Intel ME updaten

[willy4711]

Ich glaube schon, dass es einen Unterschied macht, ob da in meinem Rechner ein z.Z. von niemandem kontrollierbares
Betriebssystem mit eigenem Prozessor arbeitet, das anscheinend Zugriff auf alles hat was in meinem Rechner vor sich geht.

Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse, und kann auch während des Standby arbeiten,
solange ich nicht den Stecker ziehe und das Netzkabel vom Router abziehe.
Wahrscheinlich ist es in der Lage, einen verschlüsselten Rechner trotzdem booten, wenn entsprechende Stellen es wollen
(meine Vorstellung).

Das wäre gleichzusetzen mit der Erlaubnis, einem wildfremden Menschen das Passwort zu geben und
ihn mit meinem Rechner unbeaufsichtigt arbeiten zu lassen.

Die Geschichte mit dem Bundestrojaner hat sich somit erledigt oder ist eh nur eine Schimäre, die von den tatsächlichen
Gegebenheiten ablenken soll.
Bei Bedarf: Big Brother has always been watching you

Wäre das bei anderer unfreier Firmware (Treibern) so, wäre es - glaube ich zumindest - bekannt.

Leider ist Libreboot auf Architekturen bis 2009 beschränkt (https://libreboot.org/faq.html#intel):
Also nicht wirklich eine Alternative

It is unlikely that any post-2008 Intel hardware will ever be supported in libreboot, due to severe security and freedom issues; so severe, that the libreboot project recommends avoiding all modern Intel hardware. If you have an Intel based system affected by the problems described below, then you should get rid of it as soon as possible. The main issues are as follows:

[MSfree]

Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse,

Ich behaupte trotzdem, daß sich trotzdem Spuren solcher Aktivitäten erkennen lassen müßten. Z.B. bräuchte so ein Eigenleben ja eine IP-Adresse, die es über DHCP bezieht? Wenn ja, dann müßte man dies im Log des DHCP-Servers sehen.

Ich kann bisher jedenfalls keine derartigen Aktivitäten in den Logs meines Linuxrouters erkennen und der logt so ziemlich alles eingehen wie ausgehend.

[wanne]

Zumal: Mir ist kein BIOS und erst recht keine Firmware einer Graphikkarte, etc. bekannt, die *eigenständig* ohne laufendes installiertes Betriebssystem in der Lage wäre, das Netzwerk in Betrieb zu nehmen.

Du hast offensichtlich in den letzen 15 Jahren keinen Computer mehr gekauft. – Dh. da steht bekannt... Jedes Handy-Firmware kann dass. Fast jedes EFI. (Das du wahrscheinlich hast, auch wenn du es immer noch BIOS nennst.) Und die mit Abstand meisten Netzwerkkarten können das. Jede bessere Intel CPU seit Sandy Bridge (2011) Mindestens was Core2 Duo T oder P Serie ist und alles was i5 und i7 ist.

Ich behaupte trotzdem, daß sich trotzdem Spuren solcher Aktivitäten erkennen lassen müßten. Z.B. bräuchte so ein Eigenleben ja eine IP-Adresse, die es über DHCP bezieht? Wenn ja, dann müßte man dies im Log des DHCP-Servers sehen.

Ich kann bisher jedenfalls keine derartigen Aktivitäten in den Logs meines Linuxrouters erkennen und der logt so ziemlich alles eingehen wie ausgehend.

Es gab mal Malware die einfach gewartet hat bis TCP Pakete kommen und dann da die Daten davorgehängt hat. Das ist aber nicht was offiziell vorgesehen ist. EFIs machen üblicherweise vier mal im Jahr DHCP. Fällt im Normalfall nicht auf, weil der Rechner das eh macht. (Debian bei standardinstallation schon zwei mal. Das fällt auch niemand auf. Wenn das EFI das dann beim Booten ein drittes mal macht. Wird ja auch für PXE benötigt.) Intels ME kommuniziert per SMS.

[willy4711]

Hier mal ein recht übersichtlicher Überblick:
https://www.heise.de/select/ct/2018/6/1520827829694087

[MSfree]

EFIs machen üblicherweise vier mal im Jahr DHCP. Fällt im Normalfall nicht auf, weil der Rechner das eh macht.

Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.

Mir würde es jedenfalls auffallen, wenn plötzlich eine unbekannte MAC im Log des DHCP-Servers auftaucht. Auch Fritzboxen zeigen die vergebenen IP-Adressen und die zugehörigen MACs an. Die Zuordnung ist praktisch persistent, es sei denn, man hat mehr Clients als der DHCP-Pool hergibt, was im Privratbereich unwahrscheinlich ist. Mein DHCP-Pool ist 100-IPs groß und so viele Clients habe ich dann doch nicht.

Dem normalen Heimanwender fällt sowas natürlich nicht auf, der logt sich ja nie auf seinem Router ein, in die Logs schaut er schon gar nicht.

[willy4711]

Das hatte ich aus dem Post von Tintom
viewtopic.php?f=37&t=176337#p1229671

[wanne]

Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.

Per default machen die aber sowieso nur SMS. Da siehst du an deiner Fritzbox gar nichts. Daneben haben sie noch einen zeroconf ähnlichen Mechanismus. Der tut aber nur im LAN. (Ein passender Server muss sich Annoncen.) Dafür kann man in teureren Modellen wohl auch ein primitives VPN konfigurieren. Das nutzt dann btw. einfach die IP, die sich das OS geholt hat ohne erneut selbst DHCP zu machen.
Das ist dann aber ne Sachen die du erst aktivieren musst. – Können tut sie das aber immer...
Was in seltenen Fällen selbst DHCP macht ist meistens das EFI.

Auch Fritzboxen zeigen die vergebenen IP-Adressen und die zugehörigen MACs an.

Nein. Wer kein DHCP und kein mDNS macht wird nicht angezeigt.

[OrangeJuice]

Per default machen die aber sowieso nur SMS. Da siehst du an deiner Fritzbox gar nichts. Daneben haben sie noch einen zeroconf ähnlichen Mechanismus. Der tut aber nur im LAN. (Ein passender Server muss sich Annoncen.) Dafür kann man in teureren Modellen wohl auch ein primitives VPN konfigurieren. Das nutzt dann btw. einfach die IP, die sich das OS geholt hat ohne erneut selbst DHCP zu machen.
Das ist dann aber ne Sachen die du erst aktivieren musst. – Können tut sie das aber immer...
Was in seltenen Fällen selbst DHCP macht ist meistens das EFI.

Kannst du ein paar weitere Informationen geben, was genau dieses "Intel SMS" alles kann? Habe ich richtig verstanden(vorausgesetzt Intels ME weitet ihr "geheimes" Eigenleben aus), dass es so theoretisch möglich wäre für die Intel ME unabhängig vom System und durch Router hindurch zu kommunizieren oder ist das nur in bestimmten Intel CPUs möglich?

[wanne]

Puh so ganz gut bin ich auch nicht (mehr) informiert. Du kannst dir deine Thinkpads mit Intel CPU per SMS sperren lassen. Beim T400 war das noch so, dass dazu das UMTS-Modem nötig war. Bei neueren werben sie ausdrücklich damit, dass das auch funktioniert wen kein UMTS-Modem genutzt wird. Und wer SMS empfangen kann müsste selbstverständlich auch welche senden können. Es bleibt die warnung, dass das nur funktioniert, wenn der Laptop in der nähe eines Funkmasts ist und dass man für die anderen Fälle auch konfigurieren kann, dass er es über LAN und WLAN versucht. Ich habe mich nie wirklich für solche "Features" interessiert. Aber google mal nach Anti-Theft und Intel und du wirst bestimmt fündig.

[Routerdilettantin]

Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.

Das ist für meinen Dell Optiplex 7050 korrekt. Der holt sich eine zusätzliche IP-Adresse vom DHCP-Server für die Intel ME und erneuert diese Lease regelmäßig. Eigentlich hat der Optiplex eine feste IP. Die ME meldet sich beim DHCP-Server netterweise mit einem aussagekräftigem Hostnamen (optiplex_me). Ich habe zur Beobachtung eine DHCP-MAC-IP-Reservation konfiguriert. Da ich Egress-Filtering per Firewall durchführe (nur bekannte Adressen und Ports dürfen), würde ich ausgehende IP-Verbindungen im Log für die Block-All-Regel am Ende sehen. Bislang war die Intel ME brav, was ausgehende Verbindungen betrifft. Wenn jedoch der Optiplex abgeschaltet ist, wird die Lease trotzdem regelmäßig erneuert.

@TO: Bei meinen Gerät wird die Intel ME bei einem BIOS-Update mit "hochgezogen". Solange oder so kurz es eben Updates gibt ...
Dann noch eine Idee: Beim Lesen von Release-Notes für BIOS-Updates von Dell und HP ist mir aufgefallen, dass Updates bei Schwachstellen der Intel ME eher für "Pro"-Geräte mit Fernwartung empfohlen werden. Wer keine Intel ME mag oder braucht, könnte mit Consumer-Geräten gut dran sein, da wird wohl nicht alles für Fernwartung und Intel ME im BIOS implementiert. Oder nutzt eben keine Intel Core i irgendwas, nehme stark an, Pentium und Celeron sind nicht fernwartungsfähig, haben keine oder nur Rudimente einer ME.

[electri]

Welche Möglichkeiten gibt es denn, unter Linux die Intel ME zu updaten? Ich habe ein Asus-Board. Auf der Asus-Webseite finde ich neben einer neuen Bios-Version auch eine neue ME-Version. Während ich das Bios direkt über das Bios (EZ-Flash3-Tool im Bios) und einen USB-Stick mit der neuen Firmware aktualisiert habe, gibt es für das empfohlene ME-Update nur eine Exe-Datei (MeUpdateTool.exe).

Gibt es Erfahrungen, wie ich das Problem lösen kann? Eventuell auch wie ich unter Linux eine Test-Windows-Version auf USB-Stick schreibe? Das scheint ja die einzige Lösung zu sein. Das EZ-Flash-Tool von Asus im Bios kann die ME wohl nicht aktualisieren, ich habe es versucht, die Dateien werden nicht erkannt. Und dieses CSME-Tool von Intel zeigt mir nur an, dass ich eine alte Version verwende, Intel bietet folglich wohl auch keine Updatefunktion an.

[HenryEichelberger]

So, also... recht lange ists her das das einer schrub, ich sehe da auch kein Land außer sich einen Laptop zuzulegen den ich nicht bezahlen kann. Letztlich sind die Hersteller da in der Pflicht, in meinem Fall gibts bei Lenovo nur IME Updates nur für Windows oder Thinkpads oder gar nicht. Muss man also mit leben, finde ich nicht gut, ein großes FU der Hersteller an ihre "Kunden", ein Schelm wer Böses dabei denkt.

[OrangeJuice]

Gibt es Erfahrungen, wie ich das Problem lösen kann? Eventuell auch wie ich unter Linux eine Test-Windows-Version auf USB-Stick schreibe? Das scheint ja die einzige Lösung zu sein. Das EZ-Flash-Tool von Asus im Bios kann die ME wohl nicht aktualisieren, ich habe es versucht, die Dateien werden nicht erkannt. Und dieses CSME-Tool von Intel zeigt mir nur an, dass ich eine alte Version verwende, Intel bietet folglich wohl auch keine Updatefunktion an.

Ich persönlich habe dafür immer alte Datenträger wo ich dann Windows auf einer Partition aufspielen kann, der Datenträger kann dann auch schnell wieder abgeklemmt werden. Netzwerkstecker entferne ich vorher immer.
Die ISO kann man sich direkt bei Microsoft laden(Link). Mit der Windows Pro Version kann man noch ein offline Konto verwenden, generische Keys für die Installation sollen von Microsoft zur Verfügung gestellt worden sein(Link). Wie es mit dem Intel-ME Update anders gehen könnte, kann ich dir nicht sagen.