Alle modernen CPUs integrieren inzwischen versteckte Management-Plattformen wie die mittlerweile berüchtigte Intel Management Engine und den AMD Platform Security Processor.
Diese Management-Plattformen sind kleine Betriebssysteme, die direkt auf deiner CPU laufen, solange sie mit Strom versorgt sind. Diese Systeme haben vollen Zugriff auf das Netzwerk deines Computers und könnten von einem Angreifer genutzt werden, um dich auf verschiedene Weise zu deanonymisieren (etwa über direkten Zugriff oder mithilfe von Schadsoftware), wie in diesem aufschlussreichen Video gezeigt wird: BlackHat, How to Hack a Turned-Off Computer, or Running Unsigned Code in Intel Management Engine https://www.youtube.com/watch?v=9fhNokIgBMU Invidious.
Diese waren in der Vergangenheit bereits von mehreren Sicherheitslücken betroffen, die es Schadsoftware ermöglichten, die Kontrolle über Zielsysteme zu erlangen. Sie werden außerdem von vielen Datenschutz-Akteuren, darunter die EFF und Libreboot, beschuldigt, eine Hintertür in jedes System zu sein.
Es gibt einige nicht ganz unkomplizierte Wege, die Intel IME auf manchen CPUs zu deaktivieren, und du solltest das tun, wenn du kannst. Bei manchen AMD-Laptops kannst du sie in den BIOS-Einstellungen deaktivieren, indem du PSP deaktivierst.
Beachte zur Verteidigung von AMD, dass bisher und soweit ich weiß keine Sicherheitslücken für ASP und auch keine Hintertüren gefunden wurden: Siehe https://www.youtube.com/watch?v=bKH5nGLgi08&t=2834s Invidious. Darüber hinaus bietet AMD PSP, anders als Intel IME, keinerlei Fernverwaltungsfunktionen.
Wenn du etwas abenteuerlustiger bist, könntest du dein eigenes BIOS mit Libreboot oder Coreboot installieren, falls dein Laptop das unterstützt (sei dir bewusst, dass Coreboot, anders als sein Fork Libreboot, etwas proprietären Code enthält).
Außerdem haben manche CPUs (besonders Intel-CPUs) nicht behebbare Fehler, die von verschiedener Schadsoftware ausgenutzt werden könnten. Hier ist eine gute aktuelle Liste solcher Schwachstellen, die aktuelle weitverbreitete CPUs betreffen: https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability Wikiless Archive.org
Prüfe selbst:
- Wenn du Linux nutzt, kannst du den Verwundbarkeitsstatus deiner CPU gegenüber Spectre/Meltdown-Angriffen prüfen, indem du https://github.com/speed47/spectre-meltdown-checker Archive.org verwendest, das als Paket für die meisten Linux-Distributionen einschließlich Whonix verfügbar ist.
- Wenn du Windows nutzt, kannst du den Verwundbarkeitsstatus deiner CPU mit inSpectre https://www.grc.com/inspectre.htm Archive.org prüfen.
Einige davon lassen sich mit Einstellungen von Virtualisierungssoftware vermeiden, die solche Exploits abmildern können. Siehe diesen Leitfaden für weitere Informationen https://www.whonix.org/wiki/Spectre_Meltdown Archive.org (Warnung: Diese können die Leistung deiner VMs erheblich beeinträchtigen).
Ich werde daher einige dieser Probleme in diesem Leitfaden abmildern, indem ich die Nutzung virtueller Maschinen auf einem dedizierten anonymen Laptop für deine sensiblen Aktivitäten empfehle, der nur über ein anonymes öffentliches Netzwerk verwendet wird.
Darüber hinaus werde ich die Nutzung von AMD-CPUs gegenüber Intel-CPUs empfehlen.
Quelle: The Hitchhiker’s Guide to Online Anonymity, geschrieben von AnonyPla © CC BY-NC 4.0