Seite 93 von 94 ErsteErste ... 4383899091929394 LetzteLetzte
Ergebnis 1.841 bis 1.860 von 1867

Thema: "Internet 1.984" oder "Wieviel Macht soll der Staat haben?"

  1. #1841
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Wer kritisiert Wake-On-LAN?
    Du ...

    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Diese ME kann auch laufen obwohl der PC gar nicht eingeschaltet ist und Intel kann theoretisch remote Zugriff auf euer System erhalten (bzw. auch potentielle Cracker).
    Genau das Feature ist Wake-on-LAN, was AMD 1995 entwickelte ... Du stellst es was böses dar, und bringst auch noch Cracker in Spiel, die das ausnutzen könnten. Es ist also kein Feature, was Intel allein besitzt und du kannst ja gerne mal unter Google suchen, ob es jemals einen Angriff über Wake-on-LAN gab.Wen interessiert es auch, ob der Chip vom CPU isoliert ist oder nicht? Was hat man davon, wenn er plötzlich nicht isoliert ist? Die einzige Kritik ist nur, dass Intel nicht konkret sagt, was der Chip tut aber man kann es auch aus der Sicht der Wirtschaftlichkeit verstehen. Man möchte vielleicht seine Firmengeheimnisse nicht verraten. Man schnürt hier also eine Verschwörung, wo es keine gibt.

    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Wenn du nicht verstehst, worum's Snowden hier geht, dann lass es einfach.
    Snowden in allen Ehren aber er ist nicht der Messias. AMD hat im Grunde noch gar nichts entschieden. AMD überprüft lediglich nur, ob sie die Quellen offen legen wollen, um Coreboot unterstützen zu können. Sie erhoffen sich lediglich damit, dass die Community die Entwicklung übernimmt und AMD somit Geld sparen kann und Intel einen Schritt voraus ist. Das ist also nicht aus einem Sicherheitsaspekt entstanden, sondern nur um Kosten zu sparen und diese Überlegung gibt es schon seit 6 Jahren. Also Leute. Etwas mal den Ball flach halten...

    In dem verlinkten Artikel von Snowden wird auch das Wort "Firmware" nicht mal erwähnt, sondern ist lediglich nur ein Artikel über die Vorstellung der Ryzen-CPUs.

  2. #1842
    Niemand, weder ich noch Snowden kritisiert Wake-On-LAN. Du kapierst halt nicht den Unterschied zwischen Wake-On-LAN durch "hauseigene" BIOS bzw. die Firmware auf ein Netzwerkinterface, mit dem niemand ein Problem hat (zumal man es abschalten kann) und Wake-On-LAN auf einem Netzwerkinterface, das auf einem isolierten Schaltkreis (ME/PSP) in der CPU sitzt und auf dem der User weder Zugriff hat, noch weiß wie er funktioniert. Und überhaupt ist der dedizierte Remote-Zugriff nur eine Facette des eigentlichen Problems.

    Solange du das nicht auf die Kette kriegst, erspar uns dein Gedöns hier.

    Geändert von Surface Dweller (20.03.2017 um 19:57 Uhr)

  3. #1843
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Und überhaupt ist der dedizierte Remote-Zugriff nur eine Facette des eigentlichen Problems.
    Und nochmal: Es gibt kein Remote-Zugriff... Das, was hier kritisiert wird, ist Wake-on-LAN...

    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Netzwerkinterface, das auf einem isolierten Schaltkreis (ME/PSP) in der CPU sitzt und auf dem der User weder Zugriff hat, noch weiß wie er funktioniert.
    Wo soll denn das uminöse Netzwerkinterface sein? Wenn ich bei meinem Router schaue, welche Netzwerk-Geräte mit meinem Router verbunden sind, sind es nur drei:
    • mein AV-Receiver (Internet-Radio)
    • mein Smartphone
    • mein PC


    Ein viertes Gerät ist nicht verbunden und wenn ich den PC aussschalte sind es nur noch zwei. Wie soll denn dieses geisterhafte Netzwerkinterface funktionieren?

    Geändert von Whiz-zarD (20.03.2017 um 20:05 Uhr)

  4. #1844
    Zitat Zitat von Whiz-zarD Beitrag anzeigen
    Und nochmal: Es gibt kein Remote-Zugriff...
    Remote-Zugriff ist Sinn und Zweck dieser Einrichtung (ME/PSP):
    Zitat Zitat
    Intel Active Management Technology (AMT) is hardware and firmware technology for remote out-of-band management of personal computers, in order to monitor, maintain, update, upgrade, and repair them. Out-of-band (OOB) or hardware-based management is different from software-based (or in-band) management and software management agents.

    Hardware-based management works at a different level from software applications, uses a communication channel (through the TCP/IP stack) that is different from software-based communication (which is through the software stack in the operating system). Hardware-based management does not depend on the presence of an OS or locally installed management agent. Hardware-based management has been available on Intel/AMD based computers in the past, but it has largely been limited to auto-configuration using DHCP or BOOTP for dynamic IP address allocation and diskless workstations, as well as wake-on-LAN (WOL) for remotely powering on systems. AMT is not intended to be used by itself; it is intended to be used with a software management application. It gives a management application (and thus, the system administrator who uses it) better access to the PC down the wire, in order to remotely and securely do tasks that are difficult or sometimes impossible when working on a PC that does not have remote functionalities built into it.

    AMT is designed into a secondary (service) processor located on the motherboard, and uses TLS-secured communication and strong encryption to provide additional security. AMT is part of the Intel Management Engine, which is built into PCs with Intel vPro technology.
    Quelle: https://en.wikipedia.org/wiki/Intel_...ent_Technology

    Wenn man keine Ahnung hat...

  5. #1845
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Wenn man keine Ahnung hat...
    Und wieso tust du es nicht?

  6. #1846
    Um mich mal in der Diskussion kurz einzumischen: Solange Wake-On-LAN nicht genutzt wird (= Windows "anständig" herunterfahren ohne Suspend, oder alternativ WoL gleich im BIOS/UEFI verbieten) ist es mit Intel ME nicht möglich, Zugriff auf den Rechner zu erhalten - weil die Netzwerkkarte selbst auf keinerlei Anfragen mehr reagiert. Wäre es anders, wäre das schon längst jemandem aufgefallen - Stichwort OSI-Layer: Wenigstens an die ersten zwei Layer MUSS sich die Netzwerkkarte halten, andernfalls wird sie nichtmal von anderen, "normalen" Netzwerkgeräten wie z.B. dem Router erkannt. Inwiefern Intel ME ein Problem bei eingeschalteten Rechnern darstellt, will ich garnicht erst beurteilen, aber dass die Netzwerkkarte in ausgeschaltetem Zustand Zugriff auf den PC ermöglicht, ist tatsächlich Blödsinn. Alleine deshalb, weil bis auf wenige Kernkomponenten quasi sämtlicher Hardware der Strom fehlt - das wäre früher oder später garantiert mal jemandem aufgefallen, wenn ein Rechner plötzlich selbstständig das Netzteil wieder aktiviert, den Rechner mit Strom versorgt und dabei gleichzeitig nichts auf dem Bildschirm angezeigt wird, weil nicht das Betriebssystem, sondern ein fiktives "Intel-ME-OS" gebootet wurde, welches praktischerweise noch eigene Treiber für Zugriff auf NTFS-Platten & Co. beinhaltet...

    Geändert von Manuel (21.03.2017 um 07:34 Uhr)

  7. #1847
    Zitat Zitat von Whiz-zarD Beitrag anzeigen
    Und wieso tust du es nicht?
    Um das beurteilen zu können, müsstest du erstmal Ahnung davon haben (Dunning-Kruger-Effekt).

    Zitat Zitat von Manuel
    Inwiefern Intel ME ein Problem bei eingeschalteten Rechnern darstellt, will ich garnicht erst beurteilen, aber dass die Netzwerkkarte in ausgeschaltetem Zustand Zugriff auf den PC ermöglicht, ist tatsächlich Blödsinn. Alleine deshalb, weil bis auf wenige Kernkomponenten quasi sämtlicher Hardware der Strom fehlt
    Diese irreführende Gleichsetzung von Wake-On-LAN und ME ist das Ergebnis von Whiz-zarD's Mitteilungsdrang hier, tatsächlich reden wir hier von unterschiedlichen Dingen.

    AMT+ME/PSP wurde explizit als Komponente designed, die auch im ausgeschalteten Zustand (S5, nicht stromlos) funktioniert um eben auch, unter anderem, den PC im heruntergefahrenen Zustand zu booten. An und für sich ein gutes Sicherheitsfeature, wäre nur nicht das Problem der fehlenden Transparenz und der Ausschluss des Benutzers aus Kernkomponenten des Systems. Der geringe Strom reicht aus um die ME/PSP (ein Low-Power-RISC-Chip) zu betreiben:

    Zitat Zitat
    Almost all AMT features are available even if the PC is in a powered-off state but with its power cord attached, if the operating system has crashed, if the software agent is missing, or if hardware (such as a hard drive or memory) has failed. The console-redirection feature (SOL), agent presence checking, and network traffic filters are available after the PC is powered up.

    Intel AMT supports these management tasks:

    - Remotely power up, power down, power cycle, and power reset the computer.
    - Remote boot the PC by remotely redirecting the PC's boot process, causing it to boot from a different image, such as a network share, bootable CD-ROM or DVD, remediation drive, or other boot device.
    - Remotely redirect the system's I/O via console redirection through serial over LAN (SOL). This feature supports remote troubleshooting, remote repair, software upgrades, and similar processes.
    - Access and change BIOS settings remotely. This feature is available even if PC power is off, the OS is down, or hardware has failed. This feature is designed to allow remote updates and corrections of configuration settings. This feature supports full BIOS updates, not just changes to specific settings.
    Quelle: https://en.wikipedia.org/wiki/Intel_...y#Applications

    (Die Quelle bezieht sich auf Veröffentlichungen von Intel)

    Durch Wake-On-LAN empfängt das Netzwerk-Interface Pakete auch im ausgeschalteten Zustand und leitet, falls ein Magic-Packet gesendet wird, ein Signal, welchen den PC booten soll. Soweit so gut. Die ME/PSP hört aber auch im ausgeschalteten Zustand und hat ein eigenes Netzwerkinterface (und sogar einen eigenen TCP/IP-Stack). Das heißt, diese Infrastruktur ist explizit designed um auch dann zu funktionieren, wenn der Anwender Wake-On-LAN abschaltet (sie kann ja das BIOS in ausgeschaltetem Zustand manipulieren, zumindest in der Theorie). Das heißt, zu ihr führen auch Signale, die im S4/S5-State über z.B. den RJ45-Port hineinkommen.

  8. #1848
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    AMT+ME/PSP wurde explizit als Komponente designed, die auch im ausgeschalteten Zustand (S5, nicht stromlos) funktioniert um eben auch, unter anderem, den PC im heruntergefahrenen Zustand zu booten.
    Und genau das ist Wake-on-LAN ...

    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Die ME/PSP hört aber auch im ausgeschalteten Zustand und hat ein eigenes Netzwerkinterface (und sogar einen eigenen TCP/IP-Stack).
    Wo ist denn das ominöse Netzwerkinterface? Damit dieser überhaupt funktioniert, muss er im OSI Layer 3 bekannt sein. Wenn ich mein Rechner aber ausschalte, ist aber nichts vorhanden...
    Mein Router erkennt da nichts. Es ist also ein Ammenmärchen, dass da irgendwo ein Netzwerkinterface existiert, was von Geisterhand irgendwo irgendwelche Datenpakete entgegennimmt und den Rechner startet.

  9. #1849
    Zitat Zitat von Whiz-zarD Beitrag anzeigen
    Und genau das ist Wake-on-LAN ...
    Genau im nächsten Satz, den du nicht mitzitiert hast, erkläre ich doch den Unterschied zwischen den Technologien:

    Zitat Zitat von Surface Dweller
    Die ME/PSP hört aber auch im ausgeschalteten Zustand und hat ein eigenes Netzwerkinterface (und sogar einen eigenen TCP/IP-Stack). Das heißt, diese Infrastruktur ist explizit designed um auch dann zu funktionieren, wenn der Anwender Wake-On-LAN abschaltet
    Leidest du unter einer Leseschwäche?

    Zitat Zitat von Whiz-zarD Beitrag anzeigen
    Wo ist denn das ominöse Netzwerkinterface?
    Im Intel Ethernet Gigabit Controller (Southbridge).

    Zitat Zitat von Whiz-zarD Beitrag anzeigen
    Es ist also ein Ammenmärchen, dass da irgendwo ein Netzwerkinterface existiert, was von Geisterhand irgendwo irgendwelche Datenpakete entgegennimmt und den Rechner startet.
    Das ist kein Ammenmärchen. Genau das wäre nämlich tatsächlich Wake-On-LAN.

  10. #1850
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Das ist kein Ammenmärchen. Genau das wäre nämlich tatsächlich Wake-On-LAN.
    Dann mache dich mal schlau, wie Wake-on-LAN über das Internet überhaupt funktionieren kann...
    So ohne weiteres funktioniert WOL über das Internet nicht. Das Angriffszenario ist somit praktisch nicht existent. Es kann also nur funktioniert, wenn WOL am Rechner aktiviert wurde und zusätzlich der Router auch das Datenpaket weiterleitet (portforwarding).
    Es ist also weiterhin ein Ammenmärchen, dass Intel aus heiterem Himmel den Rechner starten kann, geschweige denn, dass Intel einfach aus heiterem Himmel auf die Daten zugreifen kann auch wenn der Rechner ausgeschaltet ist... Wenn also jemand WOL nicht aktiviert hat, noch das Datenpaket weiterleitet, dann funktioniert das einfach nicht.

  11. #1851
    Zitat Zitat von Whiz-zarD
    Das Angriffszenario ist somit praktisch nicht existent. Es kann also nur funktioniert, wenn WOL am Rechner aktiviert wurde und zusätzlich der Router auch das Datenpaket weiterleitet (portforwarding).
    Und was machst du jetzt, wenn du Wake-On-LAN im BIOS abschaltest, die ME/PSP aber Wake-On-LAN im BIOS einschaltet (die Befugnisse hat die ME/PSP)? Und genau da hast du das Problem. Wake-On-LAN ist nur eine Technologie, die nur so gut ist, wie man sie einsetzt. Die ME/PSP hingegen hat weitrechende Befugnisse und ist gleichzeitig in ihrer Funktionsweise undurchsichtig (das ist auch was Snowden vorschlägt: die Ryzen PSP Open-Sourcen, damit Klarheit herrscht. Es geht um kein Intel/AMD-Catchen, das du hier aufziehen willst). Ist der Unterschied jetzt klarer bzw. warum das eine kein Problem ist, das andere schon? Es geht um Transparenz bzw. Kontrolle durch den Benutzer, nicht die Technologie.

    Ich gehe hier übrigens vom simpleren Szenario aus. Die ME/PSP könnte theoretisch auch über ihre eigene MAC-Addresse an dem Interface, das du zu kontrollieren glaubst, vorbeigehen. Natürlich könnte man diese Möglichkeit auch unterbinden (z.B. mit einer MAC-Whitelist im Router).

    Und: die ME/PSP muss den PC gar nicht booten um schädlich zu sein und funktioniert wie gesagt auch mit dem Standby-Strom.

  12. #1852
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Und was machst du jetzt, wenn du Wake-On-LAN im BIOS abschaltest, die ME/PSP aber Wake-On-LAN im BIOS einschaltet (die Befugnisse hat die ME/PSP)?
    Das sind Verschwörungstheorien ...
    Es würde aber dennoch nicht funktionieren, weil der Router das Paket nicht weiterleitet ...

    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Ich gehe hier übrigens vom simpleren Szenario aus. Die ME/PSP könnte theoretisch auch über ihre eigene MAC-Addresse an dem Interface, das du zu kontrollieren glaubst, vorbeigehen. Natürlich könnte man diese Möglichkeit auch unterbinden (z.B. mit einer MAC-Whitelist im Router).
    Und wie? Mein Router ist der Hauptknotenpunkt in meinem Netzwerk. Da kann man nichts dran vorbeischleusen. Der Router trift auch seine Entscheidung auf OSI Layer 3. MAC-Adressen sind aber OSI Layer 2. Der Router leitet also keine Layer 2 Pakete in mein internes Netzwerk.
    Das kannst du auch gerne selber mal testen. Schließe dein PC direkt an das Modem an und schaue mit WireShark, welche Pakete bei deinem PC ankommen und dann schließe dein PC hinter einem Router an. Du wirst sehen, dass dein PC deutlich weniger Datenpakete bekommt.
    MAC-Whitelisting im Router ist eine völlig andere Geschichte. In dieser Whitelist trägt man nur die Geräte ein, die wirklich mit meinem Router verbinden dürfen und nicht welche die Datenpakete erhalten.

    Geändert von Whiz-zarD (21.03.2017 um 10:37 Uhr)

  13. #1853
    Vielleicht verstehe ich es nicht ganz, aber nach meinem derzeitigen Kenntnisstand bin ich momentan auf Whiz-zarDs Seite. Es gibt nämlich exakt einen Punkt, der bei der Intel-ME-Sache keinen Sinn macht:

    Selbst im Standby ist das NW-Interface aktiv. Sieht man nicht nur an den LEDs am Interface selbst (da würde ich ja noch mitgehen, denn die kann man einfach ausschalten...) sondern auch an der Gegenstelle, die in 99% aller Fälle entweder ein Switch oder ein Router ist. Die LEDs hören erst das Leuchten auf, wenn nichtmal OSI-Schicht 2 - die Sicherungsschicht oder auch "Data Link Layer" - besteht. An der Stelle im OSI-Modell wurde noch nichtmal festgelegt, wohin die Daten überhaupt landen sollen (passiert erst in Schicht 3), geschweigedenn ein kompletter Netzwerkstack, der überhaupt erst Daten abseits der Start- und Endpunkte enthalten könnte (Schicht 4, wo auch TCP/IP implementiert ist).

    Das OSI-Modell ist der Standard bei den Grundlagen der Netzwerkverbindung. Ausnahmslos jedes Netzwerkgerät muss sich daran halten; es ist die Grundlage von Netzwerkverbindungen, lange bevor es das Internet gab. Switches & Router würden absolut NICHTS weiterleiten, wenn sich daran nicht gehalten würde. Gehen wir von der (doch recht abenteuerlichen, aber noch nicht völlig unrealistischen) Annahme aus, dass Intel tatsächlich das OSI-Modell ignoriert und es irgendwie schafft, schon vorher z.B. in Schicht 2 Daten mitzusenden. Dann kommen wir unweigerlich an dem Punkt, dass auch alle anderen Netzwerkgeräte - eben z.B. Switches und Router - diese zusätzlichen Daten ebenfalls ignorieren MÜSSEN und bis zum NW-Interface, das mit Intel-ME ausgestattet ist, durchschleift. Und das ist, Sorry, völlig unrealistisch. Es widerspricht dem, was sämtliche Leute in IT-Berufen lernen. Irgendeinem z.B. Linux-Entwickler im Netzwerkstack wären solche zusätzlichen Daten schon längst aufgefallen und hätte sie auch längst hinausposaunt (Intel-ME wird unter Linux-Cracks auch tatsächlich kritisch gesehen, aber halt alleine deswegen, weil es auch im angeschaltetem Zustand mit dem Netzwerkstack des BIOS/UEFI kommunizieren kann und scheinbar einige Funktionen auch undokumentiert sind). Theoretisch wäre es möglich, dass die Switches & Router "per Design" darauf geeicht sind, ebenfalls "Intel-ME-Pakete" durchzuschleifen ohne sich erkennbar zu zeigen - das ginge aber nur, wenn Intel quasi [u]sämtliche[/b] Router- und Switch-Hersteller an Bord hätte. Und ganz ehrlich: Das käme einer Verschwörung gleich, bei der selbst die ganze Snowden-Sache im Vergleich nur Pipifax wäre; würde so ein fiktives Szenario aufgedeckt werden, würde kein geistig gesunder Mensch mehr Netzwerkgeräte kaufen und Hollywood würde die Story ähnlich ausschlachten wie das Star Wars-Franchise^^.

    Es ist auch noch die Snowden-Sache ansich, die das Ganze unglaubwürdig macht. Die Sache ist die: Für Leute, die etwas tiefer im IT-Beruf tätig sind, waren die Enthüllungen Snowdens tatsächlich nicht mal halb so überraschend wie für die Medien. Keiner machte sich da falsche Illusionen darüber, dass der Geheimdienst nicht die Möglichkeit hätte, z.B. Verschlüsselungen zu umgehen. "Lediglich" die Reichweite wurde unterschätzt, außerdem konnte Snowden auch tatsächlich echte Beweise für seine Thesen liefern, wie die NSA ausspioniert. Bei der Intel-ME-Sache wäre das OSI-Modell das einzige realistische Einfallstor (falls es noch andere gibt, könnte mich ein Kenner netterweise darauf hinweisen^^.) - und würde es das tatsächlich geben, wäre das Ausmaß davon derart hoch, dass ich über die möglichen Folgen garnicht erst nachdenken möchte. Sämtliche Experten wären aus den Socken; schon bei Snowden behaupten manche Medien, seitdem ist nichts mehr wie vorher... Nach so einer (fiktiven) Aufdeckung würde das auch tatsächlich jeder Mensch, der mit einem Computer arbeitet, auch sehen können...

    Geändert von Manuel (21.03.2017 um 10:48 Uhr)

  14. #1854
    Was genau spricht jetzt dagegen, dass die ME/PSP auf OSI-Schicht 3 oder höher operiert? Sie versteht auf Hardwarebene das TCP/IP-Protokoll (sagt Intel). Sie wurde ja designed um out-of-band über einen Netzwerkkanal erreichbar zu sein, da liegt es auch nahe, dass sie im Standby-Zustand über TCP/IP kommuniziert. Aber selbst wenn nicht: macht es so einen Unterschied ob der Computer remote eingeschaltet werden kann oder ob er schon eingeschaltet sein muss?

    Zitat Zitat von Whiz-zarD
    Das sind Verschwörungstheorien ...
    Dass Regierungsbehörden mit IT-Riesen zusammenarbeiten um sich Zugänge zu verschaffen ist gängige Praxis und längst keine Theorie mehr. Aber um die geht's mir persönlich gar nicht so, sondern eher darum, dass ich Geld dafür bezahle und daher selbst bestimmen will, ob ich so einen Kanal brauche. Die ME/PSP lässt mich nicht einmal ein anderes BIOS installieren als eines mit Schnittstelle zur ME. Es ist zwar auch ein gutes Sicherheitsfeature (nicht wirklich, weil es den Angriffspunkt nur verlagert aber vertrauen wir mal Intel/AMD, ... ) aber wenn man schon ein Schloß anbringt, will ich auch den Schlüssel. Da soll keine Komponente besser wissen können als der Benutzer.

    Snowden will, dass der Sourcecode offengelegt wird, mir reicht es aber schon, wenn ich eine Firmware selbst signieren und/oder ich die ME/PSP auch zuverlässig (z.B. über Jumper) abschalten kann.

  15. #1855
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Was genau spricht jetzt dagegen, dass die ME/PSP auf OSI-Schicht 3 oder höher operiert?
    Immer noch der Router, weil der Router das Paket nicht weiterleitet und somit das Ganze ins Absurde führt.
    Wenn, dann müsste ein Portforwarding eingerichtet werden und das wird schwer, wenn man nicht von außerhalb Zugriff auf den Router hat und selbst das hätte schon längst jemanden aufgefallen.

    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Dass Regierungsbehörden mit IT-Riesen zusammenarbeiten um sich Zugänge zu verschaffen ist gängige Praxis und längst keine Theorie mehr.
    Solange nicht bewiesen ist, dass ME für die Spionage gedacht ist, halte ich es weiterhin für eine Verschwörungstheorie. IT-Firmen haben ein Interesse daran, dass ihre Hard- und Software frei von Backdoors sind, weil das rufschädigend wäre, wenn es rauskommt. Auch die Unterlagen von Snowden haben gezeigt, dass IT-Firmen der NSA Steine in den Weg geworfen haben. Sie arbeiten also nicht freiwillig mit den Gemeindiensten.

  16. #1856
    Zitat Zitat von Whiz-zarD
    Solange nicht bewiesen ist, dass ME für die Spionage gedacht ist, halte ich es weiterhin für eine Verschwörungstheorie.
    Es wird wohl niemand soweit gehen und meinen, dass bei der Konzeption Spionage im Sinn war. Es ist wohl in erster Linie für große Firmenkunden gedacht, die Wartungsverträge haben. Dass das Feature aber Spionage ermöglicht und dazu verleiten könnte, halte ich für durchaus realistisch. Der umgekehrte Standpunkt ist aber viel vernünftiger: das Feature ist mächtig und gleichzeitig unkontrollierbar und undurchsichtig, also vertraue ich ihm nicht. Es fällt mir zumindest kein Argument ein, wieso technisch Bewanderte es nicht abschalten können sollten.

    Zitat Zitat von Whiz-zarD
    Immer noch der Router, weil der Router das Paket nicht weiterleitet und somit das Ganze ins Absurde führt.
    Handelsübliche Router geben jedem NIC, der sich in's Netz hängt, eine Verbindung. Man muss schon explizit mit MAC-Whitelists oder ähnlichem arbeiten um das zu erreichen und wieviele verwenden sowas?

    Zitat Zitat von Whiz-zarD
    IT-Firmen haben ein Interesse daran, dass ihre Hard- und Software frei von Backdoors sind, weil das rufschädigend wäre, wenn es rauskommt.
    Die Ironie ist: Einrichtungen wie ME/PSP sind per Definition Backdoors, nur eben für Wartungszwecke gedacht (Software Updater sind, je nach Befugnissen, auch gewisser Weise Backdoors). Und ja, sie hat Intel auch Kunden vergrault (wenn auch nicht viele). In Wirklichkeit ist AMD halt um nichts "besser", da alle FM2-CPUs auch die PSP haben. Darum ist es auch so wie Snowden sagt: es ist ein guter Augenblick für AMD um die PSP-Blaupausen zu veröffentlichen - auch aus rein marktwirtschaftlichen Gründen.

    Aber ganz ehrlich, es geht glaube ich niemanden bei der Geschichte darum, die Chipentwickler, Regierungen oder sonstwen anzuschwärzen oder Verschwörungen zu vermuten. Es geht eigentlich nur darum zu wissen, wie so sicherheitskritische Komponenten (die in fast jedem Computer verbaut sind) funktionieren und diese auch steuern zu können. Das ist echt nicht zuviel verlangt.

  17. #1857
    Zitat Zitat
    Handelsübliche Router geben jedem NIC, der sich in's Netz hängt, eine Verbindung. Man muss schon explizit mit MAC-Whitelists oder ähnlichem arbeiten um das zu erreichen und wieviele verwenden sowas?
    Ändert aber nichts an der Tatsache, dass das portforwardig fehlt und Intel keine Chance hat von außen den Chip zu steuern. Das würde nur funktionieren, wenn der Chip eigenständig das portforwardig einrichtet oder nach hause telefoniert, um Nachrichten über das NAT zu bekommen. Beides würde aber auffallen.

  18. #1858
    Zitat Zitat von Whiz-zarD
    Das würde nur funktionieren, wenn der Chip eigenständig das portforwardig einrichtet oder nach hause telefoniert, um Nachrichten über das NAT zu bekommen. Beides würde aber auffallen.
    Wenn das out-of-band-interface verwendet wird, würde das in den Router-Logs auftauchen bzw. in der Liste der aktuell verbundenen MAC-Addressen. Die ME muss aber nicht zwangsläufig dieses Interface verwenden (bei Intel-Chipsets hat sie zumindest theoretisch Zugriff auf die eingebauten Netzwerkressourcen) bzw. es ist (da der genaue Aufbau weiterhin unbekannt ist) unklar, wo genau da die Grenzen liegen. Aber natürlich gibt es, wie bei jedem Angriff, irgendwelche Spuren. Ein Angreifer, der über diesen Kanal operiert, würde aber ohnehin seine Herkunft verschleiern, so dass er im Endeffekt ein sehr geringes Risiko eingeht.

    Ein Aufbau, der "Sicherheit" in der CPU festmeißelt, gleichzeitig aber den Benutzer aussperrt und jegliches Audit verunmöglicht, ist broken by design und macht es zu einem Unsicherheitsfeature. Es braucht nur jemand Schwachstellen in der ME-Firmware ausnutzen und schon ist quasi der ganze Computer kompromittiert. Da wäre ein BIOS-Rootkit noch das geringere Übel.

  19. #1859
    Zitat Zitat von Surface Dweller Beitrag anzeigen
    Wenn das out-of-band-interface verwendet wird, würde das in den Router-Logs auftauchen bzw. in der Liste der aktuell verbundenen MAC-Addressen. Die ME muss aber nicht zwangsläufig dieses Interface verwenden (bei Intel-Chipsets hat sie zumindest theoretisch Zugriff auf die eingebauten Netzwerkressourcen) bzw. es ist (da der genaue Aufbau weiterhin unbekannt ist) unklar, wo genau da die Grenzen liegen.
    Nein, da taucht gar nichts in den Router-Logs auf, weil keine Verbindung von außerhalb aufgebaut werden kann ...
    Ich rate dir ernsthaft, dich mal mit Netzwerken auseinanderzusetzen, da du offenbar IP- und MAC-Adressen vermischst.

    Der Chip müsste selbst eine Verbindung zu einem Intel Server aufnehmen, damit hier ein Kanal über das NAT geschaffen werden kann aber das wäre schon lange aufgefallen, weil man den Chip eh schon auf den Kieker hat.

  20. #1860
    Zitat Zitat von Whiz-zarD
    Nein, da taucht gar nichts in den Router-Logs auf, weil keine Verbindung von außerhalb aufgebaut werden kann ...
    Aber von innerhalb, genau wie man üblicherweise über den Default-Gateway in's Internet geht. Jeder handelsübliche Heim-Router zeigt verbundene MAC-Addressen und deren zugewiesene IP-Addressen an und darum fällt so eine Verbindung auch (theoretisch, praktisch nur den wenigsten, weil ein Heim-Router selten gewartet wird) auf. Dafür brauchst du keine Netzwerktechnik-Ausbildung; das weiß jeder, der schonmal ein Heim-LAN aufgesetzt hat.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •