Intel ME stilllegen

jacktheexecuter

Lt. Junior Grade
Dabei seit
Juli 2012
Beiträge
344
Hallo zusammen,

wie es der Titel schon sagt, habe ich vor mich mit der ME Thematik zu befassen, bzw. habe es schon und suche jemanden der sich ernsthaft damit schon beschäftigt hat.

Hat jemand von euch die ME schon aus seinem System Bios/UEFI gepatcht?

Wenn ja, auf welchem Weg?

Gruß,
Jack
 

alexx_pcfreak

Lt. Commander
Dabei seit
Mai 2013
Beiträge
2.034
Sers.

Was versprichst du dir davon? Einfach mal, weil so es sooooo unsicher ist? Einfach weil es Spaß machen könnte? Machst du Dinge im Internet oder bekommst du auf anderem Weg Programme, die die Schwachstellen ausnutzen könnten?

cheers, alexx
 

DiedMatrix

Lt. Commander
Dabei seit
Dez. 2003
Beiträge
1.073
Ja es ist soo unsicher....
Das Argument, dass man es seien lassen kann, weil es noch andere Lücken gibt ist Blödsinn und außerdem sowieso von seinen Anforderungen abhängig.
 

alexx_pcfreak

Lt. Commander
Dabei seit
Mai 2013
Beiträge
2.034
Meine Ironie war wohl nicht deutlich genug...

"Difficile est saturam non scribere."
 
  • Gefällt mir
Reaktionen: jacktheexecuter und Ctrl

gur_helios

Lt. Junior Grade
Dabei seit
Jan. 2007
Beiträge
427
Hi Jack


Generell gibt es keinen Patch, welcher für jedes BIOS gilt.

Du kannst aber die entsprechenden Intel ME-Service-Ports an deinem Router schliessen: Intel ME - Service Ports


LG Uwe
 
  • Gefällt mir
Reaktionen: paulinus
A

alxa

Gast
Zitat von Helios_ocaholic:
Du kannst aber die entsprechenden Intel ME-Service-Ports an deinem Router schliessen: Intel ME - Service Ports
Bevor nun dutzende Leser anfangen, panisch an ihrer Firewall rumzupfriemeln:
Das mit den Ports ist nicht die ME, sondern das separate AMT.
AMT ist „nur“ ein Managementservice mt Weblistener, der im BIOS von intel Q Chipsätzen dabei ist (und oft kann man AMT in dem BIOS dann auch deaktivieren).
In den consumerüblichen intel Z, H und B Chipsätzen gibt es AMT nicht.
Am ehesten triffst du als Verbraucher auf AMT, wenn du abgelegte Businessnotebooks gebraucht kaufst (Lenovo Business Notebooks z.B)
 
  • Gefällt mir
Reaktionen: jacktheexecuter und DiedMatrix

Helge01

Captain
Dabei seit
Nov. 2008
Beiträge
3.749
Vom Internet aus ist doch der Zugriff auf die Intel ME Ports des jeweiligen PCs durch den Router sowieso nicht möglich. Dieser blockt eingehende Verbindungen.

Ein Angreifer muss sich im eigenen Netz befinden. Ist dies der Fall, hat man ganz andere Probleme als Intel ME.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Lawnmower
C

CPU-Bastler

Gast
Leider hilft die Option "mit dem Schraubenzieher die Chips abhebbeln" nicht weiter. Entweder alles ist unsicher oder nichts geht mehr.

Eine AMD-CPU einsetzen ist auch keine Lösung.

Intel Me muss einfach weg!
 
  • Gefällt mir
Reaktionen: jacktheexecuter, DiedMatrix und konkretor

teufelernie

Commander
Dabei seit
Sep. 2004
Beiträge
2.328
Zitat von konkretor:

"On some boards the OEM firmware fails to boot without a valid Intel ME firmware; in the other cases the system should work with minor inconveniences (like longer boot times or warning messages) or without issues at all."

Höhö... na dann macht mal. Alles ab Sandybridge scheint ja ein BPOS (big piece of s....) zu sein, was die Entfernung angeht.

Zitat von CPU-Bastler:
Eine AMD-CPU einsetzen ist auch keine Lösung.

Naja auch da gibts ja (andere) vulnerabilities.


@jacktheexecuter , ich hab das schon zigmal hier gepostet: Hatte ne Sandybridge, da hat ne Radeon R580 nicht drauf funktioniert (kein Bild, kein BIOS-Post, nix) Es ging dann nach nem Intel ME Update von 7 auf 8.
Entweder, der ME-Code ist so stupide, dass Hardwarefunktionalität komplett blockiert wird, oder aber er verhindert es tatsächlich.
Ich würde mich eher mal damit beschäftigen, wie der Zugang zu Intel ME auf deinem Rechner lokal bleibt, also nichts mit ins Netzwerk und so...
 

chithanh

Captain
Dabei seit
Okt. 2013
Beiträge
3.941
Man kann Intel ME grundsätzlich nicht per Software stilllegen. Das ist ein Hardwarefeature, und es wird benötigt, damit das System überhaupt bootet.

Was man machen kann, ist einen Zustand reduzierter Funktionalität zu erreichen, mittels me_cleaner oder Setzen des HAP-bits. Aber was genau dann noch funktioniert weiß nur Intel. Und man bleibt prinzipiell angreifbar für nicht abgeschaltete Funktionalität.

https://twitter.com/rootkovska/status/939064351008395264
 
  • Gefällt mir
Reaktionen: jacktheexecuter

jacktheexecuter

Lt. Junior Grade
Ersteller dieses Themas
Dabei seit
Juli 2012
Beiträge
344
Zitat von alexx79:
Sers.

Was versprichst du dir davon? Einfach mal, weil so es sooooo unsicher ist? Einfach weil es Spaß machen könnte? Machst du Dinge im Internet oder bekommst du auf anderem Weg Programme, die die Schwachstellen ausnutzen könnten?

cheers, alexx

Ich verspreche mir davon etwas Beschäftigung die zur Absicherung meines Systemes beiträgt.
Es ist einfach ein schlechtes Gefühl zu wissen, das da auf low level ein System läuft, welches einfach mal so an allen Sicherungsmaßnahmen vorbeimarschiert wenn das System gebootet ist.
Ergänzung ()

Zitat von Helios_ocaholic:
Hi Jack


Generell gibt es keinen Patch, welcher für jedes BIOS gilt.

Du kannst aber die entsprechenden Intel ME-Service-Ports an deinem Router schliessen: Intel ME - Service Ports


LG Uwe

Ähm, ich meine damit, dass man das Bios dumpt, patcht und wieder flasht.
Damit meine ich nicht, dass man irgendein Setup ausführt.
Ergänzung ()

Zitat von Helge01:
Vom Internet aus ist doch der Zugriff auf die Intel ME Ports des jeweiligen PCs durch den Router sowieso nicht möglich. Dieser blockt eingehende Verbindungen.

Ein Angreifer muss sich im eigenen Netz befinden. Ist dies der Fall, hat man ganz andere Probleme als Intel ME.

Es handelt sich um ein Notebook, damit ist man unterwegs in unterschiedlichen Netzen.
Also will ich das Ding möglichst platt machen.
Ergänzung ()

Zitat von konkretor:

thx, die beiden hatte ich auch gefunden.
Hast du Erfahrung damit?
Ergänzung ()

Zitat von chithanh:
Man kann Intel ME grundsätzlich nicht per Software stilllegen. Das ist ein Hardwarefeature, und es wird benötigt, damit das System überhaupt bootet.

Was man machen kann, ist einen Zustand reduzierter Funktionalität zu erreichen, mittels me_cleaner oder Setzen des HAP-bits. Aber was genau dann noch funktioniert weiß nur Intel. Und man bleibt prinzipiell angreifbar für nicht abgeschaltete Funktionalität.

https://twitter.com/rootkovska/status/939064351008395264

na klasse.
Ergänzung ()

Dann können wir das Thema hier abschließen.
Das Risiko ein System bei der Aktion zu bricken, ist einfach zu hoch.

Shit.
 
Zuletzt bearbeitet:

konkretor

Rear Admiral
Dabei seit
März 2011
Beiträge
5.639
Nope noch nie gemacht. Risiko ist mir zu hoch das ein Gerät kaputt ist. Dafür ist das probieren einfach zu teuer
 
Werbebanner
Top