Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Google will UEFI und Management Engine loswerden

14 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von schmidicom am Mo, 30. Oktober 2017 um 14:53 #

Die Firmware des eigenen Mainboards mit einem Hack zu verstümmeln soll jetzt also kurzfristig die Rettung sein? Sorry aber das Risiko ist mir dann doch zu groß. Das einzig richtige wäre die Mainboardhersteller dazu zu zwingen dem Endkunden endlich die volle Kontrolle über das gekaufte Produkt zu überlassen.

  • 1
    Von asdfghjkl am Mo, 30. Oktober 2017 um 21:16 #

    Meine persönliche Meinung dazu:

    Es lohnt sich aktuell aufgrund dieser Google- und Wikileaks-Erkenntnisse, nicht mehr, einen neuen originalen Intel- oder AMD-PC, der mit allergrößter Sicherheit quasi firmware- bzw. hardwareseitig unterwandert und verwanzt ist (mittels IME, dem AMD-Pendant der IME und UEFI), zu kaufen.

    Wir müssen uns quasi zunächst auf die letzte Hardwaregeneration zurückziehen, die diese unkontrollierbaren Fernwartungsfeatures noch nicht besessen hat.

    • 1
      Von Nur ein Leser am Mo, 30. Oktober 2017 um 22:07 #

      Wir müssen uns quasi zunächst auf die letzte Hardwaregeneration zurückziehen, die diese unkontrollierbaren Fernwartungsfeatures noch nicht besessen hat.
      Hmm, nette Idee.

      Allerdings, wenn diese Liste stimmt, dann ist AMT/ME schon seit Q963/Q965 Chipsätzen enthalten. Die sind von 2006.

      Das war noch vor der Core-Familie von Intel-Prozessoren. Und ich meine nicht Core-i, sondern Core 2.

      Ich glaube, auf der P6-Hardware (Pentium Pro - Pentium M) möchte man heutzutage nicht mehr ernsthaft arbeiten.
      Natürlich wäre es mir auch lieb, wenn keine unkontrollierten Backdoors auf Hardware-Ebene da wären, aber ich fürchte, vorerst werden wir damit leben müssen. Ich drücke Google die Daumen, das sie es entschärfen und für die Allgemeinheit nutzbar machen können.
      Noch besser wäre natürlich, wenn die Hersteller gar nicht erst so ein Feature einbauen, zumindest nicht, ohne den Code dafür offenzulegen.

      • 3
        Von asdfghghjjk am Di, 31. Oktober 2017 um 18:33 #

        Ja, das ist übel.

        Bei AMD sieht es etwas besser aus, aber nur weil AMD länger brauchte, um mit PSP eine IME-ähnliche Technologie zu entwickeln: Die letzten CPUs ohne PSP-Engine (AMDs Intel-IME-Pendant) waren diejenigen der 15h-Generation (Piledriver, Bulldozer). Allerdings enthalten diese offenbar schon einen unabhängig vom Nutzersystem operierenden Firmware-only-Kleinrechner namens SMU.

        Aufgrund der integrierten, in Hardware gegossenen Verschlüsselungsalgorithmen und -Keys wird freie Firmware auch kaum jemals die volle Kontrolle über solche Hardware übernehmen können.

        Mir erschließen sich nur die Beweggründe für dieses Streben von Intel und AMD nach totaler Kontrolle der von Ihnen verkauften (!) Rechner nicht. Gibt es vielleicht sogar eine Art Kommandozentrum, dass solche Rechner, sobald Sie mit dem Internet verbunden sind, direkt detektiert und anzeigt und bestimmten Entitäten problemlosen Direkt-Zugriff auf die kompromittierten Systeme ermöglicht? D.h. handeln Intel und AMD gemäß einer staatlichen Vorgabe, d.h. auf staatlichen Zwang hin, mit der Maßgabe, staatlichen Behörden den Zugriff auf solche Rechner zum Abernten der dortigen Daten zur Verfügung stellen zu müssen, was ja auch z.B. im Tor-Netzwerk funktionieren müsste?

        Diese Management-Engines sind IMO Backdoors, Trojaner. Das ist der eigentliche Skandal.

        Die nächste Frage dürfte sein, ob Router-CPUs mittlerweile analoge Features aufweisen.

        0
        Von ___# am Mo, 13. November 2017 um 13:11 #

        Wenn ich das richtig verstehe, gibt es eine
        Moderne Alternative.

      1
      Von kamome umidori am Mo, 30. Oktober 2017 um 23:31 #

      Das Dumme ist, dass die noch kein IOMMU (VT-d) können. Sollte die Bedeutung nicht klar sein, z.B. bei QubesOS dazu nachlesen.

      • 1
        Von asdfgfghhjkj am Mi, 1. November 2017 um 21:57 #

        Das macht auch Sinn. Dann kann der integrierte Minixrechner, über den man keinerlei Kontrolle hat, auch gleich noch Images dieser virtuellen Maschinen mitanlegen und versenden (laut Google soll das funktionieren). Ideal für Serverparks von Firmen an dicken Gbit-Standleitungen.

        Die CPU- und Mainboardhersteller haben die Freie Software-Szene letztendlich komplett ad absurdum geführt, frei nach dem Motto, macht auf Euren Rechnern vorgeblich, was Ihr wollt, unser letztendlich Closed-Source-Minix-"Underground"-Rechner (Intel veröffentlicht ja die Quellen nicht) hat sowieso das letzte Wort.

        Privat komme ich ohne virtuelle Maschinen aus. Ich hätte nie gedacht, dass ich so manchen antiken Rechner vielleicht noch einmal gebrauchen könnte.

        • 1
          Von kamome umidori am Mi, 1. November 2017 um 22:23 #

          Ich verstehe Deine Argumentation nicht in allen Punkten („Das macht auch Sinn.“), aber mit einem Rechner ohne ME (o.ä.), bzw. einem „befreiten“ Rechner (z.B. Librem), jedoch mit IOMMU ist Virtualisierung auch privat sehr interessant/nötig, um einen „einigermaßen sicheren“ Rechner zu verwenden (siehe Qubes).

    2
    Von klaus818 am Di, 31. Oktober 2017 um 09:07 #

    Welches Risiko siehst du denn? Es ist dokumentiert, was entfernt wurde. Und wenn es funktioniert, wo ist denn da dein Problem? Natürlich sollte das Ziel ein komplettes BIOS sein, aber es ist doch schon mal ein Anfang. Und vor allem, werden die Leute mal wachgerüttelt. Es ist nicht perfekt, aber es ist doch nichts schlechter als wie vorher.

    • 0
      Von schmidicom am Di, 31. Oktober 2017 um 09:20 #

      Die Firmware eines handelsüblichen Server/Desktop-Mainboards ist nur sehr schlecht bis gar nicht Dokumentiert, wodurch jede noch so kleine Veränderung zu einem Experiment mit unvorhersehbarem Ausgang wird. An so etwas herumzubasteln ist EXTREM GEFÄHRLICH und für den Hersteller mitunter ein legitimer Grund jeden Support, Ersatz und/oder Reparatur zu verweigern.

      Das ist keine Lösung, nicht mal ansatzweise! Es mag höchstens dazu dienen auf das Thema aufmerksam zu machen aber mehr auch nicht...

      EDIT:
      Ich weiß von einem BIOS-Modding-Experiment bei einem ThinkPad Edge aus eigener Erfahrung wie heikel so etwas ist. Das ist immer eine reine Verzweiflungstat die einem früher oder später bei irgendetwas in die Quere kommt.

      Dieser Beitrag wurde 2 mal editiert. Zuletzt am 31. Okt 2017 um 12:54.
      • 1
        Von blablabla233 am Di, 31. Oktober 2017 um 20:40 #

        EXTREM :D :D :D Man beachte ZUERST ein Backup-Blob ziehen, wenn etwas EXTREM GEFÄHRLICHES passiert kann man per klammer den alten Blob wieder daraufspielen, verzweifelt ist nur jemand der kein Plan hat.

        1
        Von asdfghghjjk am Mi, 1. November 2017 um 22:27 #

        Mich würde dabei vor allen Dingen interessieren, ob diese IME- und PSP-Engines botnetzwerkähnliche Netzwerkstrukturen aufbauen, die man dann entsprechend missbrauchen könnte. So von wegen IoT mit etwas dickeren CPUs.

        Von daher hätte man unter Umständen sogar die juristische Verpflichtung, solche Rechner vom Netz zu nehmen.

        IMO sollte man sich nach anderen Rechnerarchitekturen umsehen, die diese IME-Features noch nicht besitzen und die von Intel und AMD kontrollierte x86-Hardware-Plattform aufgeben. Diese ist unrettbar verloren. Serveranbieter z.B. können mit solcher x86-Hardware nicht mehr die Sicherheit der Daten Ihrer Kunden garantieren. Entsprechende Leaks sind quasi vorpogrammiert.

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung