News Intel-Chipsätze: Sicherheitslücke erlaubt beliebige Code-Ausführung

[andr_gin]

Die Lücke ist nur Angreifbar wenn die Fernwartungsports offen sind, und man die Netzwerkkarte auf dem Board bentutzt.
Wenn die Soft/Hardware zwischen Computer und Internet (Switches, Firewall, Router und co) auch aus den USA oder Fernost kommen kann sich im Grunde niemand sicher sein ob das alles nur angezeigt wird, oder nicht.

Konsequent wäre nur die FSB-Methode: Computer in den Schrott, Schreibmaschine raus.

Dass der Rechner nicht aus dem Internet infiltrierbar ist ohne dass Ports freigeschalten sind sollte klar sein. Mir reicht es ehrlich gesagt schon, wenn das Ganze aus dem LAN passiert. Da reicht es ja, wenn irgendjemand sein privates virenverseuchtes Notebook mitnimmt und an die nächste Netzwerkdose anschließt oder ins WLAN hängt und schon könnte alle PCs und Server im Netzwerk infiziert sein und beginnen dann zu einem Stichtag alle Daten zu verschlüsseln (inklusive des Backup Servers).

Dann aber die Zeitung anschließend gut entsorgen. Man hat schon bei genug "Zeitungstätern" die Reste der Zeitung im Altpapier gefunden. Und aufpassen, dass man keine Finger- oder DNA-Spuren hinterlässt ;-).

Aber mal im Ernst, ich finde es nicht gut, wenn über Sicherheitslücken berichtet wird, welche man (als Normaluser) nicht schließen kann. Das verursacht nur unnötige Beunruhigung. Und schlimmstenfalls weckt man bei irgendjemanden einen Tatentschluss, diese Lücke zu nutzen.

Wenn in meinen Systemen eine nicht fixbare Lücke vorhanden ist, die eventuell vom nächsten Virus ausgenützt wird, dann will ich das wissen um Gegenmaßnahmen einleiten zu können. Dies könnte z.B. darin bestehen, dass private Smartphones nicht mehr ins Firmennetzwerk angeschlossen werden dürfen oder das Aussperren fremden Geräten von den LAN Ports des Switches etc. Eventuell lässt sich das Problem auch auf der Netzwerkebene lösen indem mehr interner Traffic über die Firewall geschleift wird (hat halt alles Performanceeinschränkungen).

 

[Einhörnchen]

Schön zu sehen, dass Intel diese NSA Engine nun um die Ohren fliegt.

 

[Rockstar85]

Sooo Neu ist diese Meldung ja nun auch nicht
Ich glaube selbst mein Ivy hat ne ME:
https://events.ccc.de/congress/2013/Fahrplan/events/5380.html
https://www.heise.de/security/meldu...MT-bei-Angriffen-auf-PCs-genutzt-3739441.html

Lösung? Nunja am besten Seperaten Ethernetkarte nutzen und schlichtweg damit leben. Ist bei AMD auch nicht anders.. Leider
Dummerweise muss ich hier mal klar sagen: Ja es ist ein Skandal, nur wird selbst ein Kaufboykott nichts bringen Schöne neue Welt

Achja hier auch was Intressantes:
https://www.heise.de/security/artik...en-und-Fehler-in-CPUs-aufspueren-3809408.html

Sollte mal jeder anwerfen Gibt eben viele Bugs auch in der CPU und ich wette viele Davon sind Auch Scheunentore

Interessant in diesem Kontext ist übrigens auch ein aktuelles Paper von Forschern der Ruhr Uni Bochum. In Reverse Engineering x86 Processor Microcode dokumentiert das Team rund um Thorsten Holz, dass es durchaus möglich ist, etwa eine AMD-CPU nachträglich zu trojanisieren. Sie implementierten dazu eine Malware in AMDs Microcode und schleusten diesen über die bislang undokumentierten Microcode-Update-Funktionen der AMD K8- und K10-CPUs erfolgreich ein. Dabei programmierten sie den x86-Befehl div ebx so um, dass er bei bestimmten Werten für Dividend und Divisor zusätzliche Aktionen ausführte. Eine solche Umprogrammierung ließe sich auch durch Fuzzing kaum aufspüren.

 

[oldmanhunting]

Stinkt mir das? Ja, klar doch!
Stört es mich? Nein, nicht wirklich, weil ich bei einem Befall jederzeit Neu installieren kann und meine Daten aus dem Backup hole.

Ich habe seit vielen Jahren eine separate Ethernetkarte im Rechner und die vom MB ist im Bios deaktiviert. Steckt auch kein Lan Kabel drin. Es könnte jetzt sogar sein, dass ich mit der sicher bin aber sicher sind wir doch eigentlich nie.

In solchen Zeiten in denen wir leben sind regelmäßige Backups der persönlichen Daten absolute Pflicht. Ich mache das auf meinem NAS und das NAS ist auch nur beim Backup eingeschaltet.
Sensible Daten wie alles, was mit Geld, Rechnungen und Zugangsdaten zu tun hat sind verschlüsselt, wobei ich hier nichts von MS einsetze, weil ich denen auch nicht traue.

Ich bin mir auch sicher, dass da die NSA dahinter steckt, was ja das kleiner Übel wäre, weil was wollen die von einem recht schaffenden wie mir an Daten anschauen. Die würden vor Langeweile sterben, wenn die das machen.
Irgendwelche Hacker machen mir da viel mehr Kopfschmerzen.

 

[Banned]

Also mit meiner separaten Intel Netzwerkkarte bin ich safe?

 

[Rockstar85]

Nein, nur teilweise..
Aber du bist auch nicht Interessant genug für einen Hackerangriff

 

[KTelwood]

Ich frage mich, ob man irgendwann fordern kann, dass seine daten nicht auf einem System mit Intel-ME verarbeitet werden, da niemand garantieren kann, dass dort CPU und Netzwerkkarte nicht "von irgendwo" instruiert werden bestimmte Daten zu kopieren.

"Stand der Technik" müsste ja nun für jedes Unternehmen welches DAten verarbeitet sein, dass ein Intel-System nach 2008 eine Sicherheitslücke eingebaut hat, die völlig unabhängig von beeinflussbaren Faktoren nur mit einerm Austausch gegen vermutlich älterer Hardware zu beseitigen ist.

 

[Banned]

Dann darf man im Prinzip auch kein Windows 10 verwenden. Es gibt heute wohl kaum noch was, was einen nicht ausspionieren kann. Wenn man sich nur anguckt, was die Apps auf'm SP alle für Berechtigungen haben wollen.



Also alte AMD CPU und Linux oder FreeBSD für die ganz Paranoiden.


Aber das kann ja auch nicht die Lösung sein.

 

[Termy]

Dann darf man im Prinzip auch kein Windows 10 verwenden. Es gibt heute wohl kaum noch was, was einen nicht ausspionieren kann. Wenn man sich nur anguckt, was die Apps auf'm SP alle für Berechtigungen haben wollen.



Also alte AMD CPU und Linux oder FreeBSD für die ganz Paranoiden.


Aber das kann ja auch nicht die Lösung sein.

ne, Windows dürfte man wirklich nicht verwenden

Die Lösung wäre, dass das ganze Geraffel komplett abschaltbar ist. AMD hat ja wenigstens druchblicken lassen, dass man intern dabei ist, eine evtl. open-source-Machung von PSP vorzubereiten - nicht optimal, aber wäre schonmal n großer Schritt in die richtige Richtung.

 

[mensch183]

Dass der Rechner nicht aus dem Internet infiltrierbar ist ohne dass Ports freigeschalten sind sollte klar sein. Mir reicht es ehrlich gesagt schon, wenn das Ganze aus dem LAN passiert.

Solange du die Art der Lücke nicht genau kennst, kannst du so eine Aussage nicht machen. Interne Rechner sind in aller Regel sehr wohl von außen erreichbar, wenn jemand im internen Netz alltägliche Sachen tut. Triviales Beispiel: Sobald jemand von einem Rechner im internen Netz aus im Web Netz surft, ist darüber das AMT-Webinterface anderer interner Rechner ansprechbar. Man schiebt ihm eine Webseite unter, die z.B. via <img src="http://192.168.1.2:16992/irgendwas">, <img src="http://192.168.1.3:16992/irgendwas"> usw. die üblichen internen Adressen kontaktiert. Sowas kommt in der Regel an. Vielleicht steckt der Bug ja schon beim Parsen der URL durch den Webserver der ME und mit passendem Ersatz für ".../irgendwas" wars das dann auch schon.

Du willst den ersten Satz oben also nochmal überdenken.

 

[Fusi]

Stinkt mir das? Ja, klar doch!
Stört es mich? Nein, nicht wirklich, weil ich bei einem Befall jederzeit Neu installieren kann und meine Daten aus dem Backup hole.

Ich habe seit vielen Jahren eine separate Ethernetkarte im Rechner und die vom MB ist im Bios deaktiviert. Steckt auch kein Lan Kabel drin. Es könnte jetzt sogar sein, dass ich mit der sicher bin aber sicher sind wir doch eigentlich nie.

In solchen Zeiten in denen wir leben sind regelmäßige Backups der persönlichen Daten absolute Pflicht. Ich mache das auf meinem NAS und das NAS ist auch nur beim Backup eingeschaltet.
Sensible Daten wie alles, was mit Geld, Rechnungen und Zugangsdaten zu tun hat sind verschlüsselt, wobei ich hier nichts von MS einsetze, weil ich denen auch nicht traue.

Ich bin mir auch sicher, dass da die NSA dahinter steckt, was ja das kleiner Übel wäre, weil was wollen die von einem recht schaffenden wie mir an Daten anschauen. Die würden vor Langeweile sterben, wenn die das machen.
Irgendwelche Hacker machen mir da viel mehr Kopfschmerzen.

Herrlich, gekonnt den Inhalt überlesen. Mit neu aufsetzten oder Linux verwenden hast du trotzdem keinen Schutz da der Fehler nicht im OS sitzt. Wenn jemand bei die zu Hause einbricht hilft dir ein neu installieren ja auch nichts .

 

[Hito360]

intelchips haben doch ein eigenes "verstecktes" Modem - da hilft nix. CPU tauschen. all back to C2D quad

 

[MOS1509]

Dass der Rechner nicht aus dem Internet infiltrierbar ist ohne dass Ports freigeschalten sind sollte klar sein. Mir reicht es ehrlich gesagt schon, wenn das Ganze aus dem LAN passiert. Da reicht es ja, wenn irgendjemand sein privates virenverseuchtes Notebook mitnimmt und an die nächste Netzwerkdose anschließt oder ins WLAN hängt und schon könnte alle PCs und Server im Netzwerk infiziert sein und beginnen dann zu einem Stichtag alle Daten zu verschlüsseln (inklusive des Backup Servers).



Wenn in meinen Systemen eine nicht fixbare Lücke vorhanden ist, die eventuell vom nächsten Virus ausgenützt wird, dann will ich das wissen um Gegenmaßnahmen einleiten zu können. Dies könnte z.B. darin bestehen, dass private Smartphones nicht mehr ins Firmennetzwerk angeschlossen werden dürfen oder das Aussperren fremden Geräten von den LAN Ports des Switches etc. Eventuell lässt sich das Problem auch auf der Netzwerkebene lösen indem mehr interner Traffic über die Firewall geschleift wird (hat halt alles Performanceeinschränkungen).

Wenn Du IT-ler oder Systemadministrator eines Firmennetzwerks bist, der tatsächlich wirksame Schutzmaßnahmen ergreifen kann, dann gebe ich Dir recht. Aber wenn Du als Normaluser eines SOHO nichts tun kannst, dann führt eine solche Nachricht nur zur Beunruhigung. Und für IT-ler sollte diese Nachricht diskreter durch entsprechende Fachnachrichten erfolgen, welche auch nur den entsprechenden Personen zugänglich sind, um nicht geneigte IT-Kriminelle auf entsprechende Ideen zu bringen.