Máme se bát dálkové správy s procesory Intel vPro?

Vladimír Smejkal, 19. červen 2015 13:15 11 komentářů
Rubriky: Technologie, Hardware
Máme se bát dálkové správy s procesory Intel vPro?

Zařízení jako PC, notebooky či tablety, které mají procesor Intel Core i5, Core i7 nebo Core M ve verzi vPro, mají vlastnosti, umožňující dálkovou správu. Oč jde, je popsáno v článku Vyzkoušejte a nasaďte zdarma Intel Core vPro.

Technologie Intel vPro má tedy vestavěné možnosti správy na hardwarové úrovni a umožňuje i vzdálené přesměrování kompletního OS a systémové konzole GUI – přesměrování KVM (klávesnice, video, myš) bez podpory ze strany OS a aplikací, včetně přesměrování systémové konzole GUI na KVM u poškozeného (nebootovatelného) zařízení nebo s nepřítomným OS.

Vladimír Smejkal
Vladimír Smejkal
Pomocí technologie Intel vPro lze navíc přistoupit k novým diskům Intel SSD řady 2500 a vymazat vzdáleně jejich obsah. Součástí některých 3G modemů ve výrobcích firem jako Dell, Fujitsu, HP a Lenovo může být (ne vždy) GPS, která umožní počítač lokalizovat. Přitom všechna potřebná data mají být údajně uložena ve speciálním paměťovém čipu, který je velmi složité prolomit či zkopírovat.

Na to konto se objevily komentáře, které před touto možností varují a tvrdí, že tyto nástroje mohou být využity ke sledování uživatelů a zásahům do jejich soukromí či dokonce k průniku k datům v počítači se nacházejících. Jiné přímo označují Intel vPro dílem ďáblovým a dokládají to odkazy na zahraniční články, nutno ovšem říci, s problematikou příliš nesouvisející.

Podívejme se na problém ze dvou stran: bezpečnostní a právní.
Otázka první – vzdálená správa je vždy bezpečnostním rizikem, protože jsme více méně vydáni všanc tomu, kdo správu provádí. Můžeme ale ovlivnit řadu výchozích podmínek – zda to vůbec půjde, kdo to bude dělat a k jakým datům se dostane. Lze-li věřit popisu v článku Snadná a rychlá aktivace technologie Intel vPro, pak technologii vzdálené správy Intel vPro je třeba vědomě aktivovat. Je to tvrzení výrobce a nemohl jsem si jeho pravdivost ověřit. Jinými slovy – pokud bych si pořídil či byl mi zaměstnavatelem přidělen nový stroj, asi bych se měl zajímat o to, zda je vPro k dispozici a zda je aktivováno.

Druhou otázkou je, jaká data v takovém dálkově zpřístupnitelném stroji se budou nacházet a jak budou chráněna před neoprávněným přístupem. Předpokladem nejen pro stroje s možností vzdálené správy, ale dnes prakticky pro všechny stroje, by mělo být šifrování obsahu, např. BitLockerem nebo podobně účinným způsobem. Myslím, že každý má své důvody pro to, aby svá data chránil – firemní i soukromá.

A třetí otázkou je, kdo by měl vzdálený přístup provádět a proč. Je poměrně logické, že v případě podnikových zařízení bude chtít rozumně uvažující zaměstnavatel, aby nějaký administrátor požívající vysoké důvěry a oprávnění měl možnost řešit problémy uživatelů nacházejících se v podstatě kdekoliv, případně kdykoliv. A to včetně problému spočívajícího ve ztrátě nebo krádeži. K tomu má nejen morální, ale i zákonné právo, neboť je to jeho majetek a on by se měl o něj starat s péčí řádného hospodáře. A tím se dostáváme k pohledu právnímu.

Osobní vs. firemní
Je-li to můj počítač, mám právo na maximální kontrolu nad jeho stavem, čili nikdo bez mého vědomí by neměl mít možnost na něm spustit nějakou funkci, která by mohla vést k porušení mých vlastnických práv, práv na soukromí či jakýchkoliv jiných práv, chráněných zákonem. Zástupci Intelu tvrdí, že tomu tak je, a my jim musíme věřit. Konec konců, celá počítačová branže je postavena na důvěře, která není ve většině případů dokazatelná. Nikdo z nás neanalyzoval kód Windows, nezkoumal obvody a součástky v síťových prvcích např. od Huawei atd., ale přitom s nimi pracujeme a moc o tom nepřemýšlíme. A i kdybychom přemýšleli, nepomůže nám to.

V případě firemního počítače je tomu jinak. Jak jsem již uvedl, zaměstnavatel má právo a současně povinnost se starat o svůj majetek, a tím není jen hardware a software, ale i data v zařízení se nacházející. Data na firemním zařízení nepatří zaměstnanci, ale firmě, která je také zodpovědná za bezpečnostní politiku, tedy za způsob jeho užívání. Má tedy i právo sledovat, co se se zařízením děje a rozhodnout např. o jeho deaktivaci na dálku v případě podezření na protiprávní činnost kohokoliv. Nesmí ovšem překročit určité hranice. Podle mého názoru je třeba, aby uživatel byl předem a prokazatelně seznámen s tím, že zařízení je vybaveno nějakými speciálními funkcemi, které umožňují vzdálenou správu a/nebo sledování polohy. Je pak na něm, aby se podle toho zařídil. Pokud bude zaměstnanec ukládat na firemní zařízení svá soukromá data, pak je otázkou, zda tak činí v souladu s bezpečnostní politikou, pracovním řádem a dalšími směrnicemi zaměstnavatele, a v každém případě musí počítat přinejmenším s možností, že o ta data přijde. Zaměstnavatel ovšem v případě, že se k takovým datům dostane, musí šetřit soukromí zaměstnance; není tedy možné, aby s těmito daty jakýmkoliv způsobem nakládal (s výjimkou zákonné oznamovací povinnosti v případě podezření na spáchání trestného činu). Ale to už je zcela jiná problematika.

Východisko z dilema
Co tedy říci závěrem: procesory Intel vybavené technologií vPro nejsou žádným průlomem ani co do možností, které nabízejí, ani co do ochrany soukromí. Vzdálená správa je dnes běžná záležitost, zejména ve firemním prostředí, pouze Intel vPro to činí možná lépe a sofistikovaněji, protože tuto vzdálenou správu posouvá dál tím, že je součástí samotného procesoru. Jen je třeba mít na paměti, že vymazání na dálku funguje jen u disků Intel SSD řady 2500. Možnosti vPro ale mohou podstatně zvýšit úroveň bezpečnostních opatření ve firmě, i když přítomnost GPS přináší jistá rizika pro toho, kdo zařízení má u sebe. Ale za osobou (obvykle druhého) pohlaví, s níž se chcete poveselit, je lépe chodit s lahví vína, než notebookem; věřte autorovi. A při únosu to může být nepochybně plusem.

Autor je univerzitním profesorem, soudním znalcem a nedávno mu vyšla obsáhlá kniha Kybernetická kriminalita.


Komentáře

blbičák #0
blbičák 19. červen 2015 15:15

Aha, pane Smejkale, takže vlastně víte h***o o tom, jak moc je či není VPro nebezpečné, jenom tady vaříte z vody...

Lol Phirae 19. červen 2015 19:14

To je ovšem pro tohoto tzv. "znalce" zcela typické...

ctenar #2
ctenar 20. červen 2015 18:40

Diky pane Smejkale. Celkem dobre shrnute z obou stran byt v tak omezenem prostoru. Mozna jen jedna vec na nejaky jiny clanek. Osobni data ve firemnim zarizeni. Kdyz do nich firma "nemuze" jak muze zjistit neco nelegalniho a splnit oznamovaci povinnost? Neprokazalo by se tim ze sama postupovala protipravne? Byt treba zahranicni firmy v CR si minimalne sw audit delaji bezne a bez vedomi... a jak by to bylo s obsahem? Filmy atd? Pro obcany drzeni legalni strucne receno. Takze i na firemnim notebooku pro firmu bez problemu? Jeste jednou diky...

Kodl #3
Kodl 20. červen 2015 19:13

Smejkal popisuje situaci na Pankráci - http://euro.e15.cz/archiv/znamy-soudni-znalec-smejkal-zmanipuloval-posudek-pro-ibm-potvrdil-soud-1093299

Tam je, ale monitorování povolené.

Jan Jelínek #8
Jan Jelínek 23. červen 2015 12:57

A jak to souvisí s procesory Intel, resp. odborným názorem z pohledu práva?

Lol Phirae 23. červen 2015 17:04

Pane Jelínku, patrně tak, že autorův "odborný názor" odpovídá tomu, kdo si ho platí. Krom toho reputace tohoto pána se limitně blíží bodu mrazu. Ostatně "já o tom sice nic nevím, ale musíme věřit, soudruzi" s odborným názorem už nemá vůbec nic společného, to Intel fakt nesehnal nikoho lepšího, kdo by jim zahrál ďáblova advokáta?

. #4
. 20. červen 2015 21:24

Neuveritelny trotel...
Chvalit sa tym ze technickej stranke veci absolutne nerozumie a vyvodit z toho zavery.

Franta #5
Franta 21. červen 2015 01:51

Ad „Zástupci Intelu tvrdí, že tomu tak je, a my jim musíme věřit. Konec konců, celá počítačová branže je postavena na důvěře, která není ve většině případů dokazatelná. Nikdo z nás neanalyzoval kód Windows, nezkoumal obvody a součástky v síťových prvcích např. od Huawei atd., ale přitom s nimi pracujeme a moc o tom nepřemýšlíme.“

Nerad bych urazil univerzitního profesora a soudního znalce, ale: slyšel jste někdy o svobodném softwaru?

Zde jsou nějaké zdroje v češtině:
1) http://svobodnysoftware.frantovo.cz/drupal/node/10
2) http://blog.frantovo.cz/c/314/Pro%C4%8D%20je%20svobodn%C3%BD%20software%20z%C2%A0principu%20d%C5%AFv%C4%9Bryhodn%C4%9Bj%C5%A1%C3%AD

V angličtině potom můžu doporučit weby http://fsf.org/ http://gnu.org/ http://eff.org/ a http://fsfe.org/

Svobodný software dává uživateli mj. právo studovat zdrojový kód – nemusíme tedy jen věřit – pro takovou slepou důvěru není v našem oboru místo. Zdrojový kód nemusí studovat každý uživatel sám za sebe, znovu a znovu. Vtip je v tom, že zdrojové kódy jsou pod veřejnou kontrolou a bezpečnostní audit lze provádět společnými silami.

Je to něco jako transparentní státní správa, kde nemusíte jen slepě věřit tomu, co politik říká, ale můžete si zkontrolovat, zda je to pravda (např. z veřejných výpisů bankovních účtů, účetnictví nebo smluv vystavených na Internetu) a nemusí to dělat každý občan sám – můžou to dělat novináři nebo občanská sdružení a o výsledky zkoumání se podělit s ostatními. Chápu, že pro zločince je to noční můra… ale to je jejich problém a naše výhoda.

Na svobodném softwaru pracuje opravdu hodně lidí a dnes lze dost dobře používat počítač bez proprietárního softwaru – máme svobodný operační systém (dokonce několik) a svobodné aplikace.

U softwaru to ale nekončí – současně se pracuje i na svobodném hardwaru, protože to je opravdu důležitá věc – je potřeba mít důvěryhodné síťové karty, důvěryhodné klávesnice, které nebudou ukládat vaše hesla, webkamery a mikrofony, které se dají skutečně vypnout, GSM/LTE moduly, které nemůžou ohrozit zbytek systému a neumožní vykrást z něj na dálku data, tiskárny, které neohrožují soukromí a životy svých uživatelů atd. Ano, je to hodně práce, ale tenhle vlak se už rozjel a nejde ho zastavit – pracuje na tom příliš mnoho schopných lidí, kteří pochopili význam svobody a chtějí počítače, kterým můžou věřit.

Shrnuto jednou větou: uživatel má ovládat svůj počítač – nikoli počítač uživatele.

majitel #6
majitel 22. červen 2015 12:15

Majitel ma ovladat svuj pocitac :) to je ten zasadni pro nekoho obtizne pochopitelnu rozpor...

Franta #10
Franta 24. červen 2015 23:22

V tomhle nejsme ve sporu – nemám nic proti, aby firma sledovala, co se na jejím HW dělá (jen o tom musí zaměstnanec nebo jiný uživatel vědět a musí to mít ve smlouvě).

Ale tady jde o něco jiného – chyba uzavřeného hardwaru spočívá v tom, že mu uživatel/majitel nemůže věřit a že ten hardware může být ovládán někým jiným zvenčí a to bez vědomí uživatele/majitele.

Řešením je (stejně jako u softwaru) používat otevřený resp. svobodný hardware, u kterého nemusíš slepě věřit (jako pan znalec), ale můžeš si ověřit (nebo si nechat ověřit), co ten hardware dělá – zda např. neodesílá tvoje data k útočníkovi nebo třeba nepřijímá nějaké tajné příkazy bez tvého vědomí. Případně si ten svobodný hardware můžeš sám vyrobit nebo si ho nechat vyrobit u tebou zvoleného dodavatele.

Michal Taneček #7
Michal Taneček 22. červen 2015 16:48

Autor je univerzitním profesorem, soudním znalcem a nedávno mu vyšla obsáhlá kniha Kybernetická kriminalita.

Panebože, jak tento člověk, očividně s nulovými znalostmi může být soudní znalec a profesor. Tolik k úrovni školství a soudů.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů