Intel ME

[41D5K1N6]

Habt ihr euch schon mit der Intel ME (Management Engine) befasst?

Ich habe bisher die offizielle Version von Intel gelesen und dieses etwas populitisch aufgemachtes Video und diesen Vortrag angeguckt.
Was meint ihr dazu?

[Bwana Honolulu]

Schwierig. Aus Sicht eines IT-Admins sind viele der Funktionen, die da bereitgestellt werden, absolut wichtig und sinnvoll (sowohl im privaten wie auch im Geschäftsumfeld), aber Undurchsichtigkeit und Sicherheitslücken - und das bei einem System mit den allerhöchsten Privilegien/Rechten in einem Computer - machen es extrem problematisch. Aber anscheinend gibt es derzeit keinen Weg drumherum, denn auch AMD hat so etwas (AMD PSP), und vermutlich werden gewisse Stelle dort ebenso einen Generalschlüssel haben wie für die Intel ME...

[41D5K1N6]

OT: Gibt's auch einen Nicht-IT-Admin?

Naja, was mir da am meisten Sorge bereitet, ist die - anscheinende - Möglichkeit, die Engine auch bei abgeschaltetem Gerät benutzen zu können. Ich mein, wozu soll das gut sein, außer für Schabernack?
Und dazu dann noch das riesige Geficke die Engine zu entfernen, wenn man das eben so möchte. Und die Sache mit den Geheimdiensten.....

[Bwana Honolulu]

OT: Gibt's auch einen Nicht-IT-Admin?

Ja. Und es gibt halt im Leute, die machen das als Job und betreuen nicht einen oder fünf, sondern 50, 100, oder 10.000 Rechner, und zum Teil auch ganz andere Kaliber als das, was man normalerweise so zuhause hat, Business-Workstations, Server und so.

Naja, was mir da am meisten Sorge bereitet, ist die - anscheinende - Möglichkeit, die Engine auch bei abgeschaltetem Gerät benutzen zu können. Ich mein, wozu soll das gut sein, außer für Schabernack?

Versuch' mal, spontan wichtiges Updates außerhalb der Arbeitszeit auf Geräten einzuspielen, die von ihren Usern heruntergefahren wurden. Oder wenn der Hausmeister an 'nem Standort im Nirgendwo den einzigen Server ausgeschaltet hat, und du traust niemandem am Standort zu, dieses Ding einzuschalten, ohne fünf andere Katastrophen auszulösen, aber du selbst würdest fünf Stunden (oder fünf Tage) für den Hin- und Rückweg brauchen. Dann brauchst du halt Möglichkeiten, abgeschaltete Rechner zu steuern. Sind jetzt relativ simple Fälle, aber durchaus aus der Praxis.

Und dazu dann noch das riesige Geficke die Engine zu entfernen, wenn man das eben so möchte.

"Riesiges Geficke" bis hin zur schieren Unmöglichkeit.

Und die Sache mit den Geheimdiensten.....

Ja, wie ich sagte, "gewisse Stellen".

[41D5K1N6]

Naja, was mir da am meisten Sorge bereitet, ist die - anscheinende - Möglichkeit, die Engine auch bei abgeschaltetem Gerät benutzen zu können. Ich mein, wozu soll das gut sein, außer für Schabernack?

Versuch' mal, spontan wichtiges Updates außerhalb der Arbeitszeit auf Geräten einzuspielen, die von ihren Usern heruntergefahren wurden. Oder wenn der Hausmeister an 'nem Standort im Nirgendwo den einzigen Server ausgeschaltet hat, und du traust niemandem am Standort zu, dieses Ding einzuschalten, ohne fünf andere Katastrophen auszulösen, aber du selbst würdest fünf Stunden (oder fünf Tage) für den Hin- und Rückweg brauchen. Dann brauchst du halt Möglichkeiten, abgeschaltete Rechner zu steuern. Sind jetzt relativ simple Fälle, aber durchaus aus der Praxis.

Das ist ja auch nur ne Abwägung zwischen Bequemlichkeit und Sicherheit, weil wenn der Admin Updates aufspielen kann, kann das doch auch jeder beliebige Otto mit Fachwissen. Finde das sehr gruselig

Und dazu dann noch das riesige Geficke die Engine zu entfernen, wenn man das eben so möchte.

"Riesiges Geficke" bis hin zur schieren Unmöglichkeit.

Also der CCC und so haben auch schon n Haufen Vorträge und Artikel zu dem Thema veröffentlicht, konnte mir leider noch nicht alle anschauen....

[Bwana Honolulu]

Naja, was mir da am meisten Sorge bereitet, ist die - anscheinende - Möglichkeit, die Engine auch bei abgeschaltetem Gerät benutzen zu können. Ich mein, wozu soll das gut sein, außer für Schabernack?

Versuch' mal, spontan wichtiges Updates außerhalb der Arbeitszeit auf Geräten einzuspielen, die von ihren Usern heruntergefahren wurden. Oder wenn der Hausmeister an 'nem Standort im Nirgendwo den einzigen Server ausgeschaltet hat, und du traust niemandem am Standort zu, dieses Ding einzuschalten, ohne fünf andere Katastrophen auszulösen, aber du selbst würdest fünf Stunden (oder fünf Tage) für den Hin- und Rückweg brauchen. Dann brauchst du halt Möglichkeiten, abgeschaltete Rechner zu steuern. Sind jetzt relativ simple Fälle, aber durchaus aus der Praxis.

Das ist ja auch nur ne Abwägung zwischen Bequemlichkeit und Sicherheit, weil wenn der Admin Updates aufspielen kann, kann das doch auch jeder beliebige Otto mit Fachwissen. Finde das sehr gruselig

Nee. Du kannst nicht "jdem beliebigen Otto mit Fachwissen" einfach Rechte für so was geben. Weder technisch noch praktisch. Ich spreche aus Erfahrung.
Und mit "Bequemlichkeit" hat so was nichts zu tun, sondern einfach mit Möglichkeiten und Anforderungen, die man so hat. Auch da spreche ich aus Erfahrung, Turnschuhsupport vor Ort habe ich halt auch schon gemacht, und in manchen Fällen skaliert das halt nicht. Da müsstest du ohne funktionierende Fernwartung und Automatisierung für bestimmte Aufgaben (Updates, Rollouts, Migrationen...) einfach mal kurzfristig die Größe deiner IT-Abteilung verdoppeln bis verzehnfachen, diesen Haufen Leute organisieren und anlernen, und dann nach Durchführung einer Aufgabe von manchmal ein bis zwei Wochen, manchmal auch nur einem Tag, alle wieder zu entlassen, weil du sie nicht mehr brauchst. Und das Einrichten und Organisieren einer vernünftigen Fernwartungsstruktur ist halt auch kein Kinderspiel.
Du unterschätzt da so'n bißchen das professionelle IT-Umfeld. Ist aber normal.
Ich geb' dir aber Recht, daß so umfangreiche Funktionen halt 1. nichts auf jedem Feld-, Wald- und Wiesenrechner benötigt werden und deshalb und überhaupt generell 2. nachhaltig und restlos abschaltbar sein sollten.

Und dazu dann noch das riesige Geficke die Engine zu entfernen, wenn man das eben so möchte.

"Riesiges Geficke" bis hin zur schieren Unmöglichkeit.

Also der CCC und so haben auch schon n Haufen Vorträge und Artikel zu dem Thema veröffentlicht, konnte mir leider noch nicht alle anschauen....

Ich auch nicht.

[41D5K1N6]

Naja, was mir da am meisten Sorge bereitet, ist die - anscheinende - Möglichkeit, die Engine auch bei abgeschaltetem Gerät benutzen zu können. Ich mein, wozu soll das gut sein, außer für Schabernack?

Versuch' mal, spontan wichtiges Updates außerhalb der Arbeitszeit auf Geräten einzuspielen, die von ihren Usern heruntergefahren wurden. Oder wenn der Hausmeister an 'nem Standort im Nirgendwo den einzigen Server ausgeschaltet hat, und du traust niemandem am Standort zu, dieses Ding einzuschalten, ohne fünf andere Katastrophen auszulösen, aber du selbst würdest fünf Stunden (oder fünf Tage) für den Hin- und Rückweg brauchen. Dann brauchst du halt Möglichkeiten, abgeschaltete Rechner zu steuern. Sind jetzt relativ simple Fälle, aber durchaus aus der Praxis.

Das ist ja auch nur ne Abwägung zwischen Bequemlichkeit und Sicherheit, weil wenn der Admin Updates aufspielen kann, kann das doch auch jeder beliebige Otto mit Fachwissen. Finde das sehr gruselig

Nee. Du kannst nicht "jdem beliebigen Otto mit Fachwissen" einfach Rechte für so was geben. Weder technisch noch praktisch. Ich spreche aus Erfahrung.

Nicht, dass ich dem Otto Rechte geben würde, aber dass sich Otto die Rechte einfach durch Hintertürchen nehmen kann, dachte ich?

Und mit "Bequemlichkeit" hat so was nichts zu tun, sondern einfach mit Möglichkeiten und Anforderungen, die man so hat. Auch da spreche ich aus Erfahrung, Turnschuhsupport vor Ort habe ich halt auch schon gemacht, und in manchen Fällen skaliert das halt nicht. Da müsstest du ohne funktionierende Fernwartung und Automatisierung für bestimmte Aufgaben (Updates, Rollouts, Migrationen...) einfach mal kurzfristig die Größe deiner IT-Abteilung verdoppeln bis verzehnfachen, diesen Haufen Leute organisieren und anlernen, und dann nach Durchführung einer Aufgabe von manchmal ein bis zwei Wochen, manchmal auch nur einem Tag, alle wieder zu entlassen, weil du sie nicht mehr brauchst. Und das Einrichten und Organisieren einer vernünftigen Fernwartungsstruktur ist halt auch kein Kinderspiel.
Du unterschätzt da so'n bißchen das professionelle IT-Umfeld. Ist aber normal.
Ich geb' dir aber Recht, daß so umfangreiche Funktionen halt 1. nichts auf jedem Feld-, Wald- und Wiesenrechner benötigt werden und deshalb und überhaupt generell 2. nachhaltig und restlos abschaltbar sein sollten.

Ähmm.... Was ist Turnschuhsupport?

Ich hab' auch gelesen, dass es in der Intel ME verschiedene "Stufen" gibt, so "green", "yellow", "orange" und "red", wobei "red" die maximale Autorisierungsation durch einen Intel-Ingenieur ist.
Ich denke mal, dass auch bei so Fernwart-Gedönsen der Admin höchstens auf der "yellow"-Stufe agieren kann.
Die Frage ist auch, wie wie die Leute (ob jetzt ein Admin zur Fernwartung, ein Intel Ingenieur oder ein 1337-h4xx0r-Kiddie) auf die ME zugreifen kann. Für Fernwartung müssen da ja doch zunächst einmal bestimmte Ports auf dem zu "wartenden" Endgerät geöffnet sein. Oder kann man die einfach über das Stromnetz ansteuern?

[Bwana Honolulu]

Nicht, dass ich dem Otto Rechte geben würde, aber dass sich Otto die Rechte einfach durch Hintertürchen nehmen kann, dachte ich?

Ach so. Ja, nein, vielleicht. Wenn es da ein Hintertürchen gibt, zu dem auch jeder Otto Zugang hat, dann klar. Kann aber auch sein, daß wir da in irgendwelchen abgefahreneren Gefilden sind.

Ähmm.... Was ist Turnschuhsupport?

Support beim Anwendervor Ort, vornehmlich zu Fuß.

Ich hab' auch gelesen, dass es in der Intel ME verschiedene "Stufen" gibt, so "green", "yellow", "orange" und "red", wobei "red" die maximale Autorisierungsation durch einen Intel-Ingenieur ist.
Ich denke mal, dass auch bei so Fernwart-Gedönsen der Admin höchstens auf der "yellow"-Stufe agieren kann.

Keine Ahnung.

IDie Frage ist auch, wie wie die Leute (ob jetzt ein Admin zur Fernwartung, ein Intel Ingenieur oder ein 1337-h4xx0r-Kiddie) auf die ME zugreifen kann. Für Fernwartung müssen da ja doch zunächst einmal bestimmte Ports auf dem zu "wartenden" Endgerät geöffnet sein. Oder kann man die einfach über das Stromnetz ansteuern?

Stromnetz? Nein. Ports öffnen? Naja, kommt drauf an. Also, entweder sind die Ports im Betriebssystem gesperrt, aber da die Management Engine "unter" dem Betriebssystem sitzt, ist ihr egal, was das Betriebssystem blockt. Oder die Ports sind in 'ner externen Firewall, also 'nen Router etc., gesperrt, dann ist das aber halt nicht auf dem Rechner selbst. Und auch da gibt's manchmal Möglichkeiten, drumherumzukommen. Ist aber 'n langes Thema.

[41D5K1N6]

Nicht, dass ich dem Otto Rechte geben würde, aber dass sich Otto die Rechte einfach durch Hintertürchen nehmen kann, dachte ich?

Ach so. Ja, nein, vielleicht. Wenn es da ein Hintertürchen gibt, zu dem auch jeder Otto Zugang hat, dann klar. Kann aber auch sein, daß wir da in irgendwelchen abgefahreneren Gefilden sind.

Hä, ich dachte, um abgefahrene Gefilden geht's hier?

IDie Frage ist auch, wie wie die Leute (ob jetzt ein Admin zur Fernwartung, ein Intel Ingenieur oder ein 1337-h4xx0r-Kiddie) auf die ME zugreifen kann. Für Fernwartung müssen da ja doch zunächst einmal bestimmte Ports auf dem zu "wartenden" Endgerät geöffnet sein. Oder kann man die einfach über das Stromnetz ansteuern?

Stromnetz? Nein. Ports öffnen? Naja, kommt drauf an. Also, entweder sind die Ports im Betriebssystem gesperrt, aber da die Management Engine "unter" dem Betriebssystem sitzt, ist ihr egal, was das Betriebssystem blockt. Oder die Ports sind in 'ner externen Firewall, also 'nen Router etc., gesperrt, dann ist das aber halt nicht auf dem Rechner selbst. Und auch da gibt's manchmal Möglichkeiten, drumherumzukommen. Ist aber 'n langes Thema.

Aber auch interessant.... Damit wäre einem ja Datenschutztechnisch ja auch fast geholfen, wenn man anstatt der ME selbst einfach nur den Zugang dazu blockieren könnte. Klar, das hilft nicht, wenn der Bösewicht physikalischen Zugang zu meinem Gerät hat, aber darüber hat man ja sogesehen die meiste Kontrolle