[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Altra falla/funzionalità sui processori INTEL (firmware) -> backdoor



> Il giorno 14 gen 2018, alle ore 21:05, Davide Prina <davide.prina@gmail.com> ha scritto:
> 
> Segnalo questa notizia, leggere sia il testo della notizia che il secondo commento (quello molto lungo con titolo: Obligatory: Intel CPU Backdoor Report (Jan 1 2018))
> 
> https://yro.slashdot.org/story/18/01/12/201200/researcher-finds-another-security-flaw-in-intel-management-firmware
> 
> Anche per questi problemi probabilmente arriveranno aggiornamenti, sperando non siano introdotti ulteriori problemi. Il problema è che gli aggiornamenti potranno arrivare soltanto da intel e che alcuni di questi bug sono probabilmente funzionalità richieste dall'NSA.

Se ho ben capito, il problema segnalato riguarda la configurazione di default del servizio AMT.

Al primo avvio AMT non richiede all’utente una configurazione che metta in sicurezza il servizio, anche se non lo si desidera attivare; ha una password predefinita banale e quindi chiunque abbia accesso fisico alla macchina può configurare il servizio, impostare una password che impedisca all’utente legittimo di accedere alla configurazione di AMT per riprendere il controllo del tutto (però bisogna poter riavviare la macchina, e non è detto che la cosa possa passare inosservata). 

Sull’utilità di AMT si può essere scettici (soprattutto sui desktop), ma… solo a me sembra la scoperta dell’acqua calda? 

Insomma, è fin troppo chiaro che quando c’è un servizio del genere preinstallato, devi prendere provvedimenti adeguati prima di usare quel sistema. È come collegare in rete un router o uno switch managed e non cambiare le password predefinite - chi, con un briciolo di senso di responsabilità, non cambierebbe le password di fabbrica? 

Almeno, io la prima volta che ho avuto davanti un nuovo sistema Xeon con AMT sono entrato nella pagina di configurazione ed ho impostato la password, così come faccio con il BIOS - e non mi sento una cima per una cosa così banale. 

Insomma, il problema non è grave per i prodotti destinati ad utenza professionale come gli Xeon - sono certo che qualsiasi sysadmin si prenderebbe la briga di controllare la cosa. 

Per le CPU desktop ovviamente è tutt’altro discorso - non è detto che l’utente sappia di questa funzionalità, e che si prenda la briga di configurarla, quindi il rischio sussiste e Intel dovrebbe quanto meno fare qualcosa per indirizzare l’utente verso prassi più sicure…

saluti,
gerlos




Reply to: