信息安全 - 如何将英特尔 AMT/ME 的“ring -3 漏洞利用”带来的风险降至最低？ - 吾爱随笔录

如何将英特尔 AMT/ME 的“ring -3 漏洞利用”带来的风险降至最低？

信息安全硬件脆弱性 Rootkit

2021-08-13 23:56:23

这个问题是关于如何最小化英特尔 AMT/ME 的 ring -3 漏洞带来的风险？我正在寻找有关常见策略和实践的建议。这是我目前的情况。

我经常将我的加密英特尔 iCore5 移动设备停放在 S3 休眠模式，而笔记本电脑已插入电源。我运行 GNU/Linux，我不使用有线网络，而是使用无线 LAN。内存本身没有加密（例如，一个基于TRESOR概念的系统）。

根据我对这篇关于英特尔 AMT/ME 漏洞风险的理解，可以假设第二个处理器，即 AMT/ME，能够在 S3 休眠期间运行并使用网络通信。

澄清一下，对于建议的改进和降低风险/暴露的策略，我绝不欣赏也不需要 AMT/ME 的东西。有没有办法禁用它？此外，使用 Coreboot 会进一步降低这种风险吗？如果是这样，为什么？

此外，我正在考虑在 WiFi 的天线上进行硬件开关，以便通过系统将其关闭。即使是在机器启动并运行时因英特尔的 AMT/ME“功能”而容易受到 OOB 攻击的想法也不是一个愉快的想法。

3个回答

归根结底，您对 iCore5 无能为力。
它有一个永久后门，可以完全访问和控制 PC 的其余部分。
如果知道这个事实让您感到困扰，那么您只能做以下两件事之一：

现在回头，将你的精神能量重新集中在思考更快乐的想法上。
深入挖掘并开发对GM45芯片组和“过时”的 ThinkPad 的新认识。

具有可移动 ME 的最快和最强大的 PC 是 ThinkPad 型号 X200、T400 和 T500。这些可以通过一个相对简单的程序完全摆脱英特尔的 ME ，只需要一个小猎犬骨黑、一个旧的 ATX PSU、一个 Pomona 5252（与 SOIC-8 或 SOIC-16 一起使用）和一些跳线。

或者，您可以购买上述 ThinkPad 之一，但会为您移除 ME，尽管成本会大幅增加。

您链接中的 Intel Q35 是 Intel AMT 3，它是 AMT 的最后一个版本，在“hack-methods”方面存在一些问题。AMT4+ 没有破解，AMT6+ 的安全性更高。

如果您害怕 Intel AMT/ME，您可以在 BIOS 或 MEBx 中禁用它。但您必须记住，所有现代系统都默认使用 Intel ME。

除了使用英特尔提供的解决方案之外，您现在可以做的最好的事情是在您的 BIOS 上安装 coreboot 并中性 ME OS。目前这只能使用某些芯片来完成，但有一个团队正在积极研究长期解决方案：

https://puri.sm/posts/deep-dive-into-intel-me-disablement/

Think of the ME as having 4 possible states:

Fully operational ME: the ME is running normally like it does on other manufacturers’ machines (note that this could be a consumer or corporate ME image, which vary widely in the features they ‘provide’)
Neutralized ME: the ME is neutralized/neutered by removing the most “mission-critical” components from it, such as the kernel and network stack.
Disabled ME: the ME is officially “disabled” and is known to be completely stopped and non-functional
Removed ME: the ME is completely removed and doesn’t execute anything at any time, at all.

其它你可能感兴趣的问题