Alfonso Maruccia

Intel ME si può disabilitare

Finalmente identificato un metodo per disabilitare il discusso microcontroller "protetto" delle piattaforme Intel, una tecnologia per la gestione remota da tempo accusata di essere una vera e propria backdoor

Roma - I ricercatori di Positive Technologies hanno trovato il modo di mettere a riposo il Management Engine (ME) 11 di Intel, famigerata e discussa funzionalità per la gestione del sistema da remoto da tempo considerata dalla community di sicurezza una porta di accesso nascosta al di fuori del controllo dell'utente.

ME è un vero e proprio coprocessore "protetto" integrato nelle più recenti piattaforme hardware di Intel, un microcontroller localizzato all'interno del Platform Controller Hub (PCH, ovverosia quello che una volta si chiamava "Northbridge") che permette di accedere e controllare il PC da remoto grazie alla tecnologia Active Management Technology (AMT).

I casi recenti hanno evidenziato i rischi connessi a un sistema come AMT, in teoria dedicato esclusivamente agli utilizzi legittimi da parte degli amministratori di sistema ma in pratica sfruttato anche (soprattutto?) dai cyber-criminali per avere una porta di accesso privilegiata ai PC infetti senza quasi alcuna possibilità di controllo da parte del software di sicurezza.
Laddove Intel è stata fin qui sorda agli appelli a rendere disponibile un meccanismo di disabilitazione del coprocessore segreto di ME, i ricercatori russi di Positive Technologies hanno ora svelato che un modo per mettere a tacere la funzionalità di controllo remoto effettivamente esiste ed è stata la stessa Intel a prevederla.

La tecnologia segreta può essere disabilitata impostando il bit HAP su "1" in un file di configurazione, spiegano i ricercatori, dove HAP sta per "High Assurance Platform" e rappresenta un programma governativo statunitense che fa capo alla National Security Agency (NSA).

L'intelligence USA avrebbe insomma preteso la possibilità di disabilitare ME per chiudere una potenziale backdoor sui propri sistemi a base di CPU x86, ha confermato Intel, e la corporation ha prontamente obbedito senza però rendere pubblica la cosa. Il bit HAP non è in ogni caso ufficialmente supportato e gli utenti lo usano a proprio rischio e pericolo, dice infine Chipzilla.

Alfonso Maruccia
Notizie collegate
  • SicurezzaIntel, 9 anni di bug nelle CPUI chip Core di Santa Clara prodotti dal 2008 ad oggi presentano una vulnerabilità che consentirebbe attacchi remoti. Occorre un nuovo firmware, ma trattandosi anche di sistemi datati per alcuni il fix non arriverà mai
  • AttualitàIntel AMT, il controllo remoto preferito dai malwareUn noto gruppo di cyber-criminali sfrutta il sistema di controllo remoto dei processori Intel per gestire i sistemi infetti, scambiare file e rubare dati. Non è una vulnerabilità ma una funzionalità, spiegano i ricercatori
18 Commenti alla Notizia Intel ME si può disabilitare
Ordina
  • Intel è un dinosauro che non sa ancora di essere estinto perché il cervello nella coda è troppo lontano dalla testa...
    non+autenticato
  • Basta disattivare la funzionalità AMT dall'uefi-bios.
    non+autenticato
  • - Scritto da: spuntino
    > Basta disattivare la funzionalità AMT
    > dall'uefi-bios.

    Pare non sia sufficiente.

    Basta non usare più Intel, ora non ci sono più scuse.
  • - Scritto da: rockroll

    > Pare non sia sufficiente.

    "Pare"? Pare non è prova di nulla.
    A quanto mi risulta è più che sufficiente.

    > Basta non usare più Intel,

    Anche.
    Ma come già detto, basta configurare correttamente il bios/uefi. Senza bisogno di arrivare al boicottaggio.
    non+autenticato
  • - Scritto da: rockroll
    > - Scritto da: spuntino
    > > Basta disattivare la funzionalità AMT
    > > dall'uefi-bios.
    >
    > Pare non sia sufficiente.
    >
    > Basta non usare più Intel, ora non ci sono più
    > scuse.

    lui crede che basti mettere una spunta perché ciò avvenga. E ci credono in tanti.
    non+autenticato
  • - Scritto da: sono la morte..la tua.

    > lui crede che basti mettere una spunta perché ciò
    > avvenga. E ci credono in tanti.

    Un "disabled" nel bios non è la stessa cosa della spunta in un servizio cloud.

    Ma se non ci credi, puoi facilmente verificare di persona. Entra nell'uefi, spunta tutto su "disabled", e poi reboota. Nel migliore dei casi ti comparirà qualche messaggio di errore, per poi riavviarsi e resettarsi a default. Nel peggiore dei casi ti ritroverai invece con un bel reboot-loop infinito, e quindi macchina inservibile.
    E quella è la prova che i "disabled" sono stati applicati correttamente, producendo l'effetto che si suppone debbano produrre, "disabilitare" appunto.
    Non c'è motivo, quindi, di suppore che il "disabled" settato sull'ATM non abbia lo stesso effetto degli altri "disabled". In caso contrario, sei pregato di portare prove e/o contro-esempi. Fino ad allora, forse faresti meglio a tacere.
    non+autenticato
  • - Scritto da: sono la morte..la tua.
    > - Scritto da: rockroll
    > > - Scritto da: spuntino
    > > > Basta disattivare la funzionalità AMT
    > > > dall'uefi-bios.
    > >
    > > Pare non sia sufficiente.
    Pare? chi lo dice? hai provato?

    > >
    > > Basta non usare più Intel, ora non ci sono più
    > > scuse.
    >
    > lui crede che basti mettere una spunta perché ciò
    > avvenga. E ci credono in
    > tanti.
    No basta provare coglione!
    non+autenticato
  • - Scritto da: spuntino
    > Basta disattivare la funzionalità AMT
    > dall'uefi-bios.

    spuntino fammi un pompino.
    non+autenticato
  • ah si, NSA, FBI, CIA e conpagnia bella, vero? cioe', dovete essere chiari quando parlate altrimenti la gente rischia di confonder.. ah gia che siete PI, niente OO.
    non+autenticato
  • - Scritto da: ...
    > ah si, NSA, FBI, CIA e conpagnia bella, vero?
    > cioe', dovete essere chiari quando parlate
    > altrimenti la gente rischia di confonder.. ah gia
    > che siete PI, niente
    > OO.

    Infatti risulta che solo gli angiolettiAngioletto delle tre lettere hanno abusato di tale pertugio.
    non+autenticato
  • quindi resta il motivato dubbio che HAP su "1" in realtànon sia un fake o una modifica parziale che non inibisca comunque l'accesso a NSA & Co...
    non+autenticato
  • - Scritto da: prova123
    > quindi resta il motivato dubbio che HAP su "1" in
    > realtànon sia un fake o una modifica parziale che
    > non inibisca comunque l'accesso a NSA &
    > Co...
    Non ci e dato saperlo.


    Gli unici che possono darci questa risposta sono gli ingegnieri di chipzilla stessa!
    non+autenticato
  • - Scritto da: Il Fuddaro
    > - Scritto da: prova123
    > > quindi resta il motivato dubbio che HAP su "1"
    > in
    > > realtànon sia un fake o una modifica parziale
    > che
    > > non inibisca comunque l'accesso a NSA &
    > > Co...
    > Non ci e dato saperlo.
    >
    Una cosa ci è dato sapere che mentre si può cambiare il famigerato bit disabilitando la feature non è invece possibile abilitare i tuoi neuroni.
    non+autenticato
  • - Scritto da: Il Fuddaro
    > - Scritto da: prova123
    > > quindi resta il motivato dubbio che HAP su "1"
    > in
    > > realtànon sia un fake o una modifica parziale
    > che
    > > non inibisca comunque l'accesso a NSA &
    > > Co...
    > Non ci e dato saperlo.
    >
    >
    > Gli unici che possono darci questa risposta sono
    > gli ingegnieri di chipzilla
    > stessa!
    Cosa ti impedisce di fare la prova tu stesso?
    Il fatto di essere un idiota?
    Si deve essere questo il problema
    non+autenticato
  • Stai parlando con uno che quando gli hanno chiesto perché affermava che Python è superiore a PHP ha risposto che se lo metti in hosting Python ti costa di più. BASTA. Tutto qui. Questa era la sua spiegazione sulla superiorità di Python, non ha saputo dire altro (e peraltro manco è vero, hanno lo stesso costo, ma anche se fosse, sarebbe una cretinata detta da un cretino).
    non+autenticato
  • - Scritto da: ...
    > Stai parlando con uno che quando gli hanno
    > chiesto perché affermava che Python è superiore
    > a PHP ha risposto che se lo metti in hosting
    > Python ti costa di più. BASTA. Tutto qui. Questa
    > era la sua spiegazione sulla superiorità di
    > Python, non ha saputo dire altro (e peraltro
    > manco è vero, hanno lo stesso costo, ma anche se
    > fosse, sarebbe una cretinata detta da un
    > cretino).

    Ma sciacquati la bocca coglione! Ti rode il culo se si parla di lui.

    Mica ti ha fottuto la moglie? La fidanzatina? Nooo non mi dire, ti ha fottuto il tuo culo?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    > > Stai parlando con uno che quando gli hanno
    > > chiesto perché affermava che Python è superiore
    > > a PHP ha risposto che se lo metti in hosting
    > > Python ti costa di più. BASTA. Tutto qui. Questa
    > > era la sua spiegazione sulla superiorità di
    > > Python, non ha saputo dire altro (e peraltro
    > > manco è vero, hanno lo stesso costo, ma anche se
    > > fosse, sarebbe una cretinata detta da un
    > > cretino).
    >
    > Ma sciacquati la bocca coglione! Ti rode il culo
    > se si parla di
    > lui.
    >
    > Mica ti ha fottuto la moglie? La fidanzatina?
    > Nooo non mi dire, ti ha fottuto il tuo
    > culo?

    Che mezza calzetta, ha ha fifino il pipino. ha ha ti ha fatto cornuto!
    non+autenticato