News Sicherheitslücke in CSME: Vertrauen in Intels Technologien schwindet

[jackii]

Das habt ihr natürlich wieder überlesen?!
dass lokaler und zum teil sogar physischer Zugriff auf den Rechner benötigt wird, was den Missbrauch in der realen Welt deutlich einschränken dürfte.
Liegen bei euch im Wohnzimmer öfters mal Gangster oder Agenten unterm Schreibtisch und löten am Chipsatz rum, damit für euch so relevant ist dass es da keine theoretische Angriffsmöglichkeit gibt? Also bei mir nicht. Es ist in der Praxis noch viel harmloser als spectre/meltdown und deshalb für mich quasi Null Komma Null Argument gegen Intel.
Und wenn das Jahrelang nicht entdeckt wurde, wer sagt denn dann dass andere Hersteller bislang unentdeckt nicht ähnliches oder schlimmeres haben..
Wenn irgendwann wieder irgendein Problem in grobem Zusammenhang mit AMD auftaucht, werde ich auch mal unter jeder AMD News egal worum es genau geht, panisch zusammenhanglosen, hetzerischen und unnötigen Unsinn posten und eindringlich für immer vom Kauf von allem was so ähnlich heißt abraten. Muss wohl so oder scheint einem zumindest unheimlich Spaß zu machen.

 

[Krautmaster]

wie nutz ich das als Angreifer nun konkret aus? Wenn man physikalischen Zugriff brauchen sollte...

 

[Rickmer]

Die Intel CSME ist in den genutzten Systemen die Basis für viele hardwarebasierte Verschlüsselungen, was bei DRM und TPM beginnt

Lese ich das richtig, das damit alle per TPM vollkommen in Hardware verschlüsselten Systeme angreifbar sind?

Weil der Sinn von TPM ist ja letztendlich, dass die Hardware (Laptop vom Geschäftsführer, etc) mitgehen lassen nicht reicht, sondern um irgendwelche Daten abgreifen zu können muss auch das Passwort bekannt sein...

 

[Krautmaster]

Unterschied ist das du bei AMD die in der Regel im Bios deaktivieren konntest.

die Frage ist ob das Deaktivieren eines Sicherheits Features dann wirklich sicherer ist... man hat das Zeug ja nicht ohne Grund eingebaut oder?
Das is wie zb Bitlocker oÄ, ein schwer ausnutzbarer Bug in Bitlocker ist ggf das kleinere übel als keine Festplattenverschlüsselung.

Oder anders gesagt. Face Unlock. Es rennt sicher einer von 100000 rum die dein Smartphone ggf mit Ihrer Visage entsperren können - aber deswegen ist ein 4 zahlen Code oder gar keine Sperre sicher nicht besser.

 

[bad_sign]

Das habt ihr natürlich wieder überlesen?!
dass lokaler und zum teil sogar physischer Zugriff auf den Rechner benötigt wird, was den Missbrauch in der realen Welt deutlich einschränken dürfte.

Nein, siehe hier

For example, they can extract it from a lost or stolen laptop in order to decrypt confidential data. Unscrupulous suppliers, contractors, or even employees with physical access to the computer can get hold of the key. In some cases, attackers can intercept the key remotely, provided they have gained local access to a target PC as part of a multistage attack, or if the manufacturer allows remote firmware updates of internal devices, such as Intel Integrated Sensor Hub."

Und für alle die wieder sagen "Ist ja nicht so schlimm, man braucht lokalen Zugriff, Panikmache, bla bla":

Kann man das BIOS von dem OS aus Updaten, so kann man auch so Zugriff auf die Keys erlangen.

 

[DKK007]

Oder halt einfach auf Zen2 wechseln.
Zumal es noch lange dauert, bis man Ice-Lake im Desktop sieht.

 

[Miuwa]

für die, die nicht jeden neuen Release mitverfolgen: Was war denn die letzte Chipsatzgeneration die diese Lücke noch nicht enthält?

 

[PS828]

Nicht so das ich überrascht bin, ich hoffe bei anderen Plattformen wird auch weiterhin gesucht, aber soweit mir bekannt werden gefundene Lücken auch bei AMD getestet und Zen erweist sich bisher als ziemlich sicher und wenig anfällig.
Traurig ist hingegen der Leichtsinn mit dem einige hier vorgehen. Nur weil derzeit noch kein fernzugriff möglich ist heißt das nicht dass irgendwann der super hack möglich wird.

Außerdem könnte man hervorragend schadsoftware verstecken, da sie dort sitzt wo keiner nachschaut und dann fleißig alles mitschreibt.

Der Gipfel ist aber dass man diese CPUs als sicher vermarktet. Allein dafür gehören die abgestraft, weil es glatt gelogen ist und die Käufer wissen das. Kaufen aber trotzdem. Es macht betroffen sag ich euch.. Es macht betroffen darüber nachzudenken dass es Firmen zu geben scheint die alles machen dürfen und wahrlich too big to fail sind und das auch noch von den Kunden dankend hingenommen und mit Inbrunst verteidigt wird.

Wenn in der Zen Architektur Lücken gefunden werden gehört das genau so kritisiert, aber das hat ja erstmal nix mit Intels Unfähigkeit zutun sichere Chips zu bauen. Jeder stürzt für sich allein. Und derzeit ist Zen einfach sicherer.

Und wenn ich das anmerken darf: Intel sucht 100% nach Sicherheitslücken bei Zen. Nichts ist besser für die als auf andere zu zeigen mit "aber die da haben auch Lücken! 1!"

Tja, bisher scheints bei Zen nicht viel zu sehen zu geben, sonst hätten wir schon von Intel gehört wie unsicher Zen doch ist.

 

[bad_sign]

für die, die nicht jeden neuen Release mitverfolgen: Was war denn die letzte Chipsatzgeneration die diese Lücke noch nicht enthält?

Das Problem an der Sicherheitslücke CVE-2019-0090 ist das Ausmaß. Sie betrifft nahezu alle Intel-Chipsätze (PCH) der letzten fünf Jahre und nicht auf Software-Ebene,

Die letzten fünf Jahre klingt eigentlich nach den ganzen Skylakes, also 6xxx-1xxxxer CPUs bzw. der Chipsätze.
Also Haswell und drunter ausgenommen.

 

[tstorm]

Sicherheitslücke in CSME: Vertrauen in Intels Technologien schwindet

Ach komm... wenn jemand wirklich glaubt, dass er mit AMD oder auch anderer z.B. auf ARM basierender Hardware wirklich sicher und lückenfrei unterwegs ist, muss man m.M.n. schon ziemlich naiv sein.

Es wurde zum heutigen Stand einfach noch nicht entdeckt... Lücken gibt es überall. Linux galt auch mal als Sicher im Allgemeinmund. Dann kam Android.

 

[Ex3cuter]

Das ist so wie zu sagen "Ich brauche keine Versicherung, weil bei mir eh noch nie etwas gestohlen wurde."

...und wenns dann passiert startet die Heulerei

Na wenn du meinst, wie lange sind die Sicherheitslücken jetzt schon bekannt? 3 - 4 Jahre? Pfff....wie gesagt juckt nicht.

 

[Dito]

Bei den Sicherheitslücken hat Intel die Fertigung aber voll im Griff!
Sie schreiben derzeit 3nm...

 

[Newblader]

Es ist manchmal echt traurig, dass manche immer nur von sich ausgehen und meinen sie wären nicht betroffen.
Klar, die Lücke ist für den Horst um die Ecke erstmal uninteressant und da wird sich auch kein Schwein die Mühe machen, da was zu holen.

Aber bei den großen Datensätze von Banken, Krankenkassen, Kommunen, Online-Shops.... Also alles was so über mich, irgendwo auf so einem Server liegt, darüber würde ich mir Gedanken machen. Das ist ein lohnendes Ziel und nur weil man noch nichts derartiges gehört hat, heißt das noch lange nicht, dass nichts in Planung ist oder vielleicht sogar schon passiert ist, es aber noch unbemerkt geblieben ist.

Das Geschrei möchte ich erleben, wenn erkannt geworden ist, daß genau solche Sicherheitslücken dafür benutzt wurden und es (fast) jeden betrifft .

Aber nein, man redet sich ja heute, alles nur noch schön und betroffen sind ja immer nur die anderen. In diesem Sinne, schönen Abend noch, ich geh erstmal Kotzen und such dann meinen Aluhut.

 

[tom1111]

Für Privat-Anwender uninteressant.

 

[engineer123]

Uff, bei den Blauen muss doch schon die Luke ausgeleiert sein, so oft und so stark da rein-gepowert wird...

Grandios, jetzt geht's also doch mit den Sicherheitslücken ordentlich in die Garage rein...

und das bei gleichzeitiger Dauerfeuer-Power von AMD.

 

[Kacha]

Neue Luecke bei Intel und die Relativierer ohne Ahnung oder ohne den Artikel gelesen/verstanden zu haben sind wieder voll dabei!

Und für alle die wieder sagen "Ist ja nicht so schlimm, man braucht lokalen Zugriff, Panikmache, bla bla":

Oh boy, da wird wohl einiges an IoT Geraeten darunter fallen.

Die Luecke bietet sich aber auch ziemlich perfekt fuer Industriespionage an. Sich als ein anderes Geraet ausgeben koennen und Diebstahl des Keys nicht nachweisbar. Da sind lokaler oder physischer Zugang die kleinsten Probleme. Sobald es um genug Geld geht ist das schnell geloest. Vor allem wenn alles bei dem auf Hardwareverschluesselung gesetzt wird umgehbar ist...

Lese ich das richtig, das damit alle per TPM vollkommen in Hardware verschlüsselten Systeme angreifbar sind?

Weil der Sinn von TPM ist ja letztendlich, dass die Hardware (Laptop vom Geschäftsführer, etc) mitgehen lassen nicht reicht, sondern um irgendwelche Daten abgreifen zu können muss auch das Passwort bekannt sein...

Das koennte sein. Falls ja ist das ein ziemliches Problem. Denn Laptop klauen ist dann doch gar nicht so schwer und schon hat man lokalen Zugriff. Oder falls der Angriff schnell umsetzbar ist reicht fuer ein paar Minuten nicht hinschauen. Das koennte noch spassig werden.

 

[jk1895]

Das Geschrei möchte ich erleben, wenn erkannt geworden ist, daß genau solche Sicherheitslücken dafür benutzt wurden und es (fast) jeden betrifft .

Alles Getue. Die größte Sicherheitslücke ist der Mensch! Erst wenn dieser Faktor eliminiert wurde, würde ich mir evlt. sorgen machen.
Man bestellt etwas bei Otto und zack, die italienische Nudel-Mafia ruft an. Und das nicht, weil deren Computer gehackt wurden...

 

[whats4]

aber intel lebt ned von privatanwendern.
aber ich sehe in summe wirklich eine arge stormcloud über intel schweben.
dieses fiasko plus eine sich auf extrem guten kurs befindliche konkurrenz.
das wird mehr als nur wehtun.

 

[Rockstar85]

Bis x86 ersetzt werden kann vergehen wohl noch viele Jahrzehnte.
Nichts schlägt Kompatibilität und von der absoluten Leistung kommt an X86 auch nichts ran (speziallisten mal ausgenommen)

Abwarten. Gerade die Kompatibilität könnte besser werden. Wenn Apple auf ARM setzt, dann könnte es echt spendend werden.

@Rickmer
Jap, liest du richtig. Steht auch im Techspot Artikel. CSME kann also sämtliche Sicherheitsfunktionen überflüssig machen. Und alles was OTA geupdatet wird, wäre dann nicht mehr sicher. Ich bin gespannt wie Intel reagiert

 

[SpamBot]

Genau das ist ja der Witz, all dieser "supergefährlichen" Sicherheitslücken. Wenn jemand eh schon physisch Zugriff hat, dann holt der sich die Daten "direkt" und fängt nicht an, mit irgendwelchen umständlichen, zeitraubenden und "fancy" Methoden an die Daten zu kommen.

Ja aber so wird er früher oder später entdeckt. Mit dieser Lücke kannst du es aber mit etwas Geschick unbemerkt auslesen.