Intel ukrywa system operacyjny w procesorach. Czy jest się czego obawiać?

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35567
Reakcje/Polubienia
24594
Miasto
Trololololo
Parę dni temu świat obiegła informacja o tajemnym systemie operacyjnym ukrytym we współczesnych procesorach marki Intel. Tak, systemie operacyjnym, który aktywnie działa na miliardach komputerów opartych o procesory Niebieskich, a użytkownicy kompletnie nie mają o tym pojęcia. Sprawie przyjrzeli się pracownicy Google, a konkretniej Matthew Garrett, znany i ceniony programista zajmujący się Linuksem i kwestiami bezpieczeństwa. Jak wiadomo, procesory Intela od wielu lat korzystają z rozwiązania znanego jako Management Engine. Pod tym nieco enigmatycznym hasłem kryje się tak naprawdę niezależny od nadrzędnej jednostki i głównego systemu operacyjnego mikroprocesor. Oficjalnie steruje on m.in. modułem zarządzania pozapasmowego, zapewnia obsługę DRM-ów czy wreszcie gwarantuje wsparcie dla standardu TPM (wykonywanie obliczeń kryptograficznych). Mniej oficjalnie, jak udało się ustalić Garrettowi, zostawia swoistą furtkę do każdego PC-ta, a to za sprawą zainstalowanego w nim, niewidzialnego dla użytkownika systemu MINIX. Dla korporacji jest to poważny problem, ale czy my, zwykli użytkownicy, również mamy się czego obawiać? Zastanówmy się.


MINIX (od ang. mini-Unix) jest systemem operacyjnym stworzonym w drugiej połowie lat 80., powstałym pierwotnie w celach dydaktycznych. Obecnie jednak ten OS w podręcznikach pojawia się tylko jako inspiracja twórcy Linuksa, Linusa Thorvaldsa. Co ciekawe, MINIX wciąż jest systematycznie rozwijany, pełniąc rolę systemu o podwyższonym bezpieczeństwie. Tutaj na uwagę zasługuje dość nietypowa (na tle najpopularniejszych odpowiedników) architektura. OS oparty jest bowiem o mikrokernel, podczas gdy cała reszta systemu uruchamiana jest w formie wyizolowanych i zabezpieczonych procesów trybu user mode. Jądro systemu składa się wyłącznie z obsługi przerwań, schedulera oraz IPC. Dlatego też konieczne jest wprowadzenie aplikacji zwanych serwerami, które pomimo działania w trybie użytkownika, mają bezpośredni dostęp do sprzętu. Jako iż wszystkie funkcje jądra są oddzielnymi procesami, MINIX może poszczycić się wysoką niezawodnością i elastycznością. I to właśnie z tej ostatniej cechy skorzystał Intel, bowiem jak donosi Garrett, do procesorów Intela trafia specjalnie zmodyfikowana wersja OS-u. Dokładna lista funkcji systemu nie jest oczywiście znana, ale najbardziej kluczowe (najniebezpieczniejsze) z nich udało się ustalić.


Ukryty system obsługuje stosy protokołów TCP / IP (4 oraz 6), systemy plików, sterowniki (dyski, peryferia, itd.), a także serwery sieciowe. Ponadto, MINIX ma dostęp do wpisywanych haseł, a nawet może samodzielnie zmodyfikować oprogramowanie układowe. Jak to możliwe? Otóż współczesne komputery wykonują programy na różnych poziomach uprzywilejowania, zwanych także pierścieniami. Im niższy poziom pierścienia, tym większy jest dostęp do sprzętu. Zainstalowane programy takie jak gry działają na warstwie "3", a sam system "0". Idąc dalej, systemy instalowane bezpośrednio na powłoce sprzętowej, np. Xen, znajdują się w warstwie "-1", natomiast UEFI uważane teoretycznie za nadrzędny program sterujący "-2". Ukryty przez Intela MINIX operuje w "-3". Jak nietrudno się domyślić, MINIX może przejąć kontrolę nad każdym z zasobów - zarówno sprzętowych, jak i programowych. Mało tego, możliwy dostęp poprzez Internet czyni go niezwykle podatnym na wszelkiej maści exploity. Tym samym w każdym komputerze zbudowanym w oparciu o procesor Intela siedzi swoista furtka, której rzeczywistego wykorzystania niestety nikt, przynajmniej oficjalnie, nie ujawnia. Cały czas nie wiadomo również, dlaczego producent nie przyznaje się do obecności systemu MINIX w swych procesorach.


Niestety prosta metoda na pozbycie się zagrożenia nie istnieje. Grupa specjalistów z, a jakże inaczej, Rosji znalazła teoretyczne rozwiązanie polegające na dezaktywacji Management Engine po zainicjowaniu sprzętu, ale wkrótce okazało się, iż moduł powraca. Google obiecało wydanie aktualizacji firmware do Chromebooków, podmieniającej MINIX na autorską kompilację Linuksa. Dalej jednak ciężko mówić o uniwersalnej metodzie. Ba, wygląda na to, iż nawet wymiana procesora na konstrukcję od AMD zda się na niewiele, bo ten producent również implementuje bliżej nieokreślony moduł rzekomego bezpieczeństwa. Ale czy my, zwykli użytkownicy, mamy się czego obawiać? Cóż, zawsze spoglądałem na tego typu teorie z przymrużeniem oka. Zaszyty na najbardziej newralgicznej warstwie, ukryty system operacyjny w teorii może zostać wykorzystany do przejęcia absolutnej kontroli nad komputerem. Nie pochwalam zarazem takich praktyk z czysto etycznego punktu widzenia. I można byłoby tu pokiwać korporacji palcem. Tym niemniej zdecydowanie odrębną kwestię stanowi to, czy komuś w ogóle zależałoby na danych przeciętnego Kowalskiego. Moje zdanie na ten temat powinniście już znać.
info:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Owszem. Zwykły Kowalski ma się czego obawiać... dowodem na to jest parę ruchów: w ostatnich miesiacach Intel powydawał update do IME zarówno w warstwie update driverów jak i samego firmware dla nawet starszych procesorów (mnie się udało zaobserwować pojawienie się update do iCore czwartej generacji).
Co jest dość fikuśne, producenci laptopów podchodzą to tematu wybiórczo, tj. np. linie biznesowe, stacje robocze dostają update. Laptopy dla ludu czy gamingowe dość rzadko w ogóle mają warstwę sterowników do Intel Management Engine czy persistence module zarówno w BIOSIE jak i w systemie...

Jak podaje (słusznie zresztą) autor bloga, dla mnie jako (na mojej osobistej maszynce) nie stanowi problemu szpiegowanie przez rządy ani US, ani FR, ani nawet archipelagu wysp Tuvalu tak długo jak moje wyszpiegowane dane nie wyciekną.
Dla mnie jako osoby prywatnej natomiast problemem może być aplikacja/system pracująca gdzieś tam w tle na najwyższym poziomie uprzywilejowania, mająca kontakt z internetem i posiadająca potencjalnie pierdyliard podatności na włam. W takim przypadku losowy Seba z Kamilem w 3 minuty mogą mi wyczyścić konto po prostu o tak, dla kaprysu.
A to już mi się niezbyt podoba.
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
no to male update do tematu... tak, jest sie czego obawiac.
Wyglada na to ze nie uplynelo za duzo czasu od soboty, a juz ktos wlozyl kij w mrowisko.
Pamietajmy ze IME ma dostep bardziej uprzywilejowany niz kernel do tego co sie dzieje z nasza (?) maszynka.


Intel wydal w TRYBIE PILNYM Advisory note i porozsylal zestawy patchy do producentow laptopow na wszystkie OSIEM dziur (
Zaloguj lub Zarejestruj się aby zobaczyć!
).
Dziury znalezione (i zalatane) pozwalaja na m.in. zdalna instalacje rootkitow, dostep do przetwarzanych przez CPU danych oraz (najmniej niby bolesne, ale jednak) wywolanie crashu maszyny.
Lenovo, HP, Dell juz wydali poprawki, wiec wydaje sie ze zagrozenie jest dosc powazne. (link do strony intela z zestawieniem OEMow ktorzy updatneli stery:
Zaloguj lub Zarejestruj się aby zobaczyć!
- no dobra, oni tam nie podali ze HP wydalo patche, ale sprawdzajac sterowniki do np. HP Elitebook od 840 w gore czy Zbook og G2 w gore widac w sekcji firmware update do IME moze Intel doda ich tez, ale jesli nie, to radze sprawdzic na wlasna reke u producenta swojego zestawu).

Co jest podatne? Ano
ME firmware versions 11.0/11.5/11.6/11.7/11.10/11.20
SPS Firmware version 4.0
TXE version 3.0
a powyzsze (i nizsze) wersje firmware IME posiadaja procesory:
6th, 7th & 8th Generation Intel® Core™ Processor Family
Intel® Xeon® Processor E3-1200 v5 & v6 Product Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon® Processor W Family
Intel® Atom® C3000 Processor Family
Apollo Lake Intel® Atom Processor E3900 series
Apollo Lake Intel® Pentium™
Celeron™ N and J series Processors

Intel udostepnil narzedzie dla Windy i Linuxa (
Zaloguj lub Zarejestruj się aby zobaczyć!
) pozwalajace sprawdzic czy ma sie podatny procek/firmware.

Dla przypomnienia, pare miesiecy temu (lipiec/sierpien) byla poprzednia fala update firmware IME, latajaca ta podatnosc:
Zaloguj lub Zarejestruj się aby zobaczyć!


Teraz mamy nastepna, wydana ZA SZYBKO latke. Moze ja przewrazliwiony jestem, ale latka w pare dni dla swiezo znalezionego problemu? Dla mnie to wyglada na latanie backdoora o ktorym sie wiedzialo kupe czasu temu i mialo sie przygotowany Plan B na wypadek jesli chlopcy z NSA zgubia pendrive eee... znaczy: jak ktos zupelnie przypadkowo znajdzie backdoora :fakolec
 
Do góry