OT: Griezelverhaal over AMT

To: debian-user-dutch <debian-user-dutch@lists.debian.org>
Subject: OT: Griezelverhaal over AMT
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Sat, 29 Nov 2014 20:20:19 +0100
Message-id: <[🔎] 547A1C73.5000608@vandervlis.nl>

Hallo,

Ik ben wat bezig geweest met Intel Active Management Technology (AMT),
een techniek die in veel moderne apperatuur zit ingebakken, zoals
laptops, servers, en PC's. Ik had er van gehoord maar wist er nog niet
veel van.

Ik dacht dat je er niet veel mee te maken had als het maar uit stond,
maar het is maar de vraag of dat klopt.

De techniek komt er op neer dat iemand op een computer, laptop of server
binnen kan komen buiten het OS om, en eigenlijk alles kan. Dat kan zowel
bedraad als draadloos via wifi, als via 3G.

Een machine kan ook een encrypted tunnel initiëren naar de beheerder, en
dus in de meeste gevallen door firewalls komen. Door die tunnel kan de
beheerder weer de boel beheren. Ik heb dit niet getest, vond de opties
niet in het webinterface, maar het staat wel in de specs.

AMT deelt de netwerkinterfaces met het OS, en komt voor het OS.
Het kan eventueel netwerkverkeer filteren.

AMT kan helemaal remote worden geconfigureerd ("zero touch"), sommige
certificaten worden vertrouwd. Je kunt het wel uitzetten in het bios,
maar een remote beheerder kan het ook aan zetten als ik het goed
begrijp. Wikipedia zegt hierover: "This probably means that AMT is
always listening to open ports to the wild and cannot be disabled at all".

Het stond default aan in mijn bios, maar er was weinig te configureren.
Ik vond een mogelijkheid om het te configureren in het boot-menu (F12 op
mijn laptop). Rare plek. Bij veel machines schijnt het met ctrl-p te
gaan tijdens het booten.

Ik moest een paswoord instellen (default was admin/admin), een simpel
paswoord weigert hij, zowel een uppercase, lowercase, cijfer en een
speciaal teken is verplicht, en minstens 8 tekens, alleen verteld het
interface dat niet.
Verder heb ik ook de SMB (small bussisness) mode ingesteld, default is
Enterprise mode, daarvoor heb je Active Directory nodig als ik het goed
begrijp. En hem een hostname gegeven.

Ik was zo onhandig om eerst AMT en ME in te stellen en toen het bios te
upgraden. Doe dat niet, bij mij duurde booten tot grub opeens 20
minuten. Pas nadat ik de CMOS batterij enige tijd had verwijderd deed
hij het weer normaal. Die CMOS batterij zat diep verstopt in de laptop.

Maar goed, uiteindelijk zag ik in de DHCP server dat hij een IP nummer
had gekregen. De beste resultaten had ik in grub. Als je op het pijltje
naar beneden klikt blijft hij in grub en boot niet verder. Ik kon ook
pingen, al is dat wel uit te zetten, en wellicht staat het op sommige
apparaten default uit.

Ik kon toen connecten via een browser via: http://192.168.0.37:16992 en
ik kreeg een keurig webinterface. Via dat webinterface kon ik wifi
configureren, dat kon niet via het bios. Daarna kon ik ook via wifi
binnenkomen. Een andere poort die gebruikt wordt is 16993, voor https,
bij mij deed die het niet.

Na het booten van Debian kon ik bedraad niet meer binnenkomen, maar wel
draadloos. Misschien omdat dat komt omdat ik geen firmware geinstalleerd
heb voor de ingebouwde wifi, en er daardoor geen conflict optreed (ik
test op het moment een USB stick met open source firmware).

Dit is wat oudere apperatuur (Lenovo X200 met AMT versie 4.0.8-build
1139). Nieuwere versies kunnen ook VNC, en het zou ook moeten werken als
de computer werkt of helemaal uit staat.

Ik kon overigens niet binnenkomen toen de computer uit stond, maar dat
schijnt wel te kunnen (in elk geval bedraad), je kunt hem op die manier
ook aanzetten en je kunt een Linux command prompt krijgen als je dat
configureert in Linux (serial console). Maar wellicht kan het ook
anders, je kunt bij het geheugen en bij de disk begreep ik. AMT kan b.v.
ook inventariseren wat voor software er op een computer staat.

Het is aan de ene kant heel mooi voor beheer doeleinden lijkt me, het
werkt zelfs als je geheugen defect is en alles vastgelopen is. Ik heb
ook nog geen mooier tool gezien om bepaalde specs van hardware te kunnen
zien. Het verteld bijvoorbeeld dit over een geheugen module:
--------
Manufacturer 802C
Serial number 3A4662CA
Size 4096 MB
Speed 1066 MHz
Form factor SODIMM
Type Unknown
Type detail Synchronous
Asset tag 1047
Part number 16JSF51264HZ-1G4D1
-------

Aan de andere kant is het natuurlijk erg gevaarlijk qua security, je
hebt er helemaal geen grip op.

Ik heb de indruk dat het bij mij nog niet helemaal stabiel
functioneerde, maar nieuwere versies zijn wellicht beter.

Groet,
Paul.

https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm
http://www.intel.com/content/www/us/en/architecture-and-technology/intel-active-management-technology.html
http://en.wikipedia.org/wiki/Intel_Active_Management_Technology
http://en.wikipedia.org/wiki/Intel_AMT_versions
http://en.wikipedia.org/wiki/Intel_vPro
http://www.thomas-krenn.com/en/wiki/Intel_Active_Management_Technology

Module 1
Manufacturer 802C
Serial number 3A4662CA
Size 4096 MB
Speed 1066 MHz
Form factor SODIMM
Type Unknown
Type detail Synchronous
Asset tag 1047
Part number 16JSF51264HZ-1G4D1

--
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl

Reply to:

Prev by Date: Re: NFS homedirs en icoontjes op de desktop
Previous by thread: Re: Java 8
Index(es):
- Date
- Thread