Slide #1 image
Slide #2 image
Slide #3 image

BSI, Intel und AMT


Ein neuer, alter Hut?!

Bei der it-sa 2015 haben wir am BSI Stand nachgefragt, warum das BSI erst jetzt eine Warnung in Bezug auf AMT veröffentlicht hat. Leider bekamen wir nur sehr fragwürdige bzw. keine Antworten und möchten uns hier zu dem Sachverhalt äußern.

Ein kurzer Hintergrund...
Das BSI hat am 28.08.15 eine öffentliche Warnung herausgegeben, welche die Fernwartungstechnik AMT von Intel betrifft.
Um das Problem kurz zu beschreiben, müssen Sie wissen, dass diese Möglichkeit der Fernwartung dem Remote-Desktop von Windows entspricht. Somit ist, wie gewohnt, eine komplette Steuerung Ihres eigenen PC durch einen Angreifer möglich.
Das brisante an der Sache ist hier jedoch, dass Sie auch hier wieder einmal nicht wissen, dass diese Funktion überhaupt vorhanden ist.
Dazu kommt noch, dass alles durch den Chipsatz und die CPU auf höchster Ebene mit evtl. erweiterten Rechten und Priorität direkt verwaltet wird. Zusätzlich wird ab Windows 7 ein versteckter IPMIDRV als permanenter Dienst in jedem System eingebunden welcher höchstwahrscheinlich als Schnittstelle in diesem Zusammenhang genutzt werden kann. Also kein Wunder, wenn auch das BSI nun endlich die Gefahr erkannt hat, wobei wir selbst immer angenommen hatten, dass Sie davon bereits wissen. Doch weit gefehlt...

Um dem ganzen Bericht etwas mehr Klarheit zu verschaffen, gibt es diese Art der Fernwartung bei Intel bereits seit mindestens 2010 und nun ist es fast 2016!
Wir müssen hier selbst eingestehen, dass auch wir nicht jeden Tag alle neuen Spezifikationen bis ins Kleinste bei jeder neuen CPU prüfen, aber wir haben auch noch nicht die Ressourcen eines BSI, wo man solchen Informationen vielleicht noch mehr Beachtung schenken könnte, oder sollte.

Als wir am Stand vom BSI auf deren eigene Veröffentlichung Bezug nahmen, wusste der Herr, mit dem wir gesprochen hatten, leider noch nicht einmal, dass das BSI einen Bericht mit solch einer Warnung veröffentlicht haben soll. OK! Danke, dachten wir...
Eine weitere Nachfrage mit dem Bezug auf REALVNC, welche diese Technik bereits 2010 in Ihre Software implementiert hatten, brachte leider nur ein Achselzucken. Schade, wir hatten uns auf eine angeregte und interessante Sach-Diskussion gefreut!


Da wir davon ausgehen, dass das BSI die Informationen, welche hier nun stehen auch irgendwann lesen wird, möchten wir die Diskussion nochmals ein wenig intensivieren und direkt mit ein, zwei Fragen beginnen.

Was ist mit UEFI, warum kein Libreboot, OpenBIOS, oder Coreboot, wie lange wollen Sie noch warten dies endlich auch zu fordern?

Was ist mit Akamai, die anscheinend bald den kompletten Online-Inhalt aller öffentlichen Sender wie ARD, ZDF, etc. verwalten, auf deren Servern natürlich aber halt auch die NSA sitzt und kräftig am speichern ist, welche Themen die ahnungslosen Bürger täglich interessieren? Was ist mit unseren dort erhobenen Daten und sollte nicht eigentlich auch der gesetzlich geregelte Zwangsbeitrag für ARD/ZDF Ex GEZ vollkommen ausreichend sein für einen deutschen digitalen Informationsverwalter?

Warum nicht einfach mal WSecure auf www.bsi-fuer-buerger.de empfehlen, damit jeder Windows Privatnutzer sich besser schützen kann?


Wie lange können Sie bei diesen Fragen noch warten und sind dies nicht auch genau die Fragen, welche perfekt zu Ihrer eigentlichen Kompetenz passen?

Nachtrag...

Es war für uns sehr interessant zu sehen, dass am 13.11.2015 das BSI eine Bekanntgabe zum Thema "Trusted-Computing" öffentlich machte und wir diese auf Heise nachlesen konnten.
Es brauchte also nicht mal eine Woche für eine Reaktion auf diesen Beitrag von uns.
Wir warten übrigens seit 2009 immer noch auf eine persönliche Einladung... jedoch kennen Sie ja auch unsere aktuelle EULA und den für Sie passenden Artikel in §1.8a-e!