Un team di sicurezza ha dimostrato che l'IME presente sulle ultime CPU Intel può essere violato attraverso un exploit eseguibile via USB
di Nino Grasso pubblicata il 10 Novembre 2017, alle 13:01 nel canale Sicurezza
Tesla è davvero penalizzata dal rapporto tra Musk e Trump? I dati ora lo dimostrano
Presto potremmo vedere una Renault su piattaforma Geely, ma (forse) non in Europa
MacBook economico all'orizzonte? Si, grazie al SoC di iPhone
Kempower lancia CableGuard, il sistema antifurto hi-tech per cavi di ricarica EV che identifica i ladri
Il governo cinese blocca l'estrazione di litio di CATL: deve arrestare la sovra produzione
Gli agenti di IA animano i robot: NVIDIA aggiorna i modelli di ragionamento Nemotron e Cosmos
iPhone 17 Air con chip "selezionati", ma meno potenti delle versioni Pro
Sbloccati fondi per 5 miliardi per le colonnine EV: l'amministrazione Trump si arrende dopo la sentenza
Crescono le vendite di tablet, grazie anche ai Chromebook
Caos su X: Grok sospeso e poi riattivato dopo aver accusato Israele di genocidio
ECOVACS DEEBOT X8 OMNI con aspirazione 18.000Pa e lavaggio a 75°C in super offerta a 799€: pulizia totale e zero manutenzione
Motorola Edge 60 con fotocamera da 50MP in super offerta: prestazioni top e ricarica ultraveloce a 251€
ARCTIC Xtender: il case con vetro panoramico e raffreddamento estremo arriva in sei versioni
Medion Germania rilascia coupon folli sui TV e possiamo comprarli anche noi: 99€ per un 32", 43" 4K 199€ e non solo
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64...
Recensione OnePlus Watch 3 43mm: lo smartwatch che mancava per i polsi più piccoli
OnePlus risponde alle esigenze di chi cerca un dispositivo indossabile dalle dimensioni contenute con OnePlus Watch 3 43mm. La versione ridotta del flagship mantiene...
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento....
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido
Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Roborock Saros Z70: un braccio meccanico per fare ordine in casa
Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...
Membro della European Hardware Association
Recensione OnePlus Watch 3 43mm: lo smartwatch che mancava per i polsi più piccoli
BOOX Note Air4 C è uno spettacolo: il tablet E Ink con Android per lettura e scrittura
Recensione Sony Xperia 1 VII: lo smartphone per gli appassionati di fotografia
25 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infohttps://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it
No, ME e' un piccolo "processore" che fa girare MINIX (spogliato di alcune features), un web server e chissa' che altro.
Forse perché "sapere" e dimostrare sono due cose completamente diverse?
La "security through obscurity" ha innegabilmente i suoi vantaggi rispetto a soluzioni aperte che consentono ai malintenzionati di trovare di gran lunga più velocemente falle da sfruttare.
Fallo senza i sorgenti, e poi mi dici quanto ci metti a trovare falle a parità di risorse (umane) impegnate nello scovare falle 0 day su progetti di complessità similare.
Tra l'altro non siamo ancora arrivati alla criptazione hardware dei binari, che è la prossima frontiera, e che sarà molto, ma molto più difficile da scardinare.
Fino ad oggi ha mai aiutato? Esempio banale. Denuvo e soci sfruttano la security through obscurity. Risultato? Tutti bucati.
Soprattutto ai white hat. Tanto i black hat c'hanno risorse economiche e professionali a iosa. Da quando gli Stati sono scesi in campo, la situazione e' ulteriormente peggiorata.
Come fa notare EFF, gli unici a pagare il prezzo di questa scempiaggine sono i ricercatori di sicurezza ( e in cascata gli utenti ).
Eh appunto. L'amico che lavora per Kaspersky, McAfee, ecc... sudera' parecchio. La Russia, la Cina, gli USA ( a quelli i sorgenti di sicuro vengono mostrati ), ecc... hanno disponibilita' di risorse umane sufficienti.
E c'hanno gia' pure i computer quantistici. IBM dice di essere arrivata a 50 qubit. Non sara' che solo Joe Sixpack e' l'unico gonzo rimasto in citta'?
Cioe' una volta dovevamo preoccuparci dei servizi deviati che facevano comunella con la mafia per scaricare i rifiuti industriali. Adesso dobbiamo anche preoccuparci dei servizi che passano chiavi crittografiche ed informazioni utili alle mafie per scardinare i vari ME?
Ma la trasparenza e' utile solo per farsi belli nei talk show?
In realtà è nel chipset, non nella CPU
Prima che il MCH venisse integrato nel chippone del processore si. Ad oggi il processore propriamente chiamato ME si trova fisicamente nel chip che contiene la CPU.
AMD non ha mai nascosto la presenza di PSP (“Platform Security Processor”), anzi è stata ad un passo dal renderne pubblico il codice, cosa cui poi ha rinunciato, a suo dire per evitare che malintenzionati ne ricercassero eventuali punti deboli.
L'esempio su AMD non e' da considerare come tipologia di funzioni ma come codice chiuso all'interno della CPU.
L'articolo riguarda quello che è stato fatto da alcuni ricercatori, ovvero ottenere accesso al processore ME, che ovviamente significa poter mettere le mani pure sul software che ci gira sopra.
Probabilmente ho fatto confusione (sono tutt'altro che un esperto), ma stavo leggendo da questa pagina di Wikipedia.
Sul fatto che e' AMT a far parte di ME e non viceversa hai ragione
Riguardo alla possibilita' di disabilitarlo da BIOS, c'era la possibilita' di farlo come riportato qui. Sul pc che avevo io, era rimasto disabilitato.
Se fossero stati a codice aperto c'avrebbero impiegato pochi minuti.
Denuvo ha resistito per più di un anno da quando è stata introdotta, e per un gioco nuovo questo ha un ENORME valore, visto che le vendite si fanno all'inizio, quando il gioco viene immesso sul mercato.
Dunque sì: Denuvo è la dimostrazione che security through obscurity funziona.
Poi è ovvio che una volta trovato il modo di scardinarla, bisogna pensare a una nuova soluzione.
Come fa notare EFF, gli unici a pagare il prezzo di questa scempiaggine sono i ricercatori di sicurezza ( e in cascata gli utenti ).
Eh appunto. L'amico che lavora per Kaspersky, McAfee, ecc... sudera' parecchio. La Russia, la Cina, gli USA ( a quelli i sorgenti di sicuro vengono mostrati ), ecc... hanno disponibilita' di risorse umane sufficienti.
Stai cambiando discorso. Io ne ho fatto una questione puramente tecnica, ed è innegabile che avere a disposizione i sorgenti faciliti enormemente chi vuol trovare falle da sfruttare.
Rispondi a questa precisa domanda: appenderesti fuori dalla porta lo schema completo, sorgenti inclusi, del sistema d'allarme di casa tua?
E chi se ne frega. E' stato dimostrato matematicamente che la complessità di algoritmi come AES si riducono di un fattore radice quadrata se crackati con un computer quantistico.
Per cui se con un computer quantistico crackare una chiave AES a 128 bit diventa facile quanto crackarne una a 64 bit con un computer normale, allora sarà sufficiente raddoppiarne la lunghezza della chiave portandola a 256 bit per far tornare la difficoltà ai livelli di AES 128 per un computer normale.
Cioe' una volta dovevamo preoccuparci dei servizi deviati che facevano comunella con la mafia per scaricare i rifiuti industriali. Adesso dobbiamo anche preoccuparci dei servizi che passano chiavi crittografiche ed informazioni utili alle mafie per scardinare i vari ME?
Ma la trasparenza e' utile solo per farsi belli nei talk show?
Non capisco perché devi continuare a cambiare discorso.
Come dicevo, io ne ho fatto una questione puramente tecnica. Dei complottismi non m'interessa.
Ma comunque il risultato e' stato lo stesso. Nel caso di ME il risultato di un hack sarebbe tragico. Un po' come quando si confronta un incidente ad una centrale idroelettrica con uno ad una centrale nucleare. Nel primo caso muore qualcuno, nel secondo intere generazioni passeranno grossi guai.
E diciamo che per Denuvo e' valsa la pena. Ma ME non e' nella medesima condizione. Perche' non e' che se ti hackerano dopo un anno che hai comprato il processore, fa niente e siamo tutti contenti.
In parte ed in specifici contesti. E in un ristretto time frame.
E intanto i miliardi di utenti colpiti che fanno? Contano i danni? Pregano San Giuseppe?
Ma facilita soprattutto i buoni, i quali possono far emergere le vulnerabilita' e i bug piu' velocemente. Tanto la sicurezza e' una rincorsa gatto contro topo. Meglio che arrivi prima il gatto!
Probabilmente si, visto che tanto i ladri quegli schemi gia' li hanno.
Quindi non e' vera tutta quella manfrina dei computer quantistici che spazzano via la crittografia? Bene, almeno e' stato sfatato un mito.
Non cambio discorso. Molti di voi dimenticano ( fin troppo spesso ) che l'IT non e' piu' roba da nerd, ma ormai e' terreno di caccia per gentaglia senza scrupoli, con o senza bollino di Stato.
Considerare i dispositivi computerizzati come un mondo separato da quello delle spie, dei criminali, ecc... e' una leggerezza che puo' costare cara.
Sarebbero potuti essere definiti complottismi prima del Datagate. Ad oggi sappiamo che le agenzie d'intelligence sono fuori controllo e il loro operato e' per nulla trasparente e tutt'atro che altruistico.
Questa e' gente che sta nel giro per far soldi e acquisire potere. Ad esempio, un agente dei servizi ha rubato parte dei bitcoin sequestrati a Sik Road. Giusto per far capire il tipo di gente che gira da quelle parti...
Criminali col distintivo e noi gli stiamo dando le chiavi di casa.
No, è nel PCH
Link ad immagine (click per visualizzarla)
Link ad immagine (click per visualizzarla)
Che intendi? PCH sta per Platform Controller Hub, cioe' proprio dove nella figura e' posizionato il ME.
Che poi tutta quella roba li' e' stata portata nel chip del processore da un po' di anni.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".