Se ha descubierto un importante fallo de seguridad en el Active Management Technology (AMT) de Intel, que permite tomar el control de los ordenadores que utilizan dicha tecnología, mediante una escalada de privilegios.
¿Qué es AMT?
Se trata de un subsistema que reside en el firmware de muchos de sus procesadores y que permite realizar conexiones remotas sin depender del sistema operativo, con el objetivo de llevar a cabo operaciones de monitorización,reparación,o actualización.
AMT es capaz de burlar cualquier firewall o medida de protección presente en nuestro sistema, incluso –bajo ciertas condiciones– el secure boot.
La vulnerabilidad
La vulnerabilidad se puede explotar de forma local (con acceso físico a la máquina) o a través de alguien que esté conectado en nuestra misma red (en un Wi-Fi público por ej.). En este último caso se haría a través de los puertos abiertos 16992, 16993, 16994, 16995, 623,y 664 que utiliza AMT para comunicarse.
Afecta a Active Management Technology AMT y otras tecnologías de Intel como Standard Manageability (ISM) y Small Business Technology (SBT) agrupadas en la plataforma vPro, en sus versiones de firmware de 6 a 11.6 (desde Nehalem en 2008 hasta Kaby Lake en 2017).
Es un problema descubierto ahora, pero que se lleva arrastrando desde hace 10 años, aunque se desconoce si ha llegado a explotarse en algún momento. El hecho de ser código cerrado también dificulta saber el alcance exacto de la vulnerabilidad.
Aunque en Intel quieren reducir daños restringiendolo al ámbito profesional y no al de la computación personal o de ocio, es posible que si tenéis un equipo relativamente reciente venga por defecto con esa tecnología (lo acabo de comprobar en mi Lenovo ThinkPad t510, modelo que ya tiene unos años). Dependiendo del fabricante puede venir o no habilitado.
¿Y ahora qué? ¿Vamos a morir todos?
Para ver si nos atañe este problema, podemos ver en un primer momento si nuestro chip coincide con alguno de los afectados. Para saber nuestro modelo de procesador podemos ejecutar:
cat /proc/cpuinfo | grep model
A continuación tal como recomienda el experto en seguridad Matthew Garret, podemos ejecutar el comando:
lspci
Si en el resultado no encontramos ninguna referencia a «MEI» o «HECI», implicará que estamos a salvo de dicha tecnología.
En caso positivo debemos confirmar en la configuración de la BIOS si está habilitada. Toca reiniciar el equipo, ejecutar la combinación de teclas recomendada para acceder a la BIOS y buscar dicho apartado.
En muchos casos lo vais a encontrar deshabilitado, pero eso no significa necesariamente que el Active Management Technology no esté funcionando a cierto nivel, como confirma la propia Intel en el caso de los Lenovo.
Lo ideal por tanto sería esperar a la actualización del firmware por parte de los fabricantes, a los que Intel ya ha proporcionado el parche correspondiente.
Esas actualizaciones a veces no llegan y en Linux ese tema siempre lo tenemos complicado, así que para más seguridad podemos mirar a ver si se escucha algo en los puertos afectados, con herramientas como:
netstat -putona | egrep '16992|16993|16994|16995|623|664'
- nmap:
nmap -p 16992,16993,16994,16995,623,664 192.168.0.1/24
En este caso todo lo que sea «closed» es bueno.
Como veis un sistema operativo fiable y unas pautas de comportamiento seguras, apenas pueden hacer nada contra estas tecnologías cerradas incrustadas en el chip. Por ello desarrollos como los de Libreboot y Coreboot son tan interesantes a la hora de reemplazar este tipo de firmware.
Ostias!
Tengo esa «vulnerabilidad» que todos sabemos que no es un backdoor de los amigos de Snowden (guiño guiño).
00:16.0 Communication controller: Intel Corporation 8 Series/C220 Series Chipset Family MEI Controller
00:1a.0 USB controller: Intel Corporation 8 Series/C220 Series Chipset Family USB EHCI
Saludos
«netstat -putona | egrep ‘16992|16993»
¿Putona?
Si empezamos con insultos a las mujeres yo no juego.
Era para ver si miráis los comandos que posteo. Sino la próxima vez me los invento 🙂
Putona!!! Seguramente tannhausser estaba muy cabreado con su pc jaja
Nooo por qué tengo tan mala suerte! Tengo un portátil Lenovo de unos 3 años con sistema operativo Ubuntu 16.04. Con tan mala suerte que los que tenemos un Lenovo ni desactivando en la BIOS estamos seguros y ahora que hago???
Digo yo que alguna solución pondrán… o vamos a andar a pecho descubierto en WiFi pública… a esperar a una actualización de la BIOS claro, pero seguramente solo para modelos recientes, los que tienen ya unos años que se jo#@&
P.D: lo de -putona es mortal jajaja, uno de esos comandos que nunca se te olvida.
NOOO!!! no puede ser que tengas tanta mala suerte!!!
usas ubuntu!
Estoy sin palabras.. ¿Que sentido tiene agregar tecnología de acceso remoto en chip? Es muy mala leche por parte de los fabricantes y todo un espaldarazo para agencia de espionaje masivo como la nsa.. Da bronca y mucho.
Tiene sentido cuando es necesario administrar servidores, yo utilizo AMT en mi trabajo cuando se tienen que instalar sistemas en varios raks de servidores, sin necesidad de pararse de el escritorio.
Pero es una tontería y un desperdicio el AMT en usuarios comunes, yo la tengo y nunca la he usado.
00:16.0 Communication controller: Intel Corporation 7 Series/C216 Chipset Family MEI Controller #1 (rev 04)
Sudo putona sal-de-mi-ordenador 😀
00:16.0 Communication controller: Intel Corporation 7 Series/C216 Chipset Family MEI Controller #1 (rev 04)
Porque Intel?
de verdad que cada dia da mas ASCO usar culquier sistema informatico, para cosas seria.
ahora resulta que ni usando GNU/linux-libre uno esta a salvo de puertas-negras, ahora resulta que el hardware ya viene con todooo el acceso para las agencias de los goviernos.
eso que ha dicho Stallman tantas veces se confirma contundentemente (los fabricantes instalan; puertas, ventas, y todo tipo de tuneles a nivel de hardware, o a nivel de bios)
nooo!! de verdad que tenemos esta batalla mas perdida desgraciadamente.
SI usas tecnologías y equipos antiguos porque tiene más agujeros que un gruyere, tipo teléfonos Android con Kit Kat 4.4, si son equipos a la última porque traen de fábrica todo lo que les da la gana para espiarnos. Basura de tecnología. Rebelión de los geeks!
estamos delante de una situacion grave y con tendencia a empeorar. ya no es solo una cuestion de si te gusta o no un sistema OS, ni tan solo un problema etico de si captan datos para publicidad, o del discuros de siempre de los estados (del circo de su seguridad)
todo esto grave, grave, no me imagino ser periodista o disidente en turquia, uffffffff (un pais que por cierto hacia tramites para entar en la union europea jajaja) un pais que bloquea todo lo que le da la gana en internet, como wikipedia (por ejemplo) laaaa wiki ya me diran que carajo tiene de malo la wikii nadaaaaaaaa mas bien lo contrarioo.
http://www.dw.com/es/turqu%C3%ADa-bloquea-el-acceso-a-wikipedia/a-38641412
esta claro que provedoras de internet, fabricantes de hardware, provedores de software, todoooos estan para usar la tecnologia a su favor y encontra del pueblo (almenos los pobres y los disidentes)
y no solo es el simple software el que nos espia, esto ya lo hacen a todo los niveles
https://www.xataka.com/privacidad/si-usas-tarjeta-sim-entonces-todas-tus-comunicaciones-han-estado-expuestas-a-espionaje
hasta las sim card estan pinxadas ufffffff
o la ingeneria ciber-social (es decir manipular la sociedad a nivel ciber-bots, redes sociales, mails, etc, etc) para cambiar resulatados-electorales o procesos de paz como el de colombia.
http://minci.gob.ve/2014/08/hacker-colombiano-confirmo-espionaje-contra-proceso-de-paz/
el caso andromeda bogota espionaje echo por civiles y militares encontra el proceso de paz
http://www.eltiempo.com/archivo/documento/CMS-15141236
o las manipulacion de las elecciones en mexico
https://www.laguiadelvaron.com/bloomberg-businessweek-andres-sepulveda-elecciones-pena-nieto/
http://aristeguinoticias.com/3103/mexico/el-pri-espio-a-jvm-y-amlo-en-el-2012-revela-hacker-colombiano-a-bloomberg/
uffffff
lo que esta claro es que esto no va solamente de la frikada de si uno o otro sistema operativo
esto va de muchisiiimo mas: va de comunicaciones libres y privadas, va de libertad, va de que sociedad queremos.
como dice stallman mejor no usar nada, si no estas seguro que cumple con la democracia y la libertad
GNU/libre-linux libreboot y a un asi cuidadooo con todo lo que sea electronica e informatica
Es posible que nmap muestre los puertos como cerrados y netstat muestre que el 16994 está conectado?
Ojo con buscar con netstat desde la propia máquina porque lo normal es que no aparezca dado que es la propia BIOS la que emplea el interfaz de red y no el sistema. Hace poco escribí sobre mi experiencia con este mecanismo en mi blog: https://esferas.org/msqlu/2017/04/27/cuando-la-bios-va-por-su-cuenta/