On Sat, Nov 29, 2014 at 08:20:19PM +0100, Paul van der Vlis wrote:
> Hallo,
>
> Ik ben wat bezig geweest met Intel Active Management Technology (AMT),
> een techniek die in veel moderne apperatuur zit ingebakken, zoals
> laptops, servers, en PC's. Ik had er van gehoord maar wist er nog niet
> veel van.
>
> Ik dacht dat je er niet veel mee te maken had als het maar uit stond,
> maar het is maar de vraag of dat klopt.
>
> De techniek komt er op neer dat iemand op een computer, laptop of server
> binnen kan komen buiten het OS om, en eigenlijk alles kan. Dat kan zowel
> bedraad als draadloos via wifi, als via 3G.
>
> Een machine kan ook een encrypted tunnel initiëren naar de beheerder, en
> dus in de meeste gevallen door firewalls komen. Door die tunnel kan de
> beheerder weer de boel beheren. Ik heb dit niet getest, vond de opties
> niet in het webinterface, maar het staat wel in de specs.
>
> AMT deelt de netwerkinterfaces met het OS, en komt voor het OS.
> Het kan eventueel netwerkverkeer filteren.
>
> AMT kan helemaal remote worden geconfigureerd ("zero touch"), sommige
> certificaten worden vertrouwd. Je kunt het wel uitzetten in het bios,
> maar een remote beheerder kan het ook aan zetten als ik het goed
> begrijp. Wikipedia zegt hierover: "This probably means that AMT is
> always listening to open ports to the wild and cannot be disabled at all".
>
> Het stond default aan in mijn bios, maar er was weinig te configureren.
> Ik vond een mogelijkheid om het te configureren in het boot-menu (F12 op
> mijn laptop). Rare plek. Bij veel machines schijnt het met ctrl-p te
> gaan tijdens het booten.
>
> Ik moest een paswoord instellen (default was admin/admin), een simpel
> paswoord weigert hij, zowel een uppercase, lowercase, cijfer en een
> speciaal teken is verplicht, en minstens 8 tekens, alleen verteld het
> interface dat niet.
> Verder heb ik ook de SMB (small bussisness) mode ingesteld, default is
> Enterprise mode, daarvoor heb je Active Directory nodig als ik het goed
> begrijp. En hem een hostname gegeven.
>
> Ik was zo onhandig om eerst AMT en ME in te stellen en toen het bios te
> upgraden. Doe dat niet, bij mij duurde booten tot grub opeens 20
> minuten. Pas nadat ik de CMOS batterij enige tijd had verwijderd deed
> hij het weer normaal. Die CMOS batterij zat diep verstopt in de laptop.
>
> Maar goed, uiteindelijk zag ik in de DHCP server dat hij een IP nummer
> had gekregen. De beste resultaten had ik in grub. Als je op het pijltje
> naar beneden klikt blijft hij in grub en boot niet verder. Ik kon ook
> pingen, al is dat wel uit te zetten, en wellicht staat het op sommige
> apparaten default uit.
>
> Ik kon toen connecten via een browser via: http://192.168.0.37:16992 en
> ik kreeg een keurig webinterface. Via dat webinterface kon ik wifi
> configureren, dat kon niet via het bios. Daarna kon ik ook via wifi
> binnenkomen. Een andere poort die gebruikt wordt is 16993, voor https,
> bij mij deed die het niet.
>
> Na het booten van Debian kon ik bedraad niet meer binnenkomen, maar wel
> draadloos. Misschien omdat dat komt omdat ik geen firmware geinstalleerd
> heb voor de ingebouwde wifi, en er daardoor geen conflict optreed (ik
> test op het moment een USB stick met open source firmware).
>
> Dit is wat oudere apperatuur (Lenovo X200 met AMT versie 4.0.8-build
> 1139). Nieuwere versies kunnen ook VNC, en het zou ook moeten werken als
> de computer werkt of helemaal uit staat.
>
> Ik kon overigens niet binnenkomen toen de computer uit stond, maar dat
> schijnt wel te kunnen (in elk geval bedraad), je kunt hem op die manier
> ook aanzetten en je kunt een Linux command prompt krijgen als je dat
> configureert in Linux (serial console). Maar wellicht kan het ook
> anders, je kunt bij het geheugen en bij de disk begreep ik. AMT kan b.v.
> ook inventariseren wat voor software er op een computer staat.
>
> Het is aan de ene kant heel mooi voor beheer doeleinden lijkt me, het
> werkt zelfs als je geheugen defect is en alles vastgelopen is. Ik heb
> ook nog geen mooier tool gezien om bepaalde specs van hardware te kunnen
> zien. Het verteld bijvoorbeeld dit over een geheugen module:
> --------
> Manufacturer 802C
> Serial number 3A4662CA
> Size 4096 MB
> Speed 1066 MHz
> Form factor SODIMM
> Type Unknown
> Type detail Synchronous
> Asset tag 1047
> Part number 16JSF51264HZ-1G4D1
> -------
>
> Aan de andere kant is het natuurlijk erg gevaarlijk qua security, je
> hebt er helemaal geen grip op.
>
> Ik heb de indruk dat het bij mij nog niet helemaal stabiel
> functioneerde, maar nieuwere versies zijn wellicht beter.
>
> Groet,
> Paul.
>
> https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm
> http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html
> http://en.wikipedia.org/wiki/Intel_Active_Management_Technology
> http://en.wikipedia.org/wiki/Intel_AMT_versions
> http://en.wikipedia.org/wiki/Intel_vPro
> http://www.thomas-krenn.com/en/wiki/Intel_Active_Management_Technology
>
>
>
> Module 1
> Manufacturer 802C
> Serial number 3A4662CA
> Size 4096 MB
> Speed 1066 MHz
> Form factor SODIMM
> Type Unknown
> Type detail Synchronous
> Asset tag 1047
> Part number 16JSF51264HZ-1G4D1
>
>
>
>
> --
> Paul van der Vlis Linux systeembeheer, Groningen
> http://www.vandervlis.nl
>
>
> --
> To UNSUBSCRIBE, email to debian-user-dutch-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: https://lists.debian.org/547A1C73.5000608@vandervlis.nl
>
Wat een griezelverhaal. Goed dat het vertelt wordt.
Zo wordt bekend wat er aan vergif verkocht wordt.
Groeten
Geert Stappers
--
Leven en laten leven
Attachment:
signature.asc
Description: Digital signature