Un team di sicurezza ha dimostrato che l'IME presente sulle ultime CPU Intel può essere violato attraverso un exploit eseguibile via USB
di Nino Grasso pubblicata il 10 Novembre 2017, alle 13:01 nel canale Sicurezza
GeForce RTX 50 SUPER cancellate o rimandate? La verità (forse) è una: nessuno sa nulla
Windows 11 si prepara a vibrare: Microsoft ruba il feedback aptico a iPhone e Android
La “Burnout Season” colpisce l’Italia: iniziano i 36 giorni più stressanti dell'anno. Ecco dati secondo OnePlus
QNAP annuncia il JBOD TL-R6020Sep-RP: oltre 1 PB di spazio in appena 4U
Siemens e NVIDIA uniscono le forze: arriva una nuova piattaforma per il metaverso industriale
Ricarica veloce e durata batteria: miti sfatati da due anni di test
Le "navi volanti" di Candela anche alle Maldive: presto in servizio 10 aliscafi P-12
Bambini su misura? Il caso della startup Preventive - che piace ai miliardari della Silicon Valley
Iliad porta le SIM Express in edicola: rivoluzione nella distribuzione mobile
Offerte Amazon sui TV Mini LED Hisense 2025: 50'' a 349€ e l'imponente 85” a poco più di 1.000€
Il silenzio digitale che fa male: come il ghosting trasforma le relazioni online e mina la fiducia
Il responsabile del programma Cybertruck lascia Tesla, ma è sua la colpa del flop?
Domanda alle stelle per SSD e RAM: in Giappone li razionano come il pane in tempo di guerra
Zuckerberg vuole eliminare tutte le malattie: ecco come l'IA di Biohub può riuscirci
KTC H27E6 a 300Hz e 1ms: come i rivali ma a metà prezzo
KTC lancia il nuovo monitor gaming H27E6, un modello da 27 pollici che promette prestazioni estreme grazie al pannello Fast IPS con risoluzione 2K QHD (2560x1440)....
Recensione Pura 80 Pro: HUAWEI torna a stupire con foto spettacolari e ricarica superveloce
Abbiamo provato il nuovo HUAWEI Pura 80 Pro. Parliamo di uno smartphone che è un vero capolavoro di fotografia mobile, grazie ad un comparto completo in tutto e...
Recensione Borderlands 4, tra divertimento e problemi tecnici
Gearbox Software rilancia la saga con Borderlands 4, ora disponibile su PS5, Xbox Series X|S e PC. Tra le novità spiccano nuove abilità di movimento, un pianeta...
DJI Osmo Nano: la piccola fotocamera alla prova sul campo
La nuova fotocamera compatta DJI spicca per l'abbinamento ideale tra le dimensioni ridotte e la qualità d'immagine. Può essere installata in punti di ripresa difficilmente...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
Cineca inaugura Pitagora, il supercomputer Lenovo per la ricerca sulla fusione nucleare
Realizzato da Lenovo e installato presso il Cineca di Casalecchio di Reno, Pitagora offre circa 44 PFlop/s di potenza di calcolo ed è dedicato alla simulazione della...
Renault Twingo E-Tech Electric: che prezzo!
Renault annuncia la nuova vettura compatta del segmento A, che strizza l'occhio alla tradizione del modello abbinandovi una motorizzazione completamente elettrica...
Mova Z60 Ultra Roller Complete: pulisce bene grazie anche all'IA
Rullo di lavaggio dei pavimenti abbinato a un potente motore da 28.000 Pa e a bracci esterni che si estendono: queste, e molte altre, le caratteristiche tecniche...
Membro della European Hardware Association
KTC H27E6 a 300Hz e 1ms: come i rivali ma a metà prezzo
Cineca inaugura Pitagora, il supercomputer Lenovo per la ricerca sulla fusione nucleare
Mova Z60 Ultra Roller Complete: pulisce bene grazie anche all'IA
25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infohttps://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it
No, ME e' un piccolo "processore" che fa girare MINIX (spogliato di alcune features), un web server e chissa' che altro.
Forse perché "sapere" e dimostrare sono due cose completamente diverse?
La "security through obscurity" ha innegabilmente i suoi vantaggi rispetto a soluzioni aperte che consentono ai malintenzionati di trovare di gran lunga più velocemente falle da sfruttare.
Fallo senza i sorgenti, e poi mi dici quanto ci metti a trovare falle a parità di risorse (umane) impegnate nello scovare falle 0 day su progetti di complessità similare.
Tra l'altro non siamo ancora arrivati alla criptazione hardware dei binari, che è la prossima frontiera, e che sarà molto, ma molto più difficile da scardinare.
Fino ad oggi ha mai aiutato? Esempio banale. Denuvo e soci sfruttano la security through obscurity. Risultato? Tutti bucati.
Soprattutto ai white hat. Tanto i black hat c'hanno risorse economiche e professionali a iosa. Da quando gli Stati sono scesi in campo, la situazione e' ulteriormente peggiorata.
Come fa notare EFF, gli unici a pagare il prezzo di questa scempiaggine sono i ricercatori di sicurezza ( e in cascata gli utenti ).
Eh appunto. L'amico che lavora per Kaspersky, McAfee, ecc... sudera' parecchio. La Russia, la Cina, gli USA ( a quelli i sorgenti di sicuro vengono mostrati ), ecc... hanno disponibilita' di risorse umane sufficienti.
E c'hanno gia' pure i computer quantistici. IBM dice di essere arrivata a 50 qubit. Non sara' che solo Joe Sixpack e' l'unico gonzo rimasto in citta'?
Cioe' una volta dovevamo preoccuparci dei servizi deviati che facevano comunella con la mafia per scaricare i rifiuti industriali. Adesso dobbiamo anche preoccuparci dei servizi che passano chiavi crittografiche ed informazioni utili alle mafie per scardinare i vari ME?
Ma la trasparenza e' utile solo per farsi belli nei talk show?
In realtà è nel chipset, non nella CPU
Prima che il MCH venisse integrato nel chippone del processore si. Ad oggi il processore propriamente chiamato ME si trova fisicamente nel chip che contiene la CPU.
AMD non ha mai nascosto la presenza di PSP (“Platform Security Processor”), anzi è stata ad un passo dal renderne pubblico il codice, cosa cui poi ha rinunciato, a suo dire per evitare che malintenzionati ne ricercassero eventuali punti deboli.
L'esempio su AMD non e' da considerare come tipologia di funzioni ma come codice chiuso all'interno della CPU.
L'articolo riguarda quello che è stato fatto da alcuni ricercatori, ovvero ottenere accesso al processore ME, che ovviamente significa poter mettere le mani pure sul software che ci gira sopra.
Probabilmente ho fatto confusione (sono tutt'altro che un esperto), ma stavo leggendo da questa pagina di Wikipedia.
Sul fatto che e' AMT a far parte di ME e non viceversa hai ragione
Riguardo alla possibilita' di disabilitarlo da BIOS, c'era la possibilita' di farlo come riportato qui. Sul pc che avevo io, era rimasto disabilitato.
Se fossero stati a codice aperto c'avrebbero impiegato pochi minuti.
Denuvo ha resistito per più di un anno da quando è stata introdotta, e per un gioco nuovo questo ha un ENORME valore, visto che le vendite si fanno all'inizio, quando il gioco viene immesso sul mercato.
Dunque sì: Denuvo è la dimostrazione che security through obscurity funziona.
Poi è ovvio che una volta trovato il modo di scardinarla, bisogna pensare a una nuova soluzione.
Come fa notare EFF, gli unici a pagare il prezzo di questa scempiaggine sono i ricercatori di sicurezza ( e in cascata gli utenti ).
Eh appunto. L'amico che lavora per Kaspersky, McAfee, ecc... sudera' parecchio. La Russia, la Cina, gli USA ( a quelli i sorgenti di sicuro vengono mostrati ), ecc... hanno disponibilita' di risorse umane sufficienti.
Stai cambiando discorso. Io ne ho fatto una questione puramente tecnica, ed è innegabile che avere a disposizione i sorgenti faciliti enormemente chi vuol trovare falle da sfruttare.
Rispondi a questa precisa domanda: appenderesti fuori dalla porta lo schema completo, sorgenti inclusi, del sistema d'allarme di casa tua?
E chi se ne frega. E' stato dimostrato matematicamente che la complessità di algoritmi come AES si riducono di un fattore radice quadrata se crackati con un computer quantistico.
Per cui se con un computer quantistico crackare una chiave AES a 128 bit diventa facile quanto crackarne una a 64 bit con un computer normale, allora sarà sufficiente raddoppiarne la lunghezza della chiave portandola a 256 bit per far tornare la difficoltà ai livelli di AES 128 per un computer normale.
Cioe' una volta dovevamo preoccuparci dei servizi deviati che facevano comunella con la mafia per scaricare i rifiuti industriali. Adesso dobbiamo anche preoccuparci dei servizi che passano chiavi crittografiche ed informazioni utili alle mafie per scardinare i vari ME?
Ma la trasparenza e' utile solo per farsi belli nei talk show?
Non capisco perché devi continuare a cambiare discorso.
Come dicevo, io ne ho fatto una questione puramente tecnica. Dei complottismi non m'interessa.
Ma comunque il risultato e' stato lo stesso. Nel caso di ME il risultato di un hack sarebbe tragico. Un po' come quando si confronta un incidente ad una centrale idroelettrica con uno ad una centrale nucleare. Nel primo caso muore qualcuno, nel secondo intere generazioni passeranno grossi guai.
E diciamo che per Denuvo e' valsa la pena. Ma ME non e' nella medesima condizione. Perche' non e' che se ti hackerano dopo un anno che hai comprato il processore, fa niente e siamo tutti contenti.
In parte ed in specifici contesti. E in un ristretto time frame.
E intanto i miliardi di utenti colpiti che fanno? Contano i danni? Pregano San Giuseppe?
Ma facilita soprattutto i buoni, i quali possono far emergere le vulnerabilita' e i bug piu' velocemente. Tanto la sicurezza e' una rincorsa gatto contro topo. Meglio che arrivi prima il gatto!
Probabilmente si, visto che tanto i ladri quegli schemi gia' li hanno.
Quindi non e' vera tutta quella manfrina dei computer quantistici che spazzano via la crittografia? Bene, almeno e' stato sfatato un mito.
Non cambio discorso. Molti di voi dimenticano ( fin troppo spesso ) che l'IT non e' piu' roba da nerd, ma ormai e' terreno di caccia per gentaglia senza scrupoli, con o senza bollino di Stato.
Considerare i dispositivi computerizzati come un mondo separato da quello delle spie, dei criminali, ecc... e' una leggerezza che puo' costare cara.
Sarebbero potuti essere definiti complottismi prima del Datagate. Ad oggi sappiamo che le agenzie d'intelligence sono fuori controllo e il loro operato e' per nulla trasparente e tutt'atro che altruistico.
Questa e' gente che sta nel giro per far soldi e acquisire potere. Ad esempio, un agente dei servizi ha rubato parte dei bitcoin sequestrati a Sik Road. Giusto per far capire il tipo di gente che gira da quelle parti...
Criminali col distintivo e noi gli stiamo dando le chiavi di casa.
No, è nel PCH
Link ad immagine (click per visualizzarla)
Link ad immagine (click per visualizzarla)
Che intendi? PCH sta per Platform Controller Hub, cioe' proprio dove nella figura e' posizionato il ME.
Che poi tutta quella roba li' e' stata portata nel chip del processore da un po' di anni.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".