nekterych firmach schopni pouzivat Intel McAfee Security, ktery je deravy jak reseto, tak se vubec nedivim pouzivani AMT a ze to je na stejne urovni.
Intel majoritní podíl v McAfee prodal už předloni a ve společnosti se už nijak neangažuje, proto si myslím, že je divné nazývat ten produkt Intel McAfee Security. Navíc neexistuje ani žádný produkt, který by se jmenoval McAfee Security.
No hlavne ze ma McAfee dva produkty se slovem Security v nazvu, McAfee internet security a McAfee mobile security, i kdyz uznavam ze ten druhy neni pro normalni PC.
A to mají jako generovat náhodné heslo a posílat ho poštou, jak PIN k platební kartě? A ještě nejlíp někam jet s deskou ji aktivovat, kde by se podepsalo čestné prohlášení, že nejsem retard a nebudu používat slabá hesla... Problém by to byl, kdyby to bylo jak u některých síťových věcí hardcodované a nešlo změnit, ale tohle je prostě defaultní heslo, jak ho používají snad úplně všichni (přísáhám, že si to heslo admin/admin do routeru už opravdu změním ;)
A co takhle heslo chranene podobne jako Pin/Puk na simce a nebo Pin k bankovni karte prilozeny k dokumentaci, pokud by ho nekdo zjistoval tak to zarucene poznate.
Tak zrovna heslo do biosu ci routeru si vetsina lidi zmeni pri prvnim pouziti, ale kolik lidi ma duvod lest to AMT a nebo dokonce o nem vi? A co se default hesel v network zarizenich tyka tak bohuzel ISP na nejake nastavovani vetsinou kaslou, klidne vam do bytovky daji 10 routeru co jede na stejnem wifi pasmu a ma stejne heslo, jeden z duvodu proc mam za ISP routerem ktery vyuzivam max jako modem svuj vlastni router a Wifi AP a bez defaultniho nastaveni.
Tak asi jsem amatér, ale o AMT jsem dosud neslyšel, anebo pod jiným názvem... Co je přesně myšleno těmi firemním ntb? To jako co máme např HP Probook nebo Elitebook tam u těch je tato díra a tato funkce? A co ostatní pc poskládané na platformě Intelu? Chápu to dobře že je to nějaký subsystem, do kterého se dostane útočník nehledě na login do BIOSu/win, ale jak se tam dostane, pokud je pc spuštěny a locknuty...? Pokud je pc vypnutý a nepoužívá žádný wake on lan, tak jak jej zapne aby do AMT nabootoval?
Diky za odpovědi, rád bych se dozvěděl více.
Obecně se dá říct, jestliže má notebook vPRO pak má i ATM. ATM jde v BIOSu zakázat ale jeho skutečné vypnutí je pak otázkou implementace daného výrobce. Probook a Elitebook jdou tedy jistě zasaženy. Není nic snazšího než to vyzkoušet :-)
U probook to nejde hned jsem to zkusil a navíc má probook preboot security! ptá se na heslo ještě dřív něž se dá dostat do biosu. chce to i heslo pokud se pokusím změnit boot priority.
Ano, přesně tak. Aby celý ten systém byl funkční, musí splňovat několik podmínek, jako povolení iAMT v BIOSu a WakeOnLAN. Celý vtip je ale v tom, že firmy (velké firmy) nenakupují notebooky jako běžný zákazník. Běžný zákazník jde do obchodu a vybere laptop podle ceny, jenže firemní zákazník zvedne sluchátko a zavolá: "Dobrý den, pane HP, potřebuju notebooka."
Pan HP se ho zeptá: "A chcete standartní konfiguraci, nebo chcete něco upravit?"
No a tady v tom okamžiku silně záleží na tom firemním zákazníkovi, jestli je manažerem anebo ajťákem.
Manažer totiž řekne: "To je v poho, my máme IT oddělení, takže oni to nastaví sami. Hlavně, aby to bylo levně. Prosím pět tisíc kusů. Ušetřené peníze budou na felinu pro syna."
Ajťák naproti tomu řekne: "Nechce se mi na tom moc dělat. Chci tam image, kterej vám dodám, BIOS zaheslujte tímhle heslem, vypněte iAMT a WakeOnLAN a do každý bedny dejte tašku a myš, ať to tu nemusíme řešit. Starej sice nebude mít na felinu pro syna hned, ale nebudem muset řešit pět tisíc notebooků, takže mu na to vyděláme rychleji."
No a to je ten rozdíl. V základní konfiguraci odejde notebook nastavený tak, jak je popsáno výše a nikdo se s tím nikdy nastavovat nebude, protože se ušetří čas. A to je asi tak všechno.
Oukej, hned jak budu v kanclu, tak na to mrknu. V BIOSech takovýchto zařízení toho k nastavení obyčejně je velmi málo, takže bych si toho snad i všiml, no uvidíme.
Ne tak to není. Základní verze těchto notebooků vPro a AMT nemají, to je nutné objednat zvlášť a je to cca o 3000 dražší, takže si to objednává jen ten, kdo ví o co jde.
To je zajímavé, protože když jsem dělal ve Foxconnu, tak se to dávalo do všech notebooků třídy bussiness, jenom jsme to někde aktivovali a někde ne :-).
Já sice ve foxconnu nedělal, ale přesně tak bych to očekával. Ostatně, rodičům jsem vybíral počítač a tak jsem šáhnul po lokálním refubrished prodejci a vzal optiplex 7010. Je trochu smutné, že vždycky zahodím tu úmornou práci těch lidí v té firmě (instalovat OS na 4GB RAM a starej plotňák, včetně driverů), ale stroj vždy rozdělám, zkontroluju, upgradnu co jde, vyčistím a přepastuju (i když byl celkem vyčištěn, stejně to nebylo úplně ono). No a na kysně byla gigantická nálepka IME Disabled (z vnitřní strany).
Stejné je to s procesory (ty 8C ryzeny 5 nebo 3) a další elektronikou (různé sériové záležitosti, jako třeba základní model osciloskopů od Rigolu, kde lze "upgradem" SW získat lepší parametry). Tak to dneska chodí :)
Aby všechno fungovalo, musí to mít čipset+CPU s podporou. Věřím, že ty desky jsou ve skutečnosti stejnéé, a jen nastavením ve foxconnu se z nich udělá ta nižší bez podpory.
Tak my máme normálně z krámu, ale i refurbished Pro/Elite Booky a tam už to mohli mít objednané, bůhví odkud to stroje jsou...
Tak ProBook jsem projel a v BIOSu nic nenašel, Ctrl+P při bootu nic nedělá, tak snad...
Ještě obchoďákův EliteBook, ten je ale novy ze shopu, takze tam predpokladam to nebude.
kde je zoznam postihnutych procesorov?
Postihnuté procesory... ona to fakt není chyba Intelu, nýbrž zákazníků, kteří si koupili něco, aniž by to vzápětí adekvátně nastavili.
Jinak půjde především o všemožná i7 U řady, ale netroufnu si zevšeobecňovat, protože systém označování procesorů jsem přestal chápat už dávno a tady navíc záleží i na výrobci notebooku.
je to chyba intelu, kdyz si nastavis heslo k EFI a to ti pak chrani pulku systemu, tak to samozrejme neni chyba zakaznika.. ukaz mi jedinej dokument intelu kerej zakaznikovi sdeluje ze heslo k AMT je nadrazeny heslu k EFI.. tohle je proste dojebana hierarchie..
No, z principu celé té technologie - to, k čemu slouží - mi přijde podivné, že by heslo k EFI mělo být nadřazené heslu k AMT. To by prostě nedávalo smysl a mohl by ses na celé AMT vybodnout.
tak jasne, jenze zakaznik nemuze cekat, ze ma implicitne zapnutou funkci, ktera nekomu umoznuje obejit heslo EFI.. bud by melo bejt AMT implicitne vyply a pri zapnuti zadat o zadani hesla (tim se vyhne jak implicine zapnutymu AMT tak exitenci nejakyho hesla ktery maj pak vsechny notasy) nebo - kdyz uz musi bejt AMT implicitne zaply - tak by nemelo bejt ve vychozim nastaveni nadrazeny EFI (pac v takovy konfiguraci ho nikdo pro nic dobryho nemuze pouzivat) a az po zmene vychoziho nastaveni k nemu bude mozny pristupovat mimo EFI..
ta vychozi kombinace intelu je fakt nepochopitelna a otevira diru jak krava.. (:
a ono heslo do biosu nekdy nekoho jako zastavilo kdyz mas fyzickej pristup ?
vzdycky je tam override kvuli zapomenuti
Postup, při kterém na notebooku za 30 sekund vyresetuju heslo k BIOSu a získám k němu vzdálený přístup, aniž by se chování notebooku změnilo a vzbudilo to jakoukoli pozornost, bych rád znal :-)
tak asi neumis cist, protoze to nidko netvrdi, jen rikam, ze i kdyz ti to nedovoli obejit heslo v efi tak je to stejne irelevantni, protoze obejit heslo v efi je sranda...
navic i kdyz ziskas vzdalenou plochu tak se stejne budes divat na zmackni ctrl+alt+del nez se ti dotycnej naloguje navic to jeste dotycnej vidi, ze se mu tam nekdo lognul
Možná neumím číst, ale to, co popisuješ, prostě není v žádném ohledu adekvátní situace, ani srovnatelná bezpečnostní díra. Buďto zásah bude patrný a uživatel pozná, že se s notebookem něco dělo, nebo útočník ztroskotá na další úrovni ochrany. Ani jedno navíc není proces, který se dá stihnout během pár okamžiků, kdy si uživatel notebooku odběhne z kanceláře pro kafe.
Až na to, že toto není v žádném případě problém Intelu. Pokud necháte v routeru defaultní přístup admin/admin, tak je to taky chyba výrobce routeru, že se vám do něj někdo dostal?
Problem to je. Ak si aj zmenite heslo do EFI, viete sa prihlasit aj heslom do AMT do EFI
To je nieco ine. Problem je, ze vela ludi nevie o tom, ze je potrebne nastavit aj druhe heslo, ktorym sa da pripojit na ten router z WAN (niekedy to bol napr. telnet).
Problem dnesnych veci je, ze defaultne sa dodavaju aktivovane. Normalny stav je dodat zaklad, s tym, ze si dotycny aktivuje funkcie, ktore potrebuje.
Já to pochopil tak, že je to defaultně deaktivované, ale jde to aktivovat prostou klávesovou zkratkou. (což, přiznávám, je pro notebooky kiks jak prase:) )
Tak tohle je pěkná prasárna, potom co jsem si přečetl tohle - https://software.intel.com/en-us/forums/intel-business-client-software-d... a mám to v BIOSu deaktivované, tak bych ještě rád ve Win ověřil zdali je to aktivní či ne.
Existuje nějak možnost to zjisit bez toho aniž bych instaloval Intel Managment and Security Status?
Díky
tak kdyz ma clovek fyzickej pristup k zarizeni....
to je jak dojit k jakymukoli serveru HP, otevrit case a prepnout pin 1 na SW2 a ziskate uplne stejnej pristup
Jenže přepnout switch u servru a zmáčknout Ctrl-P u notebooku je trochu rozdíl...
V BIOSech vždycky byla nějaká default hesla, ale díky za připomenutí.
Tady je problém spíš to, že zvolená hierarchie, výchozí nastavení systému a výchozí heslo, vytvářejí kombinaci, která je z hlediska bezpečnosti nejhorší možná.
Tak tohle je fakt jen bouře ve sklenici vody. Stroje s funkčním vPro a AMT jsou o dost dražší, než jejich základní, jinak stejně výkonná, varianta, takže si to objednávají jen společnosti, které ví o co jde. a ty by měly mít lidi, kteří ví co a jak z hlediska bezpečnosti a zabezpečení.
Jak toto má řešeno AMD, kde alternativu k AIMT má naprostá většina CPU?
super argument.. kdyz se to tyka drahejch notebooku, tak vlastne nevadi, ze to intel posral, protoze ve firmach sedi vestci, ktery maji predpokladat ze intel neco posere a ocekavat nedokumentovanou funkcnost, o ktery nikdo netusil..
Ján Olšan z konkurenčného webu napísal nasledovné:
"Celý tento problém je způsoben tím, že výrobci notebooků používají nebezpečné výchozí nastavení pro Active Management Technology a nezamezují přístupu do MEBx. F-Secure uvádí, že problém je značně rozšířený. Intel přitom partnery v dokumentaci nabádá k tomu, aby tuto díru do systému nenechávali otevřenou. V doporučeních je například, aby bylo pro konfiguraci AMT také vyžadováno heslo BIOSu, jehož nastavení by poté uživatele ochránilo (toto heslo ale také samozřejmě musíte mít manuálně nastaveno). Odpovědnost tedy padá na výrobce počítačů, ne na Intel."
Z toho mi nevychádza, že by mal byť za túto situáciu zodpovedný Intel.
Podívej, Buri řekl, že za to může Intel, tak to tak už je :) S Meltdown má Intel máslo na hlavě, to bez řečí, ale za blbost výrobců s AMT opravdu nemůže.
staci obcas pouzit mozek..
..>90 % firemnich ntb intelu problem ma
..u zadnyho notebooku amd ten problem neni
takze co? lenovo, asus, hp, vsichni se domluvili, ze budou delat intelu na truc problem, ale amd ne? nebo jak si predstavujes, ze to vzniklo? intel proste umoznil, ze existuje vychozi kombinace kdy muzu po zmene EFI hesla se stejne do EFI muzu prihlasit pres AMT, aniz bych znal heslo k EFI.. takova kombinace, kdy je navic AMT implicitne zaply a nechraneny, vubec nema existovat.. intel je ten, kdo ji umoznil..
Boli nútení výrobcovia NTB používať AMT? Nemali na výber? Pýtam sa lebo sám neviem. V prípade, že nemuseli, tak je namieste sa pozastaviť aj nad tým, že to urobili a použili ju spôsobom, aký Intel v dokumentácii neodporúča. Tým ale nijak nespochybňujem to, že daná situácia pri implicitnom nastavení nemala nastať. To je proste fail.
IMHO je chyba na obou stranach v tomto prioade. Primarni chyba nebo spis primarne ie spatne, ze vubec neco jako AMT vubec existuje. Blacbox, ktery nema jasne pravidla, nikdo do toho nevidi. Chyby (jine) jak na bezicim pase, umoznujici obejiti vsech standardnich bezp. principu. Neco takoveho nemelo vubec vzniknout.
dalsi problem je mozno aj redistribucia nepredanych kusov oem partnerov:
C:\Users\ovad>wmic computersystem get model
Model
To be filled by O.E.M.
Chyba je vzdy na obou stranach. jak na strane manzelky..... tak na strane tchyne. :-)
Je to tak. Do celé problematiky AMT moc nevidím (měl jsem to na ntb, ale vypínal jsem to a nikdy jsem to nepoužil), už roky jedu pjur na desktopu kde je tahle věc vypnutá.
Tipuju že celé je to o supportu HW (tzn. jestli je CPU s podporou vPro, chipset a celkově mobo) a potom to leží na bedrech FW (EFI + IME (ve kterém to celé leží, ny?)). Intel tipuju všem distribuuje stejný FW a hrejte si (od tud asi to default heslo, které doporučuje změnit). Výrobci na to dlabou nebo to ti čínani nečtou celé a dodělají k tomu ten zbytek. Ti slušní to jen defaultně vypnou, zbytek to nechá zapnuté (default).
Proč je to standardně zapnuté? Podle mě ze stejného důvodu, jako je zapnutá správa routeru i z portů označených jako WAN. Aby to někdo připojil do fungující infrastruktury, nastavil to a běhalo to. Čili jeden ze správců firemní sítě položí stroj na místo pracoviště a vzdáleně to zapne, nastaví ze svého teplého bydélka.
U serveru se snad AMT nepoužívá, tam máme IPMI, kdy v případě HP iLO (můj prehistorickej DL360 G3) je na serveru nalepena nálepka s loginem, MAC... zkrátka vším nutným. Server se pak hodí do racku, je k tomu možná i druhá nálepka (já to měl z druhé ruky) a nebo si to prostě vyfotí na telefon a vzdáleně vše nakonfiguruje a nainstaluje.
https://www.intel.com/content/dam/support/us/en/documents/technologies/I...
Q6. Is Intel AMT disabled by default on Intel vPro platforms? If not, can it be disabled or have any default passwords changed by end users not part of the IT-supported network?
A6. Depending on the customers’ request, Intel vPro platforms can be delivered by OEMs in multiple states: un-provisioned and ON in BIOS, un-provisioned and OFF in BIOS, and un-provisioned and permanently OFF in BIOS ... There is a default password for the local end user to enable or disable AMT. Intel recommends when receiving a new Intel AMT capable platform with AMT being turned on in the BIOS, that the default password be changed and either Intel AMT be provisioned or the user should disable Intel AMT.
Opakuji, když chcete AMT? musíte si to v 90 % případů objednat, standardní skladové konfigurace je nemají funkční.
Strasite tady obycejne lidi kolika lidem se to asi stane kdybych mel po kazde vasi zprave reagovat tak dnes mam PC v offlinu a dum obehnany betonovym plotem aby se nekdo nedostal k memu PC.
staci vytiahnut sietovy kabel/vypnut wifi
Pouzite KLADIVO!
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.