Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Spíš než bezpečnostní chyba se mi uz zdá, že je teď Intel na pranýři z prostého důvodu: je jednoduché si kopnout.. Nejvtipnejsi na tom je, že mnoho bezpečnostních chyb v technologiích, které vetsina medii propira jako horkou novinku jsou známé odborné verejnosti už nekolik let. Chyb jsou mraky, ale jeden web něco publikuje a další to přebírají..a pomalu se z toho stava hysterie..
Což je ale dobře, snad se Intel vzpamatuje a přestane na své zákazníky kašlat.
Tohle ale neni vubec problem Intelu. To zas jen no-X tady fabuluje, v ramci sveho rage a nenavisti k Intelu. Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek, protoze:
a) tu technologii nechavaji zapnutou, i kdyz ji zakaznik nepotrebuje. Melo by to byt opt-in, pro ty, kteri ji chteji (a takovi lide si ji samozrejme zabezpeci heslem), aby si ji mohli zapnout
b) kdyz uz tu technologii nechaji zapnutou, nemeli by nechavat defaultni heslo, ale meli by prednastavit nejake rozumne silne heslo a pridat ho do baleni notebooku (podobne, jako to delaji nekteri dobri vyrobci routeru, kdy je nahodne generovane heslo na nalepce primo na routeru)
V technologii jako takove dira neni (alespon ne v tomto konkretnim pripade). Zaslepena nenavist nikdy nikomu nepomohla. Pak vznikaji takovehle paclanky.
„Tohle je ve skutecnosti problem vyrobcu notebooku a zakladnich desek“
Tak prosím jmenujte 3 základní desky nebo notebooky postavené na platformě AMD, které tím trpí, když to není chyba Intelu, ale výrobců desek a notebooků. Díky :-)
To je jak nadavat Androidu za to, ze podporuje pametovky, protoze si je nekteri uzivatele svoji blbosti smazou a doplnit to tim, ze iOS prece takove problem nema. (no jasne, kdyz nepodporuje pametovky)
Tohle nema nic spolecneho s produktem (Intel AMT). Je to o tom, kdo ho pouziva (a pouziva ho blbe) a to jsou vyrobci zakladek a notebooku. Vase jalova logika jen dokazuje, co rikam. Staci si precist dalsi komentare a je jasne, ze se mnou souhlasi a tu samou diru ve vasi logice vidi spousta lidi. Jste proste jen fanousek, co si chce kopnout, chce to Intelu ze zahorklosti nandat, i kdyz k tomu neni duvod. Profesionalita nikde ;)
To nepopiram. Jde spíš o fakt, ze bezpečnostní diry v SW jsou proste tak nejak otrepane. Prijde zaplata na OS a nikdo moc neresi jestli to v nejakem směru ovlivnuje vykon. Kdyz se objevi HW bezpečnostní dira, je z toho nekonecna telenovela. Pritom pri slozitosti dnesnich cipu se divím, že to ziskalo vetsi pozornost az ted a stale to trva. A pritom nektere z tech chyb existuji jen na papire, tzn nebyl zaznamenan jediny pripad zneuziti. Samozřejmě chyby maji byt opraveny, ale je okolo toho silna hysterie vyvolana medii. Hlavne tohle muze postihnout kazdeho vyrobce. Lidi delaji chyby. Za dva mesice klidne muze vyplavat neco zavazneho na AMD. Proste moc emoci )
''jako horkou novinku jsou známé odborné verejnosti už nekolik let''
no nevim, ale tohle ctu prvne.. budou nejaky linky na to, ze tenhle problem je znamej uz nekolik let?
''je jednoduché si kopnout.. ''
no to vidim.. (: kopes, kopes, ale nicim to nedokladas..
Nikde jsem nenapsal, že se to týká chyby uváděné v tomto článku. Stejně tak netuším do koho konkrétně kopu. Jmenuj. Tomu co děláš se říká "vkladat nekomu slova do ust" a patří to mezi dezinformační praktiky, nikoli argumenty k diskuzi. A nechtěl po me abych dohledaval vsechny clanky na webu ktere ohlasovaly nejakej bug. Na to mas cas mozna ty behem svýho trolleni, ale ja fakt ne.
Proč to, že výrobce počítače používá defaultní heslo k AMT, je chybou Intelu?
protoze vyrobce prebira referencni koncept intelu.. proc si myslis ze tim jsou zasazeny prakticky vsechny systemy s intelem a zadnej na jiny platforme? (:
Protože AMT má jen Intel, může to být jen na Intelu. To, že výrobce desky nastaví nějaké heslo (v pořádku) a neupozorní zákazníka, že si ho může a má změnit, je problém výrobce desky a ne Intelu.
Když se prodávají počítače s nezaheslovaným BIOSem, taky tu někdo vyřvává, že je to bezpečnostní chyba Intelu a AMD?
Objevil jsem zavaznou chybu ve Windows. Je znama uz leta a Microsoft s ni stale nic neudelal, je to silene! Microsoft dovoli uzivatelum zadat heslo 12345, ktere je jednoduse zhakovatelne a nekdo cizi muze zacit ovladat vas pocitac. :-D :-D :-D
A mimochodem, pokud jsou v nekterych firmach schopni pouzivat Intel McAfee Security, ktery je deravy jak reseto, tak se vubec nedivim pouzivani AMT a ze to je na stejne urovni.
Intel majoritní podíl v McAfee prodal už předloni a ve společnosti se už nijak neangažuje, proto si myslím, že je divné nazývat ten produkt Intel McAfee Security. Navíc neexistuje ani žádný produkt, který by se jmenoval McAfee Security.
No hlavne ze ma McAfee dva produkty se slovem Security v nazvu, McAfee internet security a McAfee mobile security, i kdyz uznavam ze ten druhy neni pro normalni PC.
A to mají jako generovat náhodné heslo a posílat ho poštou, jak PIN k platební kartě? A ještě nejlíp někam jet s deskou ji aktivovat, kde by se podepsalo čestné prohlášení, že nejsem retard a nebudu používat slabá hesla... Problém by to byl, kdyby to bylo jak u některých síťových věcí hardcodované a nešlo změnit, ale tohle je prostě defaultní heslo, jak ho používají snad úplně všichni (přísáhám, že si to heslo admin/admin do routeru už opravdu změním ;)
A co takhle heslo chranene podobne jako Pin/Puk na simce a nebo Pin k bankovni karte prilozeny k dokumentaci, pokud by ho nekdo zjistoval tak to zarucene poznate.
Tak zrovna heslo do biosu ci routeru si vetsina lidi zmeni pri prvnim pouziti, ale kolik lidi ma duvod lest to AMT a nebo dokonce o nem vi? A co se default hesel v network zarizenich tyka tak bohuzel ISP na nejake nastavovani vetsinou kaslou, klidne vam do bytovky daji 10 routeru co jede na stejnem wifi pasmu a ma stejne heslo, jeden z duvodu proc mam za ISP routerem ktery vyuzivam max jako modem svuj vlastni router a Wifi AP a bez defaultniho nastaveni.
Tak asi jsem amatér, ale o AMT jsem dosud neslyšel, anebo pod jiným názvem... Co je přesně myšleno těmi firemním ntb? To jako co máme např HP Probook nebo Elitebook tam u těch je tato díra a tato funkce? A co ostatní pc poskládané na platformě Intelu? Chápu to dobře že je to nějaký subsystem, do kterého se dostane útočník nehledě na login do BIOSu/win, ale jak se tam dostane, pokud je pc spuštěny a locknuty...? Pokud je pc vypnutý a nepoužívá žádný wake on lan, tak jak jej zapne aby do AMT nabootoval?
Diky za odpovědi, rád bych se dozvěděl více.
Obecně se dá říct, jestliže má notebook vPRO pak má i ATM. ATM jde v BIOSu zakázat ale jeho skutečné vypnutí je pak otázkou implementace daného výrobce. Probook a Elitebook jdou tedy jistě zasaženy. Není nic snazšího než to vyzkoušet :-)
U probook to nejde hned jsem to zkusil a navíc má probook preboot security! ptá se na heslo ještě dřív něž se dá dostat do biosu. chce to i heslo pokud se pokusím změnit boot priority.
Ano, přesně tak. Aby celý ten systém byl funkční, musí splňovat několik podmínek, jako povolení iAMT v BIOSu a WakeOnLAN. Celý vtip je ale v tom, že firmy (velké firmy) nenakupují notebooky jako běžný zákazník. Běžný zákazník jde do obchodu a vybere laptop podle ceny, jenže firemní zákazník zvedne sluchátko a zavolá: "Dobrý den, pane HP, potřebuju notebooka."
Pan HP se ho zeptá: "A chcete standartní konfiguraci, nebo chcete něco upravit?"
No a tady v tom okamžiku silně záleží na tom firemním zákazníkovi, jestli je manažerem anebo ajťákem.
Manažer totiž řekne: "To je v poho, my máme IT oddělení, takže oni to nastaví sami. Hlavně, aby to bylo levně. Prosím pět tisíc kusů. Ušetřené peníze budou na felinu pro syna."
Ajťák naproti tomu řekne: "Nechce se mi na tom moc dělat. Chci tam image, kterej vám dodám, BIOS zaheslujte tímhle heslem, vypněte iAMT a WakeOnLAN a do každý bedny dejte tašku a myš, ať to tu nemusíme řešit. Starej sice nebude mít na felinu pro syna hned, ale nebudem muset řešit pět tisíc notebooků, takže mu na to vyděláme rychleji."
No a to je ten rozdíl. V základní konfiguraci odejde notebook nastavený tak, jak je popsáno výše a nikdo se s tím nikdy nastavovat nebude, protože se ušetří čas. A to je asi tak všechno.
Oukej, hned jak budu v kanclu, tak na to mrknu. V BIOSech takovýchto zařízení toho k nastavení obyčejně je velmi málo, takže bych si toho snad i všiml, no uvidíme.
Ne tak to není. Základní verze těchto notebooků vPro a AMT nemají, to je nutné objednat zvlášť a je to cca o 3000 dražší, takže si to objednává jen ten, kdo ví o co jde.
To je zajímavé, protože když jsem dělal ve Foxconnu, tak se to dávalo do všech notebooků třídy bussiness, jenom jsme to někde aktivovali a někde ne :-).
Já sice ve foxconnu nedělal, ale přesně tak bych to očekával. Ostatně, rodičům jsem vybíral počítač a tak jsem šáhnul po lokálním refubrished prodejci a vzal optiplex 7010. Je trochu smutné, že vždycky zahodím tu úmornou práci těch lidí v té firmě (instalovat OS na 4GB RAM a starej plotňák, včetně driverů), ale stroj vždy rozdělám, zkontroluju, upgradnu co jde, vyčistím a přepastuju (i když byl celkem vyčištěn, stejně to nebylo úplně ono). No a na kysně byla gigantická nálepka IME Disabled (z vnitřní strany).
Stejné je to s procesory (ty 8C ryzeny 5 nebo 3) a další elektronikou (různé sériové záležitosti, jako třeba základní model osciloskopů od Rigolu, kde lze "upgradem" SW získat lepší parametry). Tak to dneska chodí :)
Aby všechno fungovalo, musí to mít čipset+CPU s podporou. Věřím, že ty desky jsou ve skutečnosti stejnéé, a jen nastavením ve foxconnu se z nich udělá ta nižší bez podpory.
Tak my máme normálně z krámu, ale i refurbished Pro/Elite Booky a tam už to mohli mít objednané, bůhví odkud to stroje jsou...
Tak ProBook jsem projel a v BIOSu nic nenašel, Ctrl+P při bootu nic nedělá, tak snad...
Ještě obchoďákův EliteBook, ten je ale novy ze shopu, takze tam predpokladam to nebude.
kde je zoznam postihnutych procesorov?
Postihnuté procesory... ona to fakt není chyba Intelu, nýbrž zákazníků, kteří si koupili něco, aniž by to vzápětí adekvátně nastavili.
Jinak půjde především o všemožná i7 U řady, ale netroufnu si zevšeobecňovat, protože systém označování procesorů jsem přestal chápat už dávno a tady navíc záleží i na výrobci notebooku.
je to chyba intelu, kdyz si nastavis heslo k EFI a to ti pak chrani pulku systemu, tak to samozrejme neni chyba zakaznika.. ukaz mi jedinej dokument intelu kerej zakaznikovi sdeluje ze heslo k AMT je nadrazeny heslu k EFI.. tohle je proste dojebana hierarchie..
No, z principu celé té technologie - to, k čemu slouží - mi přijde podivné, že by heslo k EFI mělo být nadřazené heslu k AMT. To by prostě nedávalo smysl a mohl by ses na celé AMT vybodnout.
tak jasne, jenze zakaznik nemuze cekat, ze ma implicitne zapnutou funkci, ktera nekomu umoznuje obejit heslo EFI.. bud by melo bejt AMT implicitne vyply a pri zapnuti zadat o zadani hesla (tim se vyhne jak implicine zapnutymu AMT tak exitenci nejakyho hesla ktery maj pak vsechny notasy) nebo - kdyz uz musi bejt AMT implicitne zaply - tak by nemelo bejt ve vychozim nastaveni nadrazeny EFI (pac v takovy konfiguraci ho nikdo pro nic dobryho nemuze pouzivat) a az po zmene vychoziho nastaveni k nemu bude mozny pristupovat mimo EFI..
ta vychozi kombinace intelu je fakt nepochopitelna a otevira diru jak krava.. (:
a ono heslo do biosu nekdy nekoho jako zastavilo kdyz mas fyzickej pristup ?
vzdycky je tam override kvuli zapomenuti
Postup, při kterém na notebooku za 30 sekund vyresetuju heslo k BIOSu a získám k němu vzdálený přístup, aniž by se chování notebooku změnilo a vzbudilo to jakoukoli pozornost, bych rád znal :-)
tak asi neumis cist, protoze to nidko netvrdi, jen rikam, ze i kdyz ti to nedovoli obejit heslo v efi tak je to stejne irelevantni, protoze obejit heslo v efi je sranda...
navic i kdyz ziskas vzdalenou plochu tak se stejne budes divat na zmackni ctrl+alt+del nez se ti dotycnej naloguje navic to jeste dotycnej vidi, ze se mu tam nekdo lognul
Možná neumím číst, ale to, co popisuješ, prostě není v žádném ohledu adekvátní situace, ani srovnatelná bezpečnostní díra. Buďto zásah bude patrný a uživatel pozná, že se s notebookem něco dělo, nebo útočník ztroskotá na další úrovni ochrany. Ani jedno navíc není proces, který se dá stihnout během pár okamžiků, kdy si uživatel notebooku odběhne z kanceláře pro kafe.
Až na to, že toto není v žádném případě problém Intelu. Pokud necháte v routeru defaultní přístup admin/admin, tak je to taky chyba výrobce routeru, že se vám do něj někdo dostal?
Problem to je. Ak si aj zmenite heslo do EFI, viete sa prihlasit aj heslom do AMT do EFI
To je nieco ine. Problem je, ze vela ludi nevie o tom, ze je potrebne nastavit aj druhe heslo, ktorym sa da pripojit na ten router z WAN (niekedy to bol napr. telnet).
Problem dnesnych veci je, ze defaultne sa dodavaju aktivovane. Normalny stav je dodat zaklad, s tym, ze si dotycny aktivuje funkcie, ktore potrebuje.
Já to pochopil tak, že je to defaultně deaktivované, ale jde to aktivovat prostou klávesovou zkratkou. (což, přiznávám, je pro notebooky kiks jak prase:) )
Tak tohle je pěkná prasárna, potom co jsem si přečetl tohle - https://software.intel.com/en-us/forums/intel-business-client-software-d... a mám to v BIOSu deaktivované, tak bych ještě rád ve Win ověřil zdali je to aktivní či ne.
Existuje nějak možnost to zjisit bez toho aniž bych instaloval Intel Managment and Security Status?
Díky
tak kdyz ma clovek fyzickej pristup k zarizeni....
to je jak dojit k jakymukoli serveru HP, otevrit case a prepnout pin 1 na SW2 a ziskate uplne stejnej pristup
Jenže přepnout switch u servru a zmáčknout Ctrl-P u notebooku je trochu rozdíl...
V BIOSech vždycky byla nějaká default hesla, ale díky za připomenutí.
Tady je problém spíš to, že zvolená hierarchie, výchozí nastavení systému a výchozí heslo, vytvářejí kombinaci, která je z hlediska bezpečnosti nejhorší možná.
Tak tohle je fakt jen bouře ve sklenici vody. Stroje s funkčním vPro a AMT jsou o dost dražší, než jejich základní, jinak stejně výkonná, varianta, takže si to objednávají jen společnosti, které ví o co jde. a ty by měly mít lidi, kteří ví co a jak z hlediska bezpečnosti a zabezpečení.
Jak toto má řešeno AMD, kde alternativu k AIMT má naprostá většina CPU?
super argument.. kdyz se to tyka drahejch notebooku, tak vlastne nevadi, ze to intel posral, protoze ve firmach sedi vestci, ktery maji predpokladat ze intel neco posere a ocekavat nedokumentovanou funkcnost, o ktery nikdo netusil..
Ján Olšan z konkurenčného webu napísal nasledovné:
"Celý tento problém je způsoben tím, že výrobci notebooků používají nebezpečné výchozí nastavení pro Active Management Technology a nezamezují přístupu do MEBx. F-Secure uvádí, že problém je značně rozšířený. Intel přitom partnery v dokumentaci nabádá k tomu, aby tuto díru do systému nenechávali otevřenou. V doporučeních je například, aby bylo pro konfiguraci AMT také vyžadováno heslo BIOSu, jehož nastavení by poté uživatele ochránilo (toto heslo ale také samozřejmě musíte mít manuálně nastaveno). Odpovědnost tedy padá na výrobce počítačů, ne na Intel."
Z toho mi nevychádza, že by mal byť za túto situáciu zodpovedný Intel.
Podívej, Buri řekl, že za to může Intel, tak to tak už je :) S Meltdown má Intel máslo na hlavě, to bez řečí, ale za blbost výrobců s AMT opravdu nemůže.
staci obcas pouzit mozek..
..>90 % firemnich ntb intelu problem ma
..u zadnyho notebooku amd ten problem neni
takze co? lenovo, asus, hp, vsichni se domluvili, ze budou delat intelu na truc problem, ale amd ne? nebo jak si predstavujes, ze to vzniklo? intel proste umoznil, ze existuje vychozi kombinace kdy muzu po zmene EFI hesla se stejne do EFI muzu prihlasit pres AMT, aniz bych znal heslo k EFI.. takova kombinace, kdy je navic AMT implicitne zaply a nechraneny, vubec nema existovat.. intel je ten, kdo ji umoznil..
Boli nútení výrobcovia NTB používať AMT? Nemali na výber? Pýtam sa lebo sám neviem. V prípade, že nemuseli, tak je namieste sa pozastaviť aj nad tým, že to urobili a použili ju spôsobom, aký Intel v dokumentácii neodporúča. Tým ale nijak nespochybňujem to, že daná situácia pri implicitnom nastavení nemala nastať. To je proste fail.
IMHO je chyba na obou stranach v tomto prioade. Primarni chyba nebo spis primarne ie spatne, ze vubec neco jako AMT vubec existuje. Blacbox, ktery nema jasne pravidla, nikdo do toho nevidi. Chyby (jine) jak na bezicim pase, umoznujici obejiti vsech standardnich bezp. principu. Neco takoveho nemelo vubec vzniknout.
dalsi problem je mozno aj redistribucia nepredanych kusov oem partnerov:
C:\Users\ovad>wmic computersystem get model
Model
To be filled by O.E.M.
Chyba je vzdy na obou stranach. jak na strane manzelky..... tak na strane tchyne. :-)
Je to tak. Do celé problematiky AMT moc nevidím (měl jsem to na ntb, ale vypínal jsem to a nikdy jsem to nepoužil), už roky jedu pjur na desktopu kde je tahle věc vypnutá.
Tipuju že celé je to o supportu HW (tzn. jestli je CPU s podporou vPro, chipset a celkově mobo) a potom to leží na bedrech FW (EFI + IME (ve kterém to celé leží, ny?)). Intel tipuju všem distribuuje stejný FW a hrejte si (od tud asi to default heslo, které doporučuje změnit). Výrobci na to dlabou nebo to ti čínani nečtou celé a dodělají k tomu ten zbytek. Ti slušní to jen defaultně vypnou, zbytek to nechá zapnuté (default).
Proč je to standardně zapnuté? Podle mě ze stejného důvodu, jako je zapnutá správa routeru i z portů označených jako WAN. Aby to někdo připojil do fungující infrastruktury, nastavil to a běhalo to. Čili jeden ze správců firemní sítě položí stroj na místo pracoviště a vzdáleně to zapne, nastaví ze svého teplého bydélka.
U serveru se snad AMT nepoužívá, tam máme IPMI, kdy v případě HP iLO (můj prehistorickej DL360 G3) je na serveru nalepena nálepka s loginem, MAC... zkrátka vším nutným. Server se pak hodí do racku, je k tomu možná i druhá nálepka (já to měl z druhé ruky) a nebo si to prostě vyfotí na telefon a vzdáleně vše nakonfiguruje a nainstaluje.
https://www.intel.com/content/dam/support/us/en/documents/technologies/I...
Q6. Is Intel AMT disabled by default on Intel vPro platforms? If not, can it be disabled or have any default passwords changed by end users not part of the IT-supported network?
A6. Depending on the customers’ request, Intel vPro platforms can be delivered by OEMs in multiple states: un-provisioned and ON in BIOS, un-provisioned and OFF in BIOS, and un-provisioned and permanently OFF in BIOS ... There is a default password for the local end user to enable or disable AMT. Intel recommends when receiving a new Intel AMT capable platform with AMT being turned on in the BIOS, that the default password be changed and either Intel AMT be provisioned or the user should disable Intel AMT.
Opakuji, když chcete AMT? musíte si to v 90 % případů objednat, standardní skladové konfigurace je nemají funkční.
Strasite tady obycejne lidi kolika lidem se to asi stane kdybych mel po kazde vasi zprave reagovat tak dnes mam PC v offlinu a dum obehnany betonovym plotem aby se nekdo nedostal k memu PC.
staci vytiahnut sietovy kabel/vypnut wifi
Pouzite KLADIVO!
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.