Det er ikke Windows, Linux eller MacOS som har den egentlige kontrollen over pc-en din

[EremittPåTur]

 

...men dette er ikke en bevisst innlagt "bakdør" som "De" kan bruke.

Ikke? Så forklar meg hva som hindrer Intel og alle trebokstavsforkortelsene fra å ta seg inn i maskinen din, utover (forretnings-)moral (Ha!)

 

Hint: Det er ikke mulig å slå av Intel Management Engine. Med mindre du faktisk er en av disse lyssky trebokstavsforkortelsene. For disse og bare disse leverer Intel prosessorer der ME faktisk er avstengt. Det eneste brukerne kan slå av i UEFI/BIOS er grensesnittet mot brukeren selv. Klient-/Servertjenestene forblir operative mot nettverket. Og det er Intel selv som sitter på nøklene.

 

Intel ME har vært og er fortsatt en lang føljetong på Slashdot:

· https://it.slashdot.org/comments.pl?cid=54579757&sid=10717233&tid=11

 

Allerede i 2009 ga Libreboot jevnt over opp Intelprosessorer. Den krigen startet tilbake i 2006. Men den jevne forbruker forblir likefullt uopplyst. Ordtakene 'Ignorance is Bliss' og 'Blonds have more fun' er muligens to sider av samme sak. Med mindre sistnevnte heller henspeiler på blondiners opphøyde seksuelle attraksjon på det motsatte kjønn snarere som manglende intelligens. Motsatt er det uansett ikke rart at opplyste har det tøft.

 

Hei ett spm til deg. Er det ikke mulig å sperre denne aksessen i en ekstern brannmur, eller vil det ha konsekvenser som at enkelte ting ikke lenger fungerer som det skal .

[1P4XZQB7]

 

 

...men dette er ikke en bevisst innlagt "bakdør" som "De" kan bruke.

Ikke? Så forklar meg hva som hindrer Intel og alle trebokstavsforkortelsene fra å ta seg inn i maskinen din, utover (forretnings-)moral (Ha!)

Hei ett spm til deg. Er det ikke mulig å sperre denne aksessen i en ekstern brannmur, eller vil det ha konsekvenser som at enkelte ting ikke lenger fungerer som det skal .

 

La meg svare med et nytt spørsmål – hvordan hadde du tenkt se forskjell på nettverkstrafikk fra ME og din egen nettverkstrafikk? Begge kommer fra samme nettverkskort. På den annen side har Intel ME etter sigende sin egen MAC adresse. 

 

• https://hardenedlinux.github.io/firmware/2016/11/17/neutralize_ME_firmware_on_sandybridge_and_ivybridge.html

Endret 23. november 2017 av 1P4XZQB7

[arne22]

Det er klart at hvis man kjører trafikken gjennom en ekstern brannmur og eventuelt kombinerer med en packet sniffer eller en eller annen trafikkmonitor, slik at man ser hvor trafikken går, så kan man jo gjøre noe med det.

 

På den annen side så går vel utviklingen i den retning at både operativsystemer og programmer lekker som en sil og sender ut store mengder data "i hytt og pine" som man ikke har oversikt over. Hvis det kan lønne seg å gi bort et kommersielt operativsystem gratis så er det vel en grunn til at det kan lønne seg.

 

Egentlig så er vel den alminnelige datasikkerheten i dag ganske dårlig, for det er jo nesten umulig å ha en oversikt over alle de funksjoner som kan lekke data og å utføre en risikovurdering av dette. Kombinasjonen av sky baserte tjenester og lokale tjenester gjør jo ikke landskapet enklere.   

 

Når IoT og IPV6 kommer i vanlig bruk, så må vel bortimot alt som fins av datasikkerhet være visket vekk.

 

Det spørs om man ikke en eller annen gang i denne utviklingen vil bli gjort en del "dårlige erfaringer" som medfører at man vil gjeninnføre en del systemer med enkel oppbygging og funksjonalitet og med fokus på sikkerhet.

 

Det er jo kundene som bestemmer. Hvis kravet fra mange brukere og kunder blir "enkel funksjonalitet med en høy vektlegging av sikkerhet, så kommer nok det også. Skal man gjennomføre en full risikoanalyse av et system eller en løsning så må man vel ha 100% kontroll på hvordan den fungerer og hvordan den kommuniserer? 

 

Jeg ville i alle fall ikke kjøpe en PC med et mystisk og mer eller mindre hemmelig "under-operativsystem" hvis jeg kunne unngå det.  

[EremittPåTur]

 

 

 

...men dette er ikke en bevisst innlagt "bakdør" som "De" kan bruke.

Ikke? Så forklar meg hva som hindrer Intel og alle trebokstavsforkortelsene fra å ta seg inn i maskinen din, utover (forretnings-)moral (Ha!)

Hei ett spm til deg. Er det ikke mulig å sperre denne aksessen i en ekstern brannmur, eller vil det ha konsekvenser som at enkelte ting ikke lenger fungerer som det skal .

 

La meg svare med et nytt spørsmål – hvordan hadde du tenkt se forskjell på nettverkstrafikk fra ME og din egen nettverkstrafikk? Begge kommer fra samme nettverkskort. På den annen side har Intel ME etter sigende sin egen MAC adresse. 

 

• https://hardenedlinux.github.io/firmware/2016/11/17/neutralize_ME_firmware_on_sandybridge_and_ivybridge.html

 

Vel, det var nå derfor jeg spurte, hvordan skal vi kunne se forskjell. Tanken var at de som har brukt en del tid på å undersøke dette fenomenet kanskje også hadde ideer om mottiltak som filtrering på IP eller andre kriterier ettersom jeg antar trafikk til ME etc vil ha en slags signatur men det er vel antageligvis vanskelig ,for eksempel filtrering på IP eller MAC. Reprogrammering som nevnt i linken du sendte etc. er forsåvidt kurant nok hadde dette vert likt fra system til system, men langt mindre fleksibelt enn om man bare kunne, tja la oss si "jamme" den uønskede trafikken. Men then again, det er vel like sansynlig at uønskett trafikk er initialisert fra ett eller annet M-Ware som kjører i windows.

[arne22]

Filtering via ekstern brannmur og MAC adresse er vel neppe noe problem. 

 

Det som kanskje helst er hvorvidt de som gjør innkjøpene og som sitter på pengesekkene fokuserer på sikkerhet.

 

Slik som jeg ser det så er en forutsetning for en god sikkerhet at man har en full eller god nok oversikt over hvordan systemene fungerer, og hvordan data går ut og inn av et system. Hvor man ikke vet hvordan et operativsystem eller et program kommuniserer og hvilke data som passerer ut og inn, så har man jo ikke kontroll på sikkerheten.

 

Dette er jo egentlig et spørsmål om hvordan de som sitter pengene og som betaler regningene vil prioritere. Hvis "en høy grad av sikkerhet" og "god kontroll" en gang blir moderne og kundene etterspør dette, så vil vel sikre systemer kunne vinne fram i konkuransen med usikre systemer.

 

Hvis man synes det er all right at data flyter inn og ut i alle retninger og uten styring og kontroll, og man så fordeler bedriftsinterne data rundt omkring i verden på "skybaserte tjenester" som man kanskje i liten grad har noen kontroll over, så er det dette som vil være normen.

 

Hvis det en eller annen gang i framtiden skulle skje en stor nok "ulykke" i forhold til dagens nokså åpne systemer, så vil man kanskje igjen sette forkus på sikkerhet og etterspørre systemer og løsninger som har en høy grad av sikkerhet. 

 

Et "sikkert system" det betyr etter mitt syn et system der man selv har kontroll på alle faktorer og hvodan alle data kommer inn og ut av systemet. Dette kan man jo få til umiddelbart vha for eksempel Linux, slik at dette bare blir til en avveining mellom funksjonalitet/sikkerhet/pris.

 

Foreløpig så veier funksjonalitet tyngst.

 

Man skulle kanskje tro at omslagspunktet for "tilbake til sikre systemer" vil komme i forbindelse med IPV6 og IoT, hvor det kan se ut som det med sikkerhet i utgangspunktet er redusert ned til "ingen ting og alle dører på vid vegg". Hvis kunder og brukere ikke ønsker det slik, så blir det heller ikke slik.

Endret 24. november 2017 av arne22