web-dev-qa-db-ja.com

インテルAMT / MEの「リング-3エクスプロイト」によってもたらされるリスクを最小限に抑える方法は?

この質問は、インテルAMT/MEのリング-3エクスプロイトによってもたらされるリスクを最小限に抑える方法についてです。一般的な戦略と実践に関するアドバイスを探しています。これが私の現状です。

ラップトップが接続されている間、暗号化されたIntel iCore5モバイルデバイスをS3ハイバネーションモードで駐車することがよくあります。GNU/ Linuxを実行し、有線ネットワークではなく無線LANを使用しています。メモリ自体は暗号化されていません暗号化されていません(たとえば、システムが [〜#〜] tresor [〜#〜] コンセプトで動作している)。

私の理解によると IntelのAMT/ME脆弱性に関するこの記事 リスクは、2番目のプロセッサ、つまりAMT/MEがS3ハイバネーション中に実行でき、ネットワーク通信を使用できるという単なる事実によって想定できます。 。

明確にするために、提案された改善とリスク/曝露低減戦略について、私は決してAMT/ME関連のものを高く評価したり、必要としたりしていません。それを無効にする方法はありますか?さらに、Corebootを使用すると、このリスクがさらに軽減されますか?もしそうなら、なぜですか?

また、WiFiのアンテナをハードウェアで切り替えて、システムで遮断することも考えていました。マシンの稼働中にIntelのAMT/MEの「機能」によってOOBに対して脆弱になるという考えでさえ、幸せな考えではありません。

hardwarevulnerabilityrootkits
11
humanityANDpeace

結局のところ、iCore5でできることは何もありません。
PCの残りの部分に完全にアクセスして制御できる永続的なバックドアがあります。
この事実を知っていることが気になる場合、実際にできることは次の2つのうちの1つだけです。

  1. 今すぐ振り返って、より幸せな考えを考えることにあなたの精神的エネルギーを再び集中させます。
  2. 掘り下げ deeper そして GM45 チップセットと「時代遅れ」のThinkPadsに対する新たな感謝の気持ちを養います。

リムーバブルMEを備えた最速で最も機能的なPCは、ThinkPadモデルX200、T400、およびT500です。これらは、比較的単純な 手順 でIntelのMEを完全に取り除くことができ、ビーグルボーンブラック、古いATX PSU、Pomona 5252( SOIC-8またはSOIC-16)といくつかのジャンパー線。

または、 購入 MEが削除された前述のThinkPadの1つを使用することもできますが、コストは大幅に増加します。

3
andDevW

あなたのリンクからのインテルQ35はIntel AMT 3です。これは、「ハック方式」でいくつかの問題があったAMTの最後のバージョンです。 AMT4 +はハッキングしませんでした。AMT6+はさらに高いセキュリティを備えています。

Intel AMT/MEが怖い場合は、BIOSまたはMEBxで無効にできます。ただし、最新のシステムはすべてデフォルトでIntel MEを使用するように構築されていることを覚えておく必要があります。

2
Roman Sevko

インテルが提供するソリューションを使用する以外に、現在実行できる最善のことは、BIOSにコアブートをインストールしてME OSを無効にすることです。これは現時点では特定のチップでのみ実行できますが、長期的なソリューションに積極的に取り組んでいるチームがあります。

https://puri.sm/posts/deep-dive-into-intel-me-disablement/

Think of the ME as having 4 possible states:

Fully operational ME: the ME is running normally like it does on other manufacturers’ machines (note that this could be a consumer or corporate ME image, which vary widely in the features they ‘provide’)
Neutralized ME: the ME is neutralized/neutered by removing the most “mission-critical” components from it, such as the kernel and network stack.
Disabled ME: the ME is officially “disabled” and is known to be completely stopped and non-functional
Removed ME: the ME is completely removed and doesn’t execute anything at any time, at all.
0
HackSlash