Die Intel Management Engine – ein Alptraum für den Datenschutz

Jeder moderne Prozessor von Intel enthält eine Backdoor, die als Intel Management Engine (IME) bezeichnet wird. Dies ist ein isolierter und geschützter Coprozessor, der in allen Intel-Chipsätzen enthalten ist, die neuer als Juni 2006 sind.


Dies umfasst alle Desktops, Server, Ultrabooks, Tablets und Laptops mit der Intel Core vPro-Prozessorfamilie. Es umfasst die Produktfamilie der Intel Core i3-, i5-, i7- und Intel Xeon-Prozessoren E3-1200.

Die Intel Management Engine ist wirklich ziemlich beängstigend

Dieses nicht überprüfbare Closed-Source-Subsystem kann:

  • Greifen Sie ohne Wissen der CPU auf alle Bereiche des Computerspeichers zu.
  • Greifen Sie auf jedes an Ihren Computer angeschlossene Peripheriegerät zu.
  • Richten Sie auf Ihrer Netzwerkschnittstelle einen TCP / IP-Server ein, der Datenverkehr senden und empfangen kann, unabhängig davon, ob auf dem Betriebssystem eine Firewall ausgeführt wird oder nicht.
  • Remote-Ausführung, auch wenn Ihr Computer ausgeschaltet ist.
  • Ermöglichen Sie es einem Remote-Benutzer, Ihren PC einzuschalten, auszuschalten, Informationen über ihn anzuzeigen und ihn anderweitig zu verwalten.
  • Die ME-Firmware-Versionen 4.0 und höher (Intel 4 Series und neuere Chipsätze) enthalten eine DRM-Anwendung namens "Geschützter Audio-Video-Pfad" (PAVP). Auf diese Weise kann ein entfernter Benutzer auf alles zugreifen, was auf Ihrem Bildschirm angezeigt wird.

Wenn Ihr PC einen Intel-Chip verwendet, spielt es keine Rolle, welches Betriebssystem Sie ausführen. Wie Brian Benchoff in einem Hackady-Blogbeitrag feststellt,

"Besitze den ME und dir gehört der Computer."

Erschreckend wie das alles ist, wird es noch schlimmer. Die AMT-Anwendung (siehe unten) weist bekannte Schwachstellen auf, die bereits ausgenutzt wurden, um Rootkits und Keylogger zu entwickeln und verdeckt verschlüsselten Zugriff auf die Verwaltungsfunktionen eines PCs zu erhalten. Wie Libreboot in seinen FAQ vermerkt,

„Zusammenfassend ist festzuhalten, dass die Intel Management Engine und ihre Anwendungen eine Hintertür sind, die den vollständigen Zugriff auf den Rest des PCs und dessen Steuerung ermöglicht. Der ME ist eine Bedrohung für Freiheit, Sicherheit und Privatsphäre, und das libreboot-Projekt empfiehlt nachdrücklich, ihn vollständig zu vermeiden. “

Bisher war der einzige Weg, dies zu tun, zu vermeiden, dass alle Generationen von Intel-Hardware älter als zehn Jahre sind! Die Entscheidung für einen Nicht-Intel-Prozessor bringt Sie leider nicht weit ...

Chips von Drittanbietern sind ebenfalls nicht sicher!

Alle AMD-Chips nach 2013 enthalten einen Platform Security Processor (PSP). Die Implementierung unterscheidet sich stark von der des Intel IME, funktioniert jedoch sehr ähnlich. Es enthält auch die gleichen grundlegenden Sicherheits- und Freiheitsaspekte wie der IM.

Android- und iOS-Geräte hingegen werden alle mit einem integrierten proprietären Chip ausgeliefert, der als Basisbandprozessor bezeichnet wird. In Sicherheitskreisen ist bekannt, dass dies effektiv als Hintertür fungieren kann…

Was genau ist die Intel Management Engine??

Das IME ist die Hardwarekomponente von Intel Active Management Technology (AMT). Es soll Systemadministratoren den Fernzugriff auf PCs ermöglichen, um diese zu überwachen, zu warten, zu aktualisieren, zu aktualisieren und zu reparieren.

Abgesehen von seinen Fähigkeiten ist nur sehr wenig über das IME bekannt. Dies ist der Tatsache zu verdanken, dass es sich um eine geschlossene Quelle handelt und mit einem RSA-2048-Schlüssel gesichert ist. Wie bereits erwähnt, weist die AMT-Anwendung bekannte Schwachstellen auf, obwohl die IME-Hardwarekomponente vorerst sicher bleibt. Wie Benchoff bemerkt,

"Derzeit sind keine Schwachstellen in der ME bekannt, die ausgenutzt werden könnten. Wir sind alle von der ME ausgeschlossen." Aber das ist Sicherheit durch Dunkelheit. Sobald der ME fällt, wird alles mit einem Intel-Chip fallen. Es ist bei weitem die gruseligste Sicherheitsbedrohung heute und es ist eine, die durch unsere eigene Unkenntnis der Funktionsweise des ME noch schlimmer wird. "

In Bezug auf kriminelle Hacker ist es sehr wichtig, wann und nicht, ob die Hardware geknackt ist. Darüber hinaus sind kriminelle Hacker nur eine Bedrohung, über die man sich Sorgen machen muss.

Systemadministratoren erhalten mithilfe von kryptografischen Schlüsseln Zugriff auf AMT-Funktionen. Diese können gestohlen oder den Behörden nach Erhalt einer Vorladung, eines Gerichtsbeschlusses, eines nationalen Sicherheitsbriefes oder dergleichen übergeben werden.

Angesichts der uns bekannten engen Beziehungen zur US-amerikanischen Technologiebranche ist zu vermuten, dass Intel der NSA lediglich die Zertifikate und kryptografischen Schlüssel zur Verfügung gestellt hat, die für den Zugriff auf alle von ihr hergestellten Chips erforderlich sind. Auch dies ist sehr beängstigend!

Wie deaktiviere ich den IM??

Bis vor kurzem war es unmöglich, die Sofortnachricht auf den meisten Systemen zu deaktivieren, auf denen Intel Core 2-Chips oder neuere (ab 2006) verwendet werden. Jeder Versuch, die ME-Firmware auf einem Chip zu deaktivieren, der den IME enthält, würde dazu führen, dass sich das System kurz nach dem Start weigert, zu starten oder herunterzufahren.

Es wurde eine Technik zum Entfernen des ME von GM45-Chipsätzen (Core 2 Duo, Core 2 Extreme, Celeron M) entwickelt. Es funktionierte jedoch, weil sich der ME auf einem Chip befand, der von der Northbridge getrennt war.

Diese Technik funktioniert nicht bei Core i3 / i5 / i7-Prozessoren, da der ME in die Northbridge integriert ist. Es ist möglich, wichtige Teile des ME auf diesen Chips zu deaktivieren. Dies hat jedoch immer dazu geführt, dass der PC nach 30 Minuten heruntergefahren wurde, wenn das Boot-ROM des ME (in einem SPI-Flash gespeichert) keine gültige Intel-Signatur fand.

Erst kürzlich stellte der Forscher Trammell Hudson jedoch fest, dass, wenn er die erste Seite der ME - Region löschte (d. H., Die ersten 4 KB ihrer Region (0x3000, beginnt mit "$ FPT"') seines ThinkPad x230 wurde es nach 30 Minuten nicht heruntergefahren.

Diese Entdeckung veranlasste andere Forscher (Nicola Corna und Frederico Amedeo Izzo), ein Skript zu schreiben, das diesen Exploit nutzt. Beachten Sie, dass dieses Skript das ME per se nicht vollständig entfernt, es aber praktisch deaktiviert. Benchoff beobachtet,

"Eigentlich denkt ME immer noch, dass es läuft, aber es macht eigentlich nichts."

Es ist bekannt, dass das Skript auf Sandy Bridge- und Ivy Bridge-Prozessoren und auf Skylake-Prozessoren funktioniert. Es kann funktionieren und Haswell- und Broadwell-Prozessoren, aber dies wurde nicht getestet.

Leider erfordert die Verwendung dieses Skripts ernsthafte technische Eingriffe. Hierfür sind ein Beaglebone, ein SOIC-8-Chip-Clip und einige lose Drähte erforderlich. Es erfordert auch viel Nerven, da ein ernstes Risiko besteht, Ihren Prozessor zu beschädigen!

Dennoch ist dies eine wichtige Entwicklung, die es denjenigen ermöglicht, die entschlossen genug sind, die in so gut wie jedem modernen Prozessor vorhandene Hintertür (effektiv) zu entfernen.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me