www.svethardware.cz
>
>
>
>

Máme se bát "tajných" procesorů uvnitř CPU Intel?

Máme se bát "tajných" procesorů uvnitř CPU Intel?
, , aktualita
Intel Management Engine (ME) využívá speciální 32bitové jádro ARC, které není běžně přístupné, ale existuje nebezpečí, že poslouží jako brána pro nedetekovatelné rootkitové útoky, proti nimž nebude ochrana.



reklama
Vše se točí kolem subsystému Intel Management Engine (ME) využívajícího integrovaný 32bitový mikroprocesor ARC, jenž se nachází v čipové sadě a konkrétně v bývalém severním můstku, který je u moderních procesorů integrován přímo v CPU a provozuje firmware s uzavřeným kódem. Nikdo jiný než Intel k němu nemá mít přístup, ale to neznamená, že se to jednoho dne nemůže stát. Jde přitom o zcela nezávislý mikroprocesor a systém, který může pracovat i v době, kdy je hlavní procesor uspán a nachází se ve stavu S3 (čili suspend).





V některých počítačích firmware běžící na ME implementuje systém dobře známý jako Active Management Technology (AMT). AMT zahrnuje hardware a firmware určený pro správu více počítačů přes síť a jejich akutalizaci, monitorování, opravy, atd. Tato technologie pracuje sama o sobě a zcela nezávisle na tom, jaký operační systém je na počítači provozován a jde o novou a mocnější alternativu ke starší Intelligent Platform Management Interface (IPMI). Základní ME je tak schopný přistupovat k jakémukoliv místu v paměti, aniž by o tom hlavní procesor věděl a dokázal to ovlivnit a krom toho provozuje vlastní TCP/IP server na lokálním síťovém rozhraní a je logické, že přicházející a odcházející packety proudí neovlivněny jakýmkoliv nainstalovaným firewallem.

Bezpečnostní experti klasifikují ME jako součást tzv. Ring -3, dejme tomu okruhu -3. Jednotlivé okruhy můžeme brát jako úrovně zabezpečení, které ovlivňují jednotlivé části systému, přičemž čím níže, tím blíže k hardwaru. Ring 3 se tak týkají přímo uživatelských záležitostí, Ring 0 už jádra systému, Ring -2 procesoru v režimu SMM (System Management Mode), takže Ring -3 už je zcela mimo hlavní CPU.





Firmware ME je chráněn zatím neprolomitelným šifrováním RS 2048, ale výzkumníci už byli schopni ve starších verzích tohoto firmwaru využít jeho slabin a částečně nad ním převzít kontrolu. Pokud by se to někomu podařilo nyní (těžko ale hrubou silou), získal by přístup k počítači a jeho datům, o čemž by uživatel sám nemohl vůbec nic tušit, leda z vedlejších příznaků jako z provozu na síti.

Na systémech s procesorem novějším než Core 2 nemůže být ME deaktivován. Intel se snaží z očividných důvodů držet informace o této technologii v tajnosti a uživatelům vůbec neumožňuje se jí zbavit, neboť z prostředí x86 firmwaru či snad operačního systému na ni vůbec nedosáhneme. Jde tak o klasický případ modelu "security through obscurity", čili zabezpečení pomocí utajení, kterou nezasvěcení bezpečnostní pracovníci nemívají zrovna v lásce. Někteří experti si tak vzali za úkol prolomit ochranu firmwaru ME a vytvořit pro ni otevřený firmware, který budou moci společně spravovat. Ten by byl samozřejmě jen pro ty uživatele, kteří se nebudou chtít spolehnout na výchozí firmware od Intelu.

Nicméně kvůli ochraně pomocí RSA 2048 nemohou na příslušném hardwaru (procesoru ARC) spustit svůj kód, neboť ten neprojde ověřením a nevypadá to, že by se mohli v blízké budoucnosti posunout dále. Leda by měli k dispozici hardware, který dokáže faktorizovat dvojitá 600místná prvočísla v rozumném čase, což v této době nezvládnou ani nejsilnější superpočítače, ani kdybychom jim dali desítky let. Musíme tak Intelu věřit, neboť kvůli integraci jednotlivých částí do jednoho čipu už není ani možné, aby byl takový hardware fyzicky oddělen.

Zdroj: BoingBoing
Nejpopulárnější procesory
reklama
Nejnovější články
Google uvede Andromedu – dostanou Windows konečně relevantní konkurenci? Google uvede Andromedu – dostanou Windows konečně relevantní konkurenci?
Podle všeho to vypadá, že společnost Google uvede v nejbližší době nový operační systém Andromeda, který je určený pro desktop. Cílem je využít to nejlepší z mobilního a desktopového světa. Mají se v Redmondu čeho bát?
Včera,  aktualita, Michal Hala
Nanoxia Project S: skříň pro hi-end HTPC Nanoxia Project S: skříň pro hi-end HTPC
Společnost Nanoxia už na Computexu 2015 představila svůj 'NanoXia Project', který připomněla ještě také letos na Gamescomu. Jeho výsledkem je skříň Nanoxia Project S označená za hi-end skříň pro HTPC sestavy.
Včera,  aktualita, Jan Vítek
Astronomové potvrdili teorii neúspěšných supernov Astronomové potvrdili teorii neúspěšných supernov
Astronomové mohli sledovat vůbec první případ hvězdy, která byla tak masivní, že přeskočila stádium supernovy a rovnou se zhroutila do podoby černé díry. Můžeme tak mluvit o první zaznamenané neúspěšné supernově.
Včera,  aktualita, Jan Vítek
Elon Musk představuje plány na kolonizaci Marsu Elon Musk představuje plány na kolonizaci Marsu
Elon Musk má se svou společností SpaceX velké plány. Vývoj znovupoužitelných raket vede k hlavnímu cíli: dobýt rudou planetu. Na včerejší konferenci Making Humans a Multiplanetary Species Elon Musk představil své plány.
Včera,  aktualita, Kateřina Hoferková,  1 komentář
Desky Gigabyte s AM4 vyfoceny, co nabídnou? Desky Gigabyte s AM4 vyfoceny, co nabídnou?
Můžeme se těšit na novou generaci základních desek se socketem AMD AM4, která bude určena pro procesory Zen i nová APU BristolRidge. Na dvě takové se už můžeme podrobně podívat, na svědomí je má společnost Gigabyte.
Včera,  aktualita, Jan Vítek,  5 komentářů