Tutto quello che c'è da sapere su Intel vPro, lo scudo contro le minacce informatiche

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...che_99537.html

La piattaforma vPro di Intel non si limita a garantire il controllo remoto dei computer da parte dei team IT, ma offre una sicurezza a 360°, che si estende oltre il sistema operativo, garantendo protezione anche da ransomware e cryptominer. Ne parliamo con Paolo Canepa e Biagio Gurrieri di Intel

Click sul link per visualizzare la notizia.

[LMCH]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

La piattaforma vPro di Intel non si limita a garantire il controllo remoto dei computer da parte dei team IT, ma offre una sicurezza a 360°, che si estende oltre il sistema operativo, garantendo protezione anche da ransomware e cryptominer.

VPro è un insieme di funzionalità che si traducono in pratica in rootkit con supporto hardware che si spera non contenga exploit e che venga utilizzato in modo corretto, perché in caso contrario sono caXXi amari.

Mi sa che i soliti noti sono già al lavoro per sfruttare la cosa (e potrebbe anche essere che abbiano già i tool per farlo).

Di questo passo mi sa che è il caso che i vari governi inizino ad investire su infrastrutture nazionali capaci di fornire cpu e computer completi "sicuri" almeno per le infrastrutture critiche.

[raxas]

Quote:

Originariamente inviato da LMCH

VPro è un insieme di funzionalità che si traducono in pratica in rootkit con supporto hardware che si spera non contenga exploit e che venga utilizzato in modo corretto, perché in caso contrario sono caXXi amari.

...

detta così sembra una funzionalità quasi che faccia ingresso a caso...
invece è funzionalità della cpu,
il mio Xeon E3 1245 v2 ad esempio ce l'ha
ma deve averlo anche la scheda madre e pure il bios (posto che ce ne siano versioni di una mb che non lo hanno già da prima)
penso comunque che la mb non debba essere entry level, per avere il vPro, attivabile

immagino comunque che abbia un pò da fare la cpu con questa funzionalità attiva
ma se serve a proteggersi, non so bene quanto, e da non so che cosa, allora è tutto grasso che scorre senza intoppi...
MA penso anche il sistema (de)pauperativo debba sostenerne la funzione

[LMCH]

Quote:

Originariamente inviato da raxas

detta così sembra una funzionalità quasi che faccia ingresso a caso...
invece è funzionalità della cpu,
il mio Xeon E3 1245 v2 ad esempio ce l'ha
ma deve averlo anche la scheda madre e pure il bios (posto che ce ne siano versioni di una mb che non lo hanno già da prima)
penso comunque che la mb non debba essere entry level, per avere il vPro, attivabile

immagino comunque che abbia un pò da fare la cpu con questa funzionalità attiva
ma se serve a proteggersi, non so bene quanto, e da non so che cosa, allora è tutto grasso che scorre senza intoppi...
MA penso anche il sistema (de)pauperativo debba sostenerne la funzione

VPro è solo il nome che a livello di marketing viene dato al "pacchetto completo" tra funzionalità legate alla sola cpu ed altre che richiedono supporto sulla scheda madre e sul firmware.
Per questo ho scritto che affinché VPro sia sicuro serve il controllo completo della produzione della cpu, della scheda madre e del firmware.
In caso contrario hai potenzialmente un altra superficie di attacco che semplifica l'installazione di rootkit che sfruttano una o più varie funzionalità VPro a proprio vantagggio per occultarsi ed eventualmente impedire la penetrazione di rootkit di altri (cosa che già avviene anche senza VPro "completo").

[raxas]

Quote:

Originariamente inviato da LMCH

VPro è solo il nome che a livello di marketing viene dato al "pacchetto completo" tra funzionalità legate alla sola cpu ed altre che richiedono supporto sulla scheda madre e sul firmware.
Per questo ho scritto che affinché VPro sia sicuro serve il controllo completo della produzione della cpu, della scheda madre e del firmware.
In caso contrario hai potenzialmente un altra superficie di attacco che semplifica l'installazione di rootkit che sfruttano una o più varie funzionalità VPro a proprio vantagggio per occultarsi ed eventualmente impedire la penetrazione di rootkit di altri (cosa che già avviene anche senza VPro "completo").

bè... per "controllo completo della produzione della cpu, della scheda madre e del firmware."
cosa intendi?
perchè immagino che ci sia poco o NIENTE di cui stare dubbiosi sulla "produzione della cpu, scheda madre e firmware =bios?"
anche pur trattandosi di componenti parecchio specialistiche non mi immagino un "debug" che possa fare chiunque...
non immagino che uno possa andare nelle fab e farsi dare in controluce la maschera dei transistors per controllare a occhio se c'è qualcosa che non va in qualche cpu prodotta
e magari abbiamo sistemi dove sono più i buchi che le pezze e non lo sa ancora nessuno

ma vorrei aggirare la domanda ponendo la questione:

questo vPro esiste e funziona come è nelle specifiche?
e non parlo di macchine industriali o aziendali... ma un utente privato può verificare tutto nel suo pc e avere la certezza di avere il sistema blindato e a prova di tutto (non saprei davvero come)?

col vPro attivato gli spectre&affini farebbero danno? (magari evitando di mettere patch dannose al microcode)

[LMCH]

Quote:

Originariamente inviato da raxas

ma vorrei aggirare la domanda ponendo la questione:

questo vPro esiste e funziona come è nelle specifiche?
e non parlo di macchine industriali o aziendali... ma un utente privato può verificare tutto nel suo pc e avere la certezza di avere il sistema blindato e a prova di tutto (non saprei davvero come)?

col vPro attivato gli spectre&affini farebbero danno? (magari evitando di mettere patch dannose al microcode)

Il VPro non protegge da spectre e affini, una delle funzionalità che Intel presenta come parte di VPro (la CET) torna utile ad un antivirus "con supporto VPro) per mitigare i rischi legati ad exploit basati su stack smashing ed heap smashing, inoltre le altre funzionalità di VPro rendono possibile fare una validazione di firmware e file del S.O. che bypassa il S.O. (ed eventuali malware che si sono annidati a livello di S.O.).

Ma il grosso dei vantaggi di VPro riguardano la possibilità per un amministratore di sistema di entrare in qualsiasi momento in un pc aziendale (in azienda o connesso via internet), bypassare il S.O., verificare che il sistema sia integro ed eventualmente modificare file e firmware per eliminare malware, piallare un pc rubato, installare software di vario tipo in modo invisibile o quasi a chi sta usando quel pc ecc.ecc.
Queste ultime cose tornano utili in un azienda, o magari ad un venditore che ti fornisce un pacchetto di assistenza da remoto, ma a meno che tu non abbia un computer "di lavoro" ed un secondo computer "di amministrazione" non penso sia utile ad un singolo utente.

[raxas]

Quote:

Originariamente inviato da LMCH

Il VPro non protegge da spectre e affini, una delle funzionalità che Intel presenta come parte di VPro (la CET) torna utile ad un antivirus "con supporto VPro) per mitigare i rischi legati ad exploit basati su stack smashing ed heap smashing, inoltre le altre funzionalità di VPro rendono possibile fare una validazione di firmware e file del S.O. che bypassa il S.O. (ed eventuali malware che si sono annidati a livello di S.O.).

Ma il grosso dei vantaggi di VPro riguardano la possibilità per un amministratore di sistema di entrare in qualsiasi momento in un pc aziendale (in azienda o connesso via internet), bypassare il S.O., verificare che il sistema sia integro ed eventualmente modificare file e firmware per eliminare malware, piallare un pc rubato, installare software di vario tipo in modo invisibile o quasi a chi sta usando quel pc ecc.ecc.
Queste ultime cose tornano utili in un azienda, o magari ad un venditore che ti fornisce un pacchetto di assistenza da remoto, ma a meno che tu non abbia un computer "di lavoro" ed un secondo computer "di amministrazione" non penso sia utile ad un singolo utente.

ok... grazie per le informazioni;
comunque noto che non sono poche le funzionalità negli Xeon, va bè che sono radicalmente cpu da azienda/server/"rete", di cui un utente singolo non se ne possa fare niente...