• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Bescherming tegen hardware backdoor / schaduw PC

Status
Niet open voor verdere reacties.

sntjj

Banned
Lid geworden
23 mrt 2017
Berichten
42
Waarderingsscore
0
Volgens recente berichten bevatten moderne PC's een schaduw PC met een eigen dedicated CPU en onbegrensde toegang tot memory en netwerkverkeer dat zelfs na volledig uitschakelen van de PC (niet hibernate) actief blijft.

Ik ben nieuw op dit forum. Ik hoop dat dit forum geen censuur toepast ;)

De backdoor heet Intel Management Engine of Intel ME.

Volgens Intel is het systeem bedoeld voor "Remote Workplace / Remote desktop toegang" voor grote (enterprise) bedrijven. Security experts waarschuwen echter dat het een overheids backdoor is met onbegrensde toegang tot een PC.

Het volgende bericht over de hardware backdoor / schaduw PC stond op TechRepublic (groot mainstream medium):

Various sources report that Intel's latest x86 chips contain a secret backdoor. SoftPedia cites security expert Damien Zammit as revealing that these Intel chips come with an embedded subsystem called the Management Engine (ME) that functions as a separate CPU and cannot be disabled, and the code is proprietary.

According to Intel, the ME is in place so enterprise businesses can manage computers remotely via Active Management Technology (AMT). AMT runs completely isolated from any operating system installed on the PC.

It gets creepier.

According to Zammit, the ME:

- has full access to memory (without the parent CPU having any knowledge);
- has full access to the TCP/IP stack;
- can send and receive network packets, even if the OS is protected by a firewall;
- is signed with an RSA 2048 key that cannot be brute-forced; and
- cannot be disabled on newer Intel Core2 CPUs.
- the ME is a dedicated microcontroller on all recent Intel platforms;
- it shares flash with the BIOS but are completely independent of the CPU;
- it can be active when the system is hibernating or even turned off; and
- it has a dedicated independent connection to the network interface.

http://www.techrepublic.com/article/is-the-intel-management-engine-a-backdoor/

In feite voorziet de backdoor in onbegrensde "real-time" toegang tot een PC, zelfs wanneer uitgeschakeld en volledig buiten de OS om. Een soort remote desktop waarbij elke muisbeweiging in real time kan worden bekeken / afgetapt. Encryptie beschermt daar niet tegen omdat er volledige controle is over alle hardware van de PC.

Ik heb zelf al enig onderzoek gedaan. Edward Snowden adviseerden iedereen recent (29 sept. 2016) op Twitter om Qubes OS te gaan gebruiken.

https://twitter.com/snowden/status/781493632293605376?lang=en

@Snowden If you're serious about security, @QubesOS is the best OS available today. It's what I use, and free. Nobody does VM isolation better.

Ik heb gelezen over PC's/laptops met Qubes OS i.c.m. Coreboot / Libreboot (www.minifree.org / Purism ). Coreboot / Libreboot vervangen de Bios met een open source alternatief.

Heeft iemand ervaring hiermee? Hoe kun je er zeker van zijn dat de overheid niet meegluurt bij alles dat je doet en meemaakt in je leven?

Een nieuwe wet (de sleepnet wet, februari 2017) zorgt ervoor dat de overheid (geheime diensten en justitie) op grote schaal gaan inbreken / aftappen bij 'iedereen'. Natuurlijk gaan de hardware backdoors daarvoor worden gebruikt, dus echt het aftappen van 'alles dat je doet met je computer'. Elke muisbeweging (wie weet herkennen kunstmatig intelligente systemen daarin je emoties etc.).

Ik ben benieuwd naar meningen m.b.t. het op grote schaal aftappen (waarvoor ik een ander topic ben begonnen), maar dit topic is bedoeld voor inzicht in eventuele oplossingen om aftappen te voorkomen (voor onschuldige mensen).

Enkele links / referenties:

www.minifree.org (PC's/hardware op basis van Libreboot)
https://puri.sm/ (moderne laptops met Qubes OS)
https://www.coreboot.org/ (open source bios/firmware)
 
Laatst bewerkt door een moderator:
Tsja - het is aan de gebruiker zelf te kiezen wel of niet deze software te gebruiken.
WiKiLeaks heeft inmiddels aangetoond wat de CIA met Apple apparatuur doet: http://www.nationaalcomputerforum.nl/showthread.php?t=131280

Ik ben dus benieuwd wat WiKiLeaks in de nabije toekomst over Windows gaat posten.
Ik vrees het ergste - Microsoft werkt per slot van rekening vanaf Vista met de NSA samen.
 
Heeft u wellicht informatie over mogelijke oplossingen?
 
In de eerste plaats is op dit forum iedereen gelijk aan elkaar dus jij en jou is prima.
Op tools heimelijk in de hardware aanwezig is geen kruid tegen op gewassen.
De CIA heeft eerder ook de firmware van harddisks en ook SSD's aangepast.
En dat Intel tool kan je gewoon des installeren.

Als hetgeen waar is waar jij van uitgaat, dan zal Windows di extra hardware waarschijnlijk niet eens herkennen.
En verder denk ik dat je met Linux een stuk veiliger bent.
 
Intel ME is een hardwarematig embedded subsysteem (schaduw PC) en kan niet worden uitgeschakeld of verwijderd. Het werkt geheel onafhankelijk van de OS dus ook met Linux ben je niet beschermd.

De OS kan geen bescherming bieden volgens bronnen die ik heb gelelzen. De Intel Management Engine backdoor is een schaduw PC dat onafhankelijk van de OS (Windows of Linux) onbegrensde controle heeft over de PC.

Zammit explains that AMT runs separately from any OS a user might install, allowing access to the computers in any deployment.

http://alexanderhiggins.com/new-intel-cpus-come-powerful-built-secret-hidden-backdoor/
 
De link voor het gedeeltelijk uitschakelen van ME (blobs/partities) is verouderd. In recente PC's (van na 2009) blijkt het verwijderen of uitschakelen van ME niet meer mogelijk.

Het volgende is een citaat van Libreboot.org:

Before version 6.0 (that is, on systems from 2008/2009 and earlier), the ME can be disabled (zoals beschreven in de link). ME firmware versions 6.0 and later, which are found on all systems with an Intel Core i3/i5/i7 CPU and a PCH, include ME Ignition firmware that performs some hardware initialization and power management. If the MEs boot ROM does not find in the SPI flash memory an ME firmware manifest with a valid Intel signature, the whole PC will shut down after 30 minutes.

In summary, the Intel Management Engine and its applications are a backdoor with total access to and control over the rest of the PC. The ME is a threat to freedom, security, and privacy, and the libreboot project strongly recommends avoiding it entirely. Since recent versions (after 2009) cant be removed, this means avoiding all recent generations of Intel hardware.

Intel ME is gentegreerd in vrijwel elke PC sinds juni 2006.

In the summer of 2006, Intel rolled out something horrible. Intels Management Engine (ME) is a completely separate computing environment running on Intel chipsets that has access to everything. The ME has network access, access to the host operating system, memory, and cryptography engine. The ME can be used remotely even if the PC is powered off. If that sounds scary, it gets even worse: no one knows what the ME is doing, and we cant even look at the code.

Minifree.org (Libreboot) doet op dit moment intensief onderzoek voor het uitschakelen (niet verwijderen) van Intel ME van een Lenovo X220. Het vergt nog maanden onderzoek. Ze verwachten dat de laptop in december 2017 beschikbaar zal zijn.

Er is op dit moment nog geen oplossing voor moderne PC's, ook niet voor top experts.

Separating or disabling the ME from the CPU has been a major focus of the libreboot and coreboot communities. The inability to do so has, until now, made the future prospects of truly free computing platforms grim. The ME is in everything, and CPUs without an ME are getting old. Even though we dont have the ability to remove the ME, disabling it is the next best thing to try.

http://hackaday.com/2016/11/28/neutralizing-intels-management-engine/

--- Update ---

N.a.v. een kort dialoog met Abraham54 in een topic m.b.t. de nieuwe sleepnet wet (feb. 2017) een samenvatting van de uitkomst van de discussie, dat relevant is t.a.v. de backdoor.

Volgens Intel is de backdoor bedoeld als middel voor grote bedrijven om op afstand PC's te controleren. Het is in feite een soort KVM dat is ingebouwd in vrijwel elke PC of laptop dat is verkocht sinds 2006/2008.

Het enige dat in feite voorkomt dat de overheid niet op grote schaal toegang heeft tot de "God backdoor" is het bedrijf Intel.

Mogelijkheden voor de overheid om toegang te krijgen?

1) Intel geeft ze toegang (complot)
2) Overheid hacked zich naar binnen (aftappen)
3) Overheid dwingt toegang af (juridisch)

Met de nieuwe sleepnet wet van februari 2017 heeft de overheid juridisch gezien toegang tot de backdoor. Er is dus in principe geen twijfel over mogelijk dat het wordt gebruikt door de overheid.

It can probably be presumed that Intels technology implements certificates for which the NSA can easily counterfeit and act as a man in the middle. (hack methode)

Moreover, instead of conducting such covert operations it could simply overtly issue Intel an National Security Letter and hence gain complete control over any given system at any given time. (juridische methode)

http://alexanderhiggins.com/new-intel-cpus-come-powerful-built-secret-hidden-backdoor/

Status quo: de overheid heeft sinds 2006 onbegrensde toegang tot elke PC en automatische systemen en nieuwe wetten zullen de toegangsmogelijkheid gaan ontsluiten voor diverse overheids/spionage toepassingen.

De sleepnet wet geeft de overheid de mogelijkheid om alle beschikbare middelen te benutten om bij iedereen af te tappen. Mensen denken dan wellicht dat de overheid internet verkeer gaat doorspitten, maar beseffen niet dat ze algehele toegang hebben tot hun PC en dat van hun kinderen.

Het zijn in het algemeen robots die persoonlijke gegevens verzamelen, maar er zal ook een "take over" mogelijkheid zijn zodat een team van Justitie of een andere dienst real time kan meegluren / de controle kan overnemen van een PC.

Voor veel mensen is dat schadelijk of een levensgevaarlijk risico. Denk bijvoorbeeld aan journalisten, klokkenluiders, activisten en groepen mensen die vanwege een politieke situatie gevaar lopen.

In het andere topic over de sleepnet wet wordt aangetoond dat de mensen achter het aftappen misdadiger zijn. Er is sprake van zware corruptie en zelfs het beschermen van pedofielen, waarbij legerleiders, toppolitici en in Nederland meerdere hoge rechters en de (tot 2012) hoogste baas van Justitie pedofiel zijn en kinderen verkrachten, en door Justitie worden beschermd. Er is sprake van "uit de weg ruimen van klokkenluiders (mensen die de pedo's proberen aan te klagen)" en "strafexpedities tegen klokkenluiders door Justitie". Zij controleren de systemen die straks bij iedereen gaan inbreken en de overheid "God" toegang geeft. Het risico op misbruik is groot.
 
Laatst bewerkt door een moderator:
De mogelijkheid is er. Enkel het bedrijf Intel staat tussen "God" toegang tot elke PC.

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology

Heeft iemand een idee om het probleem op te lossen? Ook voor minder technische mensen?

Hoe kan een student journalistiek er zeker van zijn dat de overheid niet meegluurt en ontdekt wat de roeping van de journalist dreigt te worden, zodat zij of hij niet beinvloed of 'preventief ingedamd' zal kunnen worden?
 
Laatst bewerkt door een moderator:
Wat een onzin allemaal, als er op een circuit geen spanning staat is het niet te benaderen.

Waar komen die internet gekkies toch steeds vandaan?

Festo back?
 
Ik denk dat je hier gelijk in hebt Lange Pier.

Daarnaast zijn het geruchten die al zeer lange tijd de ronde doen maar waarvoor nog niemand het sluitende bewijs heeft kunnen leveren. Daarnaast zijn we toch echt afhankelijk geworden van het gebruik van computers. Natuurlijk is privacy belangrijk! Maar wanneer we ons wel druk maken om de achterdeur op onze pc maar vervolgens Google en Facebook gebruiken heeft het mijns inziens weinig meerwaarde.
 
Wat een onzin allemaal, als er op een circuit geen spanning staat is het niet te benaderen.

Het zijn toch betrouwbare bronnen die vermelden dat dat zo is.

Zie bijvoorbeeld het stuk van een journalist van TechRepublic.com, een groot medium met veel lezers:

http://www.techrepublic.com/article/is-the-intel-management-engine-a-backdoor/

Also, he says the health of the ME firmware cannot be audited, and no one outside of Intel has seen the code for the ME.

Talk like this has been going around for a while. Back in 2014, Igor Skochinsky gave a presentation titled Intel ME Secrets. In this presentation, Skochinsky staked the claims:
  • the ME is a dedicated microcontroller on all recent Intel platforms;
  • the first versions were included in the network card and later moved into the chipset;
  • it shares flash with the BIOS but are completely independent of the CPU;
  • it can be active when the system is hibernating or even turned off; and
  • it has a dedicated connection to the network interface.

The fact that the ME can enable businesses to access computers remotely (for free) is a useful service. But is the ME a one-trick pony? Is that purpose only used by businesses to access a desktop or server remotely or also by the Government for surveillance?

Als Intel ME bedoeld is voor remote management voor grote bedrijven, waarom wordt het dan wettelijk afgedwongen (verplicht) in elke laptop en PC en is het systeem daardoor ook ingebouwd in laptops en PC's die niet door bedrijven worden gebruikt, zoals bijvoorbeeld gaming PC's?

Het feit is dat Intel ME een hardware backdoor is, een soort KVM. Enkel het bedrijf Intel staat tussen daadwerkelijke toegang door de overheid.

Daarnaast zijn het geruchten die al zeer lange tijd de ronde doen maar waarvoor nog niemand het sluitende bewijs heeft kunnen leveren. Daarnaast zijn we toch echt afhankelijk geworden van het gebruik van computers. Natuurlijk is privacy belangrijk! Maar wanneer we ons wel druk maken om de achterdeur op onze pc maar vervolgens Google en Facebook gebruiken heeft het mijns inziens weinig meerwaarde.

Het zijn geruchten maar het is ook belangrijk om te beseffen dat duizenden top security wetenschappers geen idee hebben wat Intel ME precies doet, omdat het geheim is. Er kunnen daardoor enkel speculaties zijn. Het sterke vermoeden wordt geuit, door neutrale security wetenschappers, dat de overheid het misbruikt. En het feit is dat het mogelijk is dat het door de overheid wordt misbruikt.

M.b.t. privacy. Daar heeft u gelijk in, echter is directe toegang tot de persoonlijke PC (en telefoon) en in de toekomst geautomatiseerd aftappen van persoonlijke gegevens op dergelijke wijze m.i. een bijzonder gevaarlijke schending van de privacy.

--- Update ---

Ik heb zelf inmiddels enkele laptops geflashed met Coreboot en de bios bronbestanden (firmware) schoongemaakt met ME Cleaner. Ik gebruikte daarvoor een Raspberry Pi 3 model B als SPI programmer.

Het ging gemakkelijker dan verwacht, hoewel het er technisch uit ziet. Ik had hier zelf geen enkele ervaring mee, zelfs 10 jaar geen PC losgemaakt.

Cv20MwrWIAAR12i.jpg

Een iets oudere laptop, zoals de Lenovo X220 / X230 uit 2012 is geschikt en volgend security wetenschappers die ik heb gesproken zou ME cleaner Intel ME moeten uitschakelen.

https://github.com/corna/me_cleaner
https://www.coreboot.org/
https://github.com/bibanon/Coreboot-ThinkPads/wiki/Hardware-Flashing-with-Raspberry-Pi

De producten die nodig zijn, zoals bijvoorbeeld een SOIC 8 clip voor de bios chip, heb ik gekocht bij de Amerikaanse webshop www.sparkfun.com.

De laptops werken perfect en je kunt de bios extra beveiligen en naar wens maken, bijvoorbeeld de complete disk encrypten (inclusief boot) en vanuit de bios ontgrendelen. Inbraak in een PC via o.a. USB is niet meer mogelijk, en zonder bios password en disk encryptie sleutel heeft een hacker geen toegang tot een PC. Je kunt de bios ook een eigen achtergrond geven / personaliseren.

Als iemand interesse heeft dan is het interessant om te lezen over Heads van security onderzoeker Trammell Hudson. Heads is gaat nog een stap verder dan Coreboot en biedt nog meer veiligheid.

Trammell komt geregeld naar Nederland en geeft dan korte workshops om een laptop te beveiligen en o.a. te voorzien van Coreboot en Qubes OS.

https://trmm.net/Heads_33c3
Workshop in Amsterdam: https://twitter.com/qrs/status/791323795818704896

Voor kant en klare oplossingen kun je kijken naar de X220 van Libreboot. Hierbij heeft security onderzoeker Leah Rowe Intel ME fysiek verwijderd, dus niet enkel schoongemaakt met ME Cleaner.

https://libreboot.org/

Een moderne ultrabook met Coreboot en Qubes OS is te koop via Purism. Ik heb zelf echter niet kunnen achterhalen of zij daadwerkelijk betrouwbaar zijn, hoewel ze zijn gecertificeerd door Qubes OS (wel betrouwbaar).

https://puri.sm/
 
Laatst bewerkt door een moderator:
Als je dat alles hebt gedaan om de zogenaamde achterdeuren te verwijderen dan kan ik je vertellen dat het vergeefse moeite is geweest! Bedrijven als Intel houden echt wel rekening met dit soort acties. Als ze die "achterdeurtjes" al inbouwen.
 
Wel, de backdoor is begonnen in 2006 en pas later werd het echt onmogelijk gemaakt om het uit te schakelen / te verwijderen. Volgens security experts is de Lenovo X220/X230 uit 2011/2012 nog net geschikt. Het is een model dat veel wordt gebruikt door security experts, wellicht dat dat helpt. Ze zullen minder snel malafide hardware kunnen installeren, omdat de laptop tig keer door experts uit elkaar wordt gehaald en wordt onderzocht.

Verder overigens nog iets om over na te denken: ik wilde een open source pfSense firewall kopen en kwam uit bij https://www.pcengines.ch/ voor bekende APU firewall hardware met de open source bios Coreboot. Bij navraag bleek dat het nieuwste model ook de AMD Security Platform Processor bevat, Intel ME van AMD.

Moderne routers en firewall hardware hebben ook deze Intel ME / PSP processor en dat betekent in theorie dat de overheid een compleet schaduw internet kan maken waar niemand zicht op heeft. Via dat internet kunnen zij ongezien de spionage data verplaatsen en hebben zij via automatische systemen onbegrensde real-time toegang tot elke laptop en PC.

--- Update ---

Nog een tip voor mensen die bescherming zoeken tegen de backdoor/overheidsspionage.

Raspberry Pi heeft een variant genaamd BeagleBone Black dat Open Hardware is, soortgelijk als Open Source maar dan voor alle hardware onderdelen. De BeagleBone biedt standaard een soort USB thetering (USB-ethernet) waarmee je het internet kunt doorschakelen via USB.

http://beagleboard.org/
https://elementztechblog.wordpress.com/2014/12/22/sharing-internet-using-network-over-usb-in-beaglebone-black/

De Intel ME en AMD PSP zijn mogelijk afhankelijk van netwerk toegang dus als je een BeagleBone als USB thetering dongel gebruikt dan is het wellicht mogelijk om de backdoor te omzeilen als je daarbij ook Tor en VPN gebruikt. De zwakke schakel wordt dan de BeagleBone.

De BeagleBone is te koop bij Conrad voor 70 euro.

https://www.conrad.nl/nl/informatie-tips/componenten/automatisering/beaglebone.html

Via SparkFun kun je security 'capes' kopen, zoals de CryptoCape, waarmee je de BeagleBone extra kunt beveiligen:

https://www.sparkfun.com/categories/164

Overigens bedankt dat deze informatie op dit forum bespreekbaar is! Het blijkt niet op elk forum mogelijk te zijn, op Tweakers.net wordt het direct verwijderd.
 
Laatst bewerkt door een moderator:
Bij ons op het forum zijn dit soort topics gewoon mogelijk onder de voorwaarden dat het reglement niet wordt overtreden. Iedereen in zijn waarde wordt gelaten en er respect is voor de mening van anderen.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan