Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Intel Advanced Management Technology – Rootkit fur alle! » Kryptoblog

Intel Advanced Management Technology – Rootkit fur alle!

June 19th, 2007 by Joachim Strömbergson Leave a reply »

Intel har precis lanserat nya processorer och nya chipset för x86-plattformar. En nyhet som inte fått så stor uppmärksamhet är något Intel kallar Active Management Technology. AMT är ett teknik avsedd att göra det möjligt att övervaka, underhålla och kontrollera datorer på avstånd. AMT gör det exempelvis möjligt att:

  • Övervaka och kontrollera (filtrera) nätverkstrafik – innan/under OS:et

  • Skicka ut patchar till datorer – även om datorerna är avstängda(!)

  • Kontrollera, uppgradera, ändra, lägg till och ta bort programvara

  • Isolera och stäng av datorer som har blivit infekterade

  • Slå av och på matningen till en maskin

  • Vidarekoppla hårddisk-accesser till en nätverksplats

  • Vidarekoppla musen, tangentbord, skärm och andra periferienheter till en nätverksplats

AMT är baserad på funktioner i chipsetet som gör det möjligt att kommunicera med funktionalitet i chipsetet och även med processorn out-of-band, dvs i en sidokanal, antingen via LAN över seriell anslutning eller direkt över Ethernetinterfacet:

Det sitter alltså en microcontroller i MCU:n som alltid är igång (så länge nätsladden är inkopplad) och kan ta emot kommandon även om maskinen ser ut att vara avstängd. Microcontrollern är utrustad med en SW-miljö som implementerar ett stort antal servicefunktioner och ger även kunder möjlighet att lägga till egna funktioner:

Och en av de viktigaste delarna är alltså att det går att kommunicera med maskinen genom en separat TCP/IP-stack. Dvs även om det finns en brandvägg eller andra säkerhetsfunktioner applicerade för OS:ets TCP/IP-stack finns det en sidokanal in i systemet:

AMT ger alltså systemägare och administratörer helt nya möjligheter att övervaka och kontrollera en stort uppsättning PC-maskiner. AMT kommer även med ett XML (SOAP)-baserat system för att hantera AMT-klienter.
Men samtidigt reser sig håren på mina armar när jag börjar tänka på vad som skulle hända om AMT började användas för fel/dumma syften.

Hur lätt blir det att detektera- och skydda sig mot rootkit som smiter in via AMT. Rutkowskas Blue Pill ligger tankemässigt farligt nära. Det finns säkerhetsfunktioner i AMT för att se till att det inte sker. Det finns stöd för Kerberos och Active Directory-baserad autenticiering. Vidare stöder den inbyggda TCP/IP-stacken även TLS-skyddad kommunikation.

För den som vill veta mer om AMT finns det ett flertal sidor på Intels webbplats. Det finns även ett utvecklingskit (SDK) för AMT att ladda ner gratis från Intels webbplats.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

8 comments

  1. Sune says:

    Har inte det fär funnits på SUN:s burkar i en hel halv evighet?

  2. steelneck says:

    Det enda Internet inneburit är en dramatisk sänkning av bariären till informationsspridning, precis det som tryckpressen en gång innebar. Men tyvärr reagerar dagens “makt o kyrka” likadant nu som på Gutenbergs tid. Protektionism och paranoida kontrollbehov som bara hugger huvudena av precis de ideal man sade sig vara för. Makten att kunna tysta och stänga ned visar sitt ansikte och tankegångarna skiljer sig mycket lite från bokbålen i tyskland eller liknande rädsla skådad i andra historiska sammanhang. Det har inte ett enda dugg med säkerhet att göra, däremot med rädsla för det okända.

  3. Joachim says:

    Sune: Njae, vilken funktion i Suns hårdvara tänker du på då?

    Att det går att administrera på distans är inte nytt. Men att det finns dedicerade sidokanaler med egen TCP/IP-stack, reserverat minne, och möjlighet att göra vidarekoppling av väsentligen alla periferienheter via chipset:et har jag inte sett förut.

    Steelneck: Håller med om att xenofobi är irrationellt och kan i sig vara ett säkerhetsproblem. Men hur ser du kopplingen till Intels AMT?

  4. steelneck says:

    Antagligen samma som när håren på dina armar reser sig.

  5. Fredrik says:

    Det ÄR faktiskt läskigt. Allt som går att bruka går ju att missbruka …
    Det blir ännu en nivå “kod” som måste vara tät.

  6. Anders says:

    Vad är den teoretiska skillnaden mellan detta och de service-processorer som funnits i servrar sen Hedenhös? Alla IBM-maskiner har en, och modernare x86-maskiner har saker som ilom, som kan göra nästan allt med en maskin. Är detta väsentligt annorlunda?

Leave a Reply

You must be logged in to post a comment.