Hi There

http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html

The scenario that Intel system architects, engineers, and security specialists perhaps feared most is now a reality. A vulnerability has been found in the ROM of the Intel Converged Security and Management Engine (CSME). This vulnerability jeopardizes everything Intel has done to build the root of trust and lay a solid security foundation on the company's platforms. The problem is not only that it is impossible to fix firmware errors that are hard-coded in the Mask ROM of microprocessors and chipsets. The larger worry is that, because this vulnerability allows a compromise at the hardware level, it destroys the chain of trust for the platform as a whole.

Wie gravierend wird sich das in der Praxis wohl auswirken? Ich komm da nur zur Hälfte mit, aber soweit ich seh, ist da im Ernstfall die ganze Krypto gebrochen?

Wie gravierend wird sich das in der Praxis wohl auswirken? Ich komm da nur zur Hälfte mit, aber soweit ich seh, ist da im Ernstfall die ganze Krypto gebrochen?

Wird also Netflix auf Intel CPUs gesperrt?

War ja letzten Endes nur eine Frage der Zeit.

Ich sag mal, bis das irgendwie relevant wird, dauert das noch einige Zeit. Die NSA baut das in ihre Angriffswerkzeuge ein. Wenn ich das richtig verstehe, können damit Festplatten entschlüsselt werden, die ihren Schlüssel im CSME speichern.
Wenn ich das richtig verstehe, braucht man ein Device, was DMA Zugriff hat. Was ist da das einfachsten, PCIe? Ich denke mit nem PCIe FPGA Entwicklerboard wird das exploitbar sein. Kostet jetzt nicht die Welt, aber das Entwickelt man jetzt auch nicht mal so eben. Ich glaube kaum, dass die ihre Tools frei zur Verfügung stellen. Bis das ein Netflix Downloader in die Finger bekommt, dauert das sicherlich noch einige Zeit.

Mal abgesehen davon, fehlt denen ja auch noch ein Stück vom Puzzle - auch wenn sie zuversichtlich sind, dass sie es bekomme.

mit Firewire müsste das auch gehen

mit Firewire müsste das auch gehen
FireWas? War das je im Prozessor integriert? Gibts das heute überhaupt noch? Klar kann man ne Firewire Karte einbauen und dann nen Firewire Dongle dranklemmen, aber ob das einfacher ist, wage ich zu bezweifeln. Der Zugriff muss auch direkt am Anfang verfügbar sein. Ist das bei Firewire der Fall?

Thunderbolt geht natürlich auch, ist ja aber auch nur PCIe.

War ja letzten Endes nur eine Frage der Zeit.

Hätte uns doch bloß jemand gewarnt vor dem Einbau unsichtbarer dem Zugriff des normalen Users entzogene Chips gefährlich ist!




(oh, wurden wir von Anfang an...)

Hätte uns doch bloß jemand gewarnt vor dem Einbau unsichtbarer dem Zugriff des normalen Users entzogene Chips gefährlich ist!


das problem sind wie immer die lemminge, die alle vier jahre ihr kreuz bei den üblichen verdächtigen machen und damit verhindern, dass die politik tut, was sie sollte:
den scheiß komplett verbieten und monopole zerschlagen

Ich nutze nahezu ausschließlich open source (Vollblutlinuxer). Aber das Boot-Rom in nem kommerziellen Prozessor... wie lange vor Veröffentlichung der neuen CPU steht das schon fest? Und das wollt ihr durch Open Source sicherer machen? Bevor die CPU überhaupt am Markt ist? Ist ja nicht so, dass Intel ne kleine Fricklerbude ist, bei der der Azubi den Code am Wochenende geschrieben hat.

Mal abgesehen davon, Intel wird immer seinen Pubkey da reinbrennen "müssen". Wer das nicht will, der muss dann auch konsequent auf Netflix & Co verzichten. Es sei denn ihr wollt die auch dazu zwingen ihren Content ohne Kopierschutz zu verteilen. (Ja: Als Linuxer nervt mich jedes DRM. Aber ich nehme die Option kein Streaming zu nutzen freiwillig wahr. Erzwingen könnte man das eh kaum.)

Bei sowas stell ich mir manchmal vor, wenn ich diese ganzen Sicherheitslücken vor 10 Jahren gekannt hätte, wäre ich dann da der Hacker-God und unfassbar reich geworden? :uponder:

Ich nutze nahezu ausschließlich open source (Vollblutlinuxer). Aber das Boot-Rom in nem kommerziellen Prozessor... wie lange vor Veröffentlichung der neuen CPU steht das schon fest? Und das wollt ihr durch Open Source sicherer machen? Bevor die CPU überhaupt am Markt ist?

Reicht doch auch nachdem die CPU am Markt ist. Zumal garantiert nicht für jede CPU die komplette ME neu geschrieben wird. Um eventuelle Sicherheitslücken (und Hintertüren) zu finden.

Es sei denn ihr wollt die auch dazu zwingen ihren Content ohne Kopierschutz zu verteilen. (Ja: Als Linuxer nervt mich jedes DRM. Aber ich nehme die Option kein Streaming zu nutzen freiwillig wahr. Erzwingen könnte man das eh kaum.)

das wäre die einzig vernünftige lösung.
urheberrecht, patente und co abschaffen -> start frei für den größten aufschwung seit dem 2. wk!

Reicht doch auch nachdem die CPU am Markt ist.
Das Problem hier ist im Boot Rom, das kann man nicht patchen.

*edit*
das wäre die einzig vernünftige lösung.
urheberrecht, patente und co abschaffen -> start frei für den größten aufschwung seit dem 2. wk!
Patente könnte ich ja noch verstehen, wobei ich fast eher für eine erzwungene faire Lizensierung und Einschränkung der Patentierbarkeit statt der kompletten Abschaffung wäre. Urheberrecht... ich weiß nicht. Wenn alles legal kopiert werden kann... ins Kino gehen heute nicht mehr so viele. Mit streaming verdient der Urheber dann nichts mehr, weil es dann vom billigsten Server kommt. CDs und Blurays kaufen noch ein paar Leute, aber die darf China ja auch für 1,50 kopieren. Man kann sicherlich streiten, ob Hollywood und die Musikbranche nicht zu viel verdienen. Aber enteignen muss man die nicht direkt.
Mit ner Kulturflatrate wäre das ja noch fast fair. Aber einfach so, ist das ohnehin nicht Grundrechtskonform.
*edit* Urheberrecht drastisch verkürzen finde ich auch ok. (Geändert hier, weil ich die Diskussion nicht weiter entgleisen lassen will.)

ohne patente würde keiner mehr etwas investieren. Das gegenteil wäre der fall.

Schwachsinn

Heise hierzu:
https://www.heise.de/security/meldung/Intel-Prozessoren-Hardware-Sicherheitsschluessel-in-Gefahr-4677794.html

Golem sieht es reichtlich härter:
https://www.golem.de/news/security-das-intel-me-chaos-kommt-2003-147099.html

das wäre die einzig vernünftige lösung.
urheberrecht, patente und co abschaffen -> start frei für den größten aufschwung seit dem 2. wk!
Nicht komplett abschaffen. Aber eine sehr grundlegende Änderung des Patent- und Urheberrechts, mit globalen Regelungen, wird in den nächsten Jahren mMn unabdingbar sein.

Und bei AMD wie immer alles safe. Wie kann man einen Prozessor mit derart vielen Sicherheitslücken produzieren, das kann man ja schon fast nicht mehr als Zufall bezeichnen.

Ich würde eher hinterfragen, was bei AMD vielleicht noch alles unentdeckt ist. Als es mit Meltdown und Spectre damals anfing, da fand ich es noch plausibel, dass Intel da einen Bock in ihre Architektur gehauen hat und der lange unentdeckt blieb. Kann ja durchaus mal passieren. Aber mittlerweile werden so viele verschiedene Lücken veröffentlicht, dass ich einfach nicht glauben kann, dass AMD an all diese tausend Sachen gedacht hat beim Chipdesign, während bei Intel jahrelang alles löchrig wie ein Schweizer Käse war. Beide kochen nur mit Wasser.

Jedenfalls ein erneuter Wink mit dem Zaunpfahl, daß man sich bei solchen Dingen nicht in Abhängigkeit von nicht kontrollierbaren, gewinnorientierten Unternehmen begeben sollte.

Closed Source ist der Eingang des Menschen in die selbstverschuldete Unmündigkeit ;)

Ich würde eher hinterfragen, was bei AMD vielleicht noch alles unentdeckt ist. Als es mit Meltdown und Spectre damals anfing, da fand ich es noch plausibel, dass Intel da einen Bock in ihre Architektur gehauen hat und der lange unentdeckt blieb. Kann ja durchaus mal passieren. Aber mittlerweile werden so viele verschiedene Lücken veröffentlicht, dass ich einfach nicht glauben kann, dass AMD an all diese tausend Sachen gedacht hat beim Chipdesign, während bei Intel jahrelang alles löchrig wie ein Schweizer Käse war. Beide kochen nur mit Wasser.

Genau so sieht es aus, bei der Scheiss AMD Hardware der letzten Jahre hat es einfach keinen Hacker oder Forschergruppe interessiert.
Bin gespannt was irgendwann bezüglich Zen ans Licht kommt, wir werden sehen.

Und bei AMD wie immer alles safe. Wie kann man einen Prozessor mit derart vielen Sicherheitslücken produzieren, das kann man ja schon fast nicht mehr als Zufall bezeichnen.

Achso, na dann ist ja alles gut... (https://mlq.me/download/takeaway.pdf);D

Nix ist 100% sicher... wen juckts, dass ein Stream mit 100k+ Entwicklungsaufwand je Einzelfall geknackt werden kann ;) Wers wirklich sicher will kann doch per software open source implementieren. Mich nervts ehr, dass ich die Meltdown/Spectre patches nicht im BIOS deaktivieren kann. Ist ja schön, dass man mit dem Microcode zu retten versucht was geht aber dem Normalanwender, der unverschlüssekelte SSDs hat (und die Dinger nach "Formattierung") am Lebensdauerende auch noch bei EBay verkauft jucken die 5% Performanceverlust mehr als eine höchst theoretische Sicherheitslücke.

Afaik gibt es unter Windows keinen Performanceverlust, sofern man die Mitigations in der Registry abschaltet.

dem Normalanwender, der unverschlüssekelte SSDs hat (und die Dinger nach "Formattierung") am Lebensdauerende auch noch bei EBay verkauft jucken die 5% Performanceverlust mehr als eine höchst theoretische Sicherheitslücke.
Den "Normalanwender" interessiert Performance genausowenig. Von daher ist das schon ok.

Wo kann man denn in der Registry tweaken? Würe ich mir gerne mal ansehen...

https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Oder einfach InSpectre nehmen.