Intel ME updaten

[DaCoda]

Ich habe ein nettes Tool von Intel gefunden.
Es ist was für Sicherheitsfanatiker

Und zwar geht es um die Intel Management Engine (ME).
Die Intel ME befindet sich auf dem Mainboard und hat eine Firmware.
Diese Firmware kann man updaten um Sicherheitslücken zu schließen.

Ähnlich wie ein BIOS-Update...

Und zwar müsst ihr einfach nur das Intel CSME detection tool ausführen.
Dieses gibt es auch für Linux!
Es sagt euch, welche Version eure ME hat und ob ein Update nötig ist.

Das Update erhaltet ihr aber nicht von Intel sondern von eurem Mainboard- oder PC-Hersteller (falls verfügbar).
Die Begründung ist, dass der Hersteller die Firmware eventuell modifiziert hat.
Deshalb gibt es kein generisches Update von Intel.
Und bei meinem Mainboard-Hersteller war es so, dass das Update unter Windows ausgeführt werden muss.

Habt ihr schon eure Intel ME geupdatet... ?

[OrangeJuice]

Ich habe darüber nachgedacht. Ein Mainboard habe ich durch jzelectronic.de, der auch Beta-Bios für Asrock herausbringt, auf den aktuellen Stand gebracht.

Das andere Asus Board würde ein Update benötigen, das soll wohl nicht schwer sein, wenn man die richtige Intel ME bekommt. Da würde ich ggf. bei jz mal nachfragen, aber der hat wohl auch so schon viel zu tun. Den Asrock Support werde ich jedenfalls nicht nochmal anschreiben, das kann ich mir sparen.

Hier(Dos) und hier wurden die Möglichkeiten erklärt, wie man die Intel ME per Dos aktualisieren können soll.

Hier hat heise.de die Intel ME ganz gut erklärt. Die Intel ME ist doch von Intel signiert, da dürfte von den Mainboardherstellern nichts dran gemacht werden oder?

[Tintom]

Es ist was für Sicherheitsfanatiker
[...]
Habt ihr schon eure Intel ME geupdatet... ?

Ein autark laufendes, nicht kontrollierbares System im System ist so ziemlich das schlimmste, was man einem Sicherheitsfanatiker antun kann.

[KP97]

Genauso ist es, deshalb habe ich diese Funktion in meinem UEFI-Setup deaktiviert.

[OrangeJuice]

Genauso ist es, deshalb habe ich diese Funktion in meinem UEFI-Setup deaktiviert.

Was hast du denn für ein System, dass du die Intel ME deaktivieren kannst? Ohne Anpassungen sollte es nicht möglich sein das System ohne Intel ME zu betreiben.

[whisper]

Genauso ist es, deshalb habe ich diese Funktion in meinem UEFI-Setup deaktiviert.

Das interessiert mich, bitte Details

[KP97]

Da war ich wohl etwas voreilig. Ich habe nochmal alles genau nachgelesen und dabei festgestellt, daß ich zwar Teile im ME deaktiviert habe, aber nicht das ganze ME ansich.
Im UEFI ist es Intel PTT und im Kernel u.a. der Parameter CONFIG_INTEL_MEI_ME
https://cateee.net/lkddb/web-lkddb/INTEL_MEI_ME.html

Komplett deaktivieren soll nicht ganz trivial sein bzw. fast nicht möglich.
Mein nächstes Gerät wird sicher kein Intel mehr sein, aber ob AMD besser ist, weiß man auch nicht. Die haben dann was anderes hinterhältiges...

Kleiner Überblick:

root@MB:/home/MB# inxi -F
System: Host: MB Kernel: 5.5.2 x86_64 bits: 64 Desktop: Xfce 4.14.2 Distro: Debian GNU/Linux bullseye/sid
Machine: Type: Desktop Mobo: ASRock model: KBL-NUC serial: N/A UEFI: American Megatrends v: P1.40B date: 12/15/2016
CPU: Topology: Dual Core model: Intel Core i3-7100U bits: 64 type: MT MCP L2 cache: 3072 KiB

[OrangeJuice]

Genau das ist auch mein letzter Stand. Es gibt wohl von verschiedenen Herstellern deaktivierte Intel ME, aber bei den "normalen" Geräten kann man meistens nur ein paar Dinge deaktivieren. Ich kann bei mein Asus Board angeblich von UEFI bis zum Neustart die ME kurzzeitig deaktivieren, aber nach dem Neustart ist sie dann wohl direkt wieder aktiv. Wozu das gut ist, weiß ich nicht.

AMD scheint auch nicht besser zu sein(Link). Beim CCC wurde ein Vortrag gehalten wo es auch um die PSP geht "Uncover, Understand, Own - Regaining Control Over Your AMD CPU"(Link). AMD hatte auch ein paar weitere Probleme die sie in den Griff bekommen mussten.

[KP97]

Danke für die Links, der gleiche MIst nur mit anderem Namen. Wir sind also auf jeden Fall und immer die Gelackmeierten...

[willy4711]

https://www.howtogeek.com/334013/intel- ... -your-cpu/ Schreibt:

In other words, this is a parallel operating system running on an isolated chip, but with access to your PC’s hardware. It runs when your computer is asleep, while it’s booting up, and while your operating system is running. It has full access to your system hardware, including your system memory, the contents of your display, keyboard input, and even the network.

Noch ein Paar Infos, von denen ich nur Bahnhof verstehe,
außer der Tatsache, das die Prozesse bereits vor dem Start des BIOS /UEFI ablaufen.:
https://i.blackhat.com/USA-19/Wednesday ... Engine.pdf

Das Tool schreibt nach gefühlten 2 Millisekunden::

Code: Alles auswählen

Intel(R) CSME Version Detection Tool
Copyright(C) 2017-2019, Intel Corporation, All rights reserved.

Application Version: 2.0.8.0
Scan date: 2020-02-08 09:40:47 GMT

*** Host Computer Information ***
Name: XFCE
Manufacturer: To Be Filled By O.E.M.
Model: To Be Filled By O.E.M.
Processor Name: Intel(R) Core(TM) i9-9900 CPU @ 3.10GHz
OS Version: debian bullseye/sid  (5.4.0-3-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Converged Security and Management Engine
Version: 12.0.31.1416

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is not vulnerable. It has already been patched.

For more information refer to the Intel(R) CSME Version Detection Tool User Guide
or the related Intel Security Advisory list at:
https://www.intel.com/content/www/us/en/support/articles/000031784/technologies.html

Mein BIOS:

Code: Alles auswählen

Date	07/29/2019
Hersteller	American Megatrends Inc. (American Megatrends, www.ami.com)
Version	P4.20

Mein Board- Hersteller aber schreibt:

Code: Alles auswählen

4.30	2020/1/2	9.55MB	
1. Update Intel Microcode and ME.
2. Update GOP
* We don't recommend users to update the BIOS if their system is already running normally.

Fazit:

BND /Behörde schreibt:

Hallo Intel bitte mal ein Paar Infos von Firma XYZ / Rechner XYZ

Intel Schreibt:

Null Problemo, wir demnächst geliefert

Na dann wollen wir uns mal weiter um Crypto / sichere Firewalls und so weiter bemühen, damit wir was zu tun haben
und hier im Forum die Seiten füllen können

[Tintom]

Noch ein Paar Infos, von denen ich nur Bahnhof verstehe

Weiter oben wurde schon die Webseite des Libreboot-Projekts verlinkt. Dort wird ziemlich ausführlich beschrieben, was das ales zu bedeuten hat. Ein Auszug:

The ME consists of an ARC processor [...] including a cryptography engine, [...] and a direct memory access (DMA) engine to access the host operating system’s memory as well as to reserve a region of protected external memory [...].

Sämtliche Verschlüsselung wird demnach ausgehebelt, weil auf den Schlüssel ganz einfach im Speicher zugegriffen werden kann.

Und weiter heißt es:

The ME also has network access with its own MAC address through an Intel Gigabit Ethernet Controller.

Weil AMD ähnliche Dinge verbaut, kommt das Projekt zu dem Schluss:

Given the current state of Intel hardware with the Management Engine, it is our opinion that all performant x86 hardware newer than the AMD Family 15h CPUs (on AMD’s side) or anything post-2009 on Intel’s side is defective by design and cannot safely be used to store, transmit, or process sensitive data.

Ich werde dann mal demnächst meinen uralten AthlonXP reaktivieren

[novalix]

Gab es einen sehr interessanten Vortrag auf dem 36c3 zu, sehr englisch und sehr technisch:
https://media.ccc.de/v/36c3-10694-intel ... _deep_dive

[DaCoda]

Ich finde die Sache mit der ME aber etwas übertrieben.

Schließlich haben BIOS, GraKa, Netzwerkkarte, CD-ROM-Laufwerk, Monitor,... auch eine proprietäre Firmware.

Das CD-ROM-Laufwerk hat wahrscheinlich nicht so viele Zugriffsmöglichkeiten (wenn es über SATA angeschlossen ist).

Aber BIOS oder GraKa?

[hikaru]

Ich finde die Sache mit der ME aber etwas übertrieben.

Wirklich?

Schließlich haben BIOS,

Einige Leute stört das. Deshalb gibt es Coreboot/Libreboot.

GraKa, Netzwerkkarte,

Diese Firmwares liegen nicht umsonst in non-free.

Das CD-ROM-Laufwerk hat wahrscheinlich nicht so viele Zugriffsmöglichkeiten (wenn es über SATA angeschlossen ist).

Ersetze das Laufwerk gegen eine HDD und du bist bei "hddhack" [1].

Die Gefahr die von Intels ME bzw. AMDs PSP ausgeht kleinzureden, weil es genug andere Komponenten gibt, die ebenfalls zweifelhaft sind ist nichts weiter, als vor dem Missstand zu kapitulieren, dass man das "eigene" System nicht unter Kontrolle hat.


[1] https://spritesmods.com/?art=hddhack

[novalix]

Zumal: Mir ist kein BIOS und erst recht keine Firmware einer Graphikkarte, etc. bekannt, die *eigenständig* ohne laufendes installiertes Betriebssystem in der Lage wäre, das Netzwerk in Betrieb zu nehmen.

[willy4711]

Ich glaube schon, dass es einen Unterschied macht, ob da in meinem Rechner ein z.Z. von niemandem kontrollierbares
Betriebssystem mit eigenem Prozessor arbeitet, das anscheinend Zugriff auf alles hat was in meinem Rechner vor sich geht.

Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse, und kann auch während des Standby arbeiten,
solange ich nicht den Stecker ziehe und das Netzkabel vom Router abziehe.
Wahrscheinlich ist es in der Lage, einen verschlüsselten Rechner trotzdem booten, wenn entsprechende Stellen es wollen
(meine Vorstellung).

Das wäre gleichzusetzen mit der Erlaubnis, einem wildfremden Menschen das Passwort zu geben und
ihn mit meinem Rechner unbeaufsichtigt arbeiten zu lassen.

Die Geschichte mit dem Bundestrojaner hat sich somit erledigt oder ist eh nur eine Schimäre, die von den tatsächlichen
Gegebenheiten ablenken soll.
Bei Bedarf: Big Brother has always been watching you

Wäre das bei anderer unfreier Firmware (Treibern) so, wäre es - glaube ich zumindest - bekannt.

Leider ist Libreboot auf Architekturen bis 2009 beschränkt (https://libreboot.org/faq.html#intel):
Also nicht wirklich eine Alternative

It is unlikely that any post-2008 Intel hardware will ever be supported in libreboot, due to severe security and freedom issues; so severe, that the libreboot project recommends avoiding all modern Intel hardware. If you have an Intel based system affected by the problems described below, then you should get rid of it as soon as possible. The main issues are as follows:

[MSfree]

Es ist in der Lage, die Verschlüsselung auszuhebeln, hat eine eigene MAC Adresse,

Ich behaupte trotzdem, daß sich trotzdem Spuren solcher Aktivitäten erkennen lassen müßten. Z.B. bräuchte so ein Eigenleben ja eine IP-Adresse, die es über DHCP bezieht? Wenn ja, dann müßte man dies im Log des DHCP-Servers sehen.

Ich kann bisher jedenfalls keine derartigen Aktivitäten in den Logs meines Linuxrouters erkennen und der logt so ziemlich alles eingehen wie ausgehend.

[wanne]

Zumal: Mir ist kein BIOS und erst recht keine Firmware einer Graphikkarte, etc. bekannt, die *eigenständig* ohne laufendes installiertes Betriebssystem in der Lage wäre, das Netzwerk in Betrieb zu nehmen.

Du hast offensichtlich in den letzen 15 Jahren keinen Computer mehr gekauft. – Dh. da steht bekannt... Jedes Handy-Firmware kann dass. Fast jedes EFI. (Das du wahrscheinlich hast, auch wenn du es immer noch BIOS nennst.) Und die mit Abstand meisten Netzwerkkarten können das. Jede bessere Intel CPU seit Sandy Bridge (2011) Mindestens was Core2 Duo T oder P Serie ist und alles was i5 und i7 ist.

Ich behaupte trotzdem, daß sich trotzdem Spuren solcher Aktivitäten erkennen lassen müßten. Z.B. bräuchte so ein Eigenleben ja eine IP-Adresse, die es über DHCP bezieht? Wenn ja, dann müßte man dies im Log des DHCP-Servers sehen.

Ich kann bisher jedenfalls keine derartigen Aktivitäten in den Logs meines Linuxrouters erkennen und der logt so ziemlich alles eingehen wie ausgehend.

Es gab mal Malware die einfach gewartet hat bis TCP Pakete kommen und dann da die Daten davorgehängt hat. Das ist aber nicht was offiziell vorgesehen ist. EFIs machen üblicherweise vier mal im Jahr DHCP. Fällt im Normalfall nicht auf, weil der Rechner das eh macht. (Debian bei standardinstallation schon zwei mal. Das fällt auch niemand auf. Wenn das EFI das dann beim Booten ein drittes mal macht. Wird ja auch für PXE benötigt.) Intels ME kommuniziert per SMS.

[willy4711]

Hier mal ein recht übersichtlicher Überblick:
https://www.heise.de/select/ct/2018/6/1520827829694087

[MSfree]

EFIs machen üblicherweise vier mal im Jahr DHCP. Fällt im Normalfall nicht auf, weil der Rechner das eh macht.

Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.

Mir würde es jedenfalls auffallen, wenn plötzlich eine unbekannte MAC im Log des DHCP-Servers auftaucht. Auch Fritzboxen zeigen die vergebenen IP-Adressen und die zugehörigen MACs an. Die Zuordnung ist praktisch persistent, es sei denn, man hat mehr Clients als der DHCP-Pool hergibt, was im Privratbereich unwahrscheinlich ist. Mein DHCP-Pool ist 100-IPs groß und so viele Clients habe ich dann doch nicht.

Dem normalen Heimanwender fällt sowas natürlich nicht auf, der logt sich ja nie auf seinem Router ein, in die Logs schaut er schon gar nicht.

[willy4711]

Das hatte ich aus dem Post von Tintom
viewtopic.php?f=37&t=176337#p1229671

[wanne]

Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.

Per default machen die aber sowieso nur SMS. Da siehst du an deiner Fritzbox gar nichts. Daneben haben sie noch einen zeroconf ähnlichen Mechanismus. Der tut aber nur im LAN. (Ein passender Server muss sich Annoncen.) Dafür kann man in teureren Modellen wohl auch ein primitives VPN konfigurieren. Das nutzt dann btw. einfach die IP, die sich das OS geholt hat ohne erneut selbst DHCP zu machen.
Das ist dann aber ne Sachen die du erst aktivieren musst. – Können tut sie das aber immer...
Was in seltenen Fällen selbst DHCP macht ist meistens das EFI.

Auch Fritzboxen zeigen die vergebenen IP-Adressen und die zugehörigen MACs an.

Nein. Wer kein DHCP und kein mDNS macht wird nicht angezeigt.

[OrangeJuice]

Per default machen die aber sowieso nur SMS. Da siehst du an deiner Fritzbox gar nichts. Daneben haben sie noch einen zeroconf ähnlichen Mechanismus. Der tut aber nur im LAN. (Ein passender Server muss sich Annoncen.) Dafür kann man in teureren Modellen wohl auch ein primitives VPN konfigurieren. Das nutzt dann btw. einfach die IP, die sich das OS geholt hat ohne erneut selbst DHCP zu machen.
Das ist dann aber ne Sachen die du erst aktivieren musst. – Können tut sie das aber immer...
Was in seltenen Fällen selbst DHCP macht ist meistens das EFI.

Kannst du ein paar weitere Informationen geben, was genau dieses "Intel SMS" alles kann? Habe ich richtig verstanden(vorausgesetzt Intels ME weitet ihr "geheimes" Eigenleben aus), dass es so theoretisch möglich wäre für die Intel ME unabhängig vom System und durch Router hindurch zu kommunizieren oder ist das nur in bestimmten Intel CPUs möglich?

[wanne]

Puh so ganz gut bin ich auch nicht (mehr) informiert. Du kannst dir deine Thinkpads mit Intel CPU per SMS sperren lassen. Beim T400 war das noch so, dass dazu das UMTS-Modem nötig war. Bei neueren werben sie ausdrücklich damit, dass das auch funktioniert wen kein UMTS-Modem genutzt wird. Und wer SMS empfangen kann müsste selbstverständlich auch welche senden können. Es bleibt die warnung, dass das nur funktioniert, wenn der Laptop in der nähe eines Funkmasts ist und dass man für die anderen Fälle auch konfigurieren kann, dass er es über LAN und WLAN versucht. Ich habe mich nie wirklich für solche "Features" interessiert. Aber google mal nach Anti-Theft und Intel und du wirst bestimmt fündig.

[Routerdilettantin]

Solange das mit der "normalen" MAC-Adresse passiert, fällt das natürlich nicht auf. Aber, und so entnehme ich das einem der obigen Posts, hat die ME eine eigene MAC-Adresse.

Das ist für meinen Dell Optiplex 7050 korrekt. Der holt sich eine zusätzliche IP-Adresse vom DHCP-Server für die Intel ME und erneuert diese Lease regelmäßig. Eigentlich hat der Optiplex eine feste IP. Die ME meldet sich beim DHCP-Server netterweise mit einem aussagekräftigem Hostnamen (optiplex_me). Ich habe zur Beobachtung eine DHCP-MAC-IP-Reservation konfiguriert. Da ich Egress-Filtering per Firewall durchführe (nur bekannte Adressen und Ports dürfen), würde ich ausgehende IP-Verbindungen im Log für die Block-All-Regel am Ende sehen. Bislang war die Intel ME brav, was ausgehende Verbindungen betrifft. Wenn jedoch der Optiplex abgeschaltet ist, wird die Lease trotzdem regelmäßig erneuert.

@TO: Bei meinen Gerät wird die Intel ME bei einem BIOS-Update mit "hochgezogen". Solange oder so kurz es eben Updates gibt ...
Dann noch eine Idee: Beim Lesen von Release-Notes für BIOS-Updates von Dell und HP ist mir aufgefallen, dass Updates bei Schwachstellen der Intel ME eher für "Pro"-Geräte mit Fernwartung empfohlen werden. Wer keine Intel ME mag oder braucht, könnte mit Consumer-Geräten gut dran sein, da wird wohl nicht alles für Fernwartung und Intel ME im BIOS implementiert. Oder nutzt eben keine Intel Core i irgendwas, nehme stark an, Pentium und Celeron sind nicht fernwartungsfähig, haben keine oder nur Rudimente einer ME.