www.svethardware.cz
>
>
>
>

Máme se bát "tajných" procesorů uvnitř CPU Intel?

Máme se bát "tajných" procesorů uvnitř CPU Intel?
, , aktualita
Intel Management Engine (ME) využívá speciální 32bitové jádro ARC, které není běžně přístupné, ale existuje nebezpečí, že poslouží jako brána pro nedetekovatelné rootkitové útoky, proti nimž nebude ochrana.
K oblíbeným
reklama
Vše se točí kolem subsystému Intel Management Engine (ME) využívajícího integrovaný 32bitový mikroprocesor ARC, jenž se nachází v čipové sadě a konkrétně v bývalém severním můstku, který je u moderních procesorů integrován přímo v CPU a provozuje firmware s uzavřeným kódem. Nikdo jiný než Intel k němu nemá mít přístup, ale to neznamená, že se to jednoho dne nemůže stát. Jde přitom o zcela nezávislý mikroprocesor a systém, který může pracovat i v době, kdy je hlavní procesor uspán a nachází se ve stavu S3 (čili suspend).





V některých počítačích firmware běžící na ME implementuje systém dobře známý jako Active Management Technology (AMT). AMT zahrnuje hardware a firmware určený pro správu více počítačů přes síť a jejich akutalizaci, monitorování, opravy, atd. Tato technologie pracuje sama o sobě a zcela nezávisle na tom, jaký operační systém je na počítači provozován a jde o novou a mocnější alternativu ke starší Intelligent Platform Management Interface (IPMI). Základní ME je tak schopný přistupovat k jakémukoliv místu v paměti, aniž by o tom hlavní procesor věděl a dokázal to ovlivnit a krom toho provozuje vlastní TCP/IP server na lokálním síťovém rozhraní a je logické, že přicházející a odcházející packety proudí neovlivněny jakýmkoliv nainstalovaným firewallem.

Bezpečnostní experti klasifikují ME jako součást tzv. Ring -3, dejme tomu okruhu -3. Jednotlivé okruhy můžeme brát jako úrovně zabezpečení, které ovlivňují jednotlivé části systému, přičemž čím níže, tím blíže k hardwaru. Ring 3 se tak týkají přímo uživatelských záležitostí, Ring 0 už jádra systému, Ring -2 procesoru v režimu SMM (System Management Mode), takže Ring -3 už je zcela mimo hlavní CPU.





Firmware ME je chráněn zatím neprolomitelným šifrováním RS 2048, ale výzkumníci už byli schopni ve starších verzích tohoto firmwaru využít jeho slabin a částečně nad ním převzít kontrolu. Pokud by se to někomu podařilo nyní (těžko ale hrubou silou), získal by přístup k počítači a jeho datům, o čemž by uživatel sám nemohl vůbec nic tušit, leda z vedlejších příznaků jako z provozu na síti.

Na systémech s procesorem novějším než Core 2 nemůže být ME deaktivován. Intel se snaží z očividných důvodů držet informace o této technologii v tajnosti a uživatelům vůbec neumožňuje se jí zbavit, neboť z prostředí x86 firmwaru či snad operačního systému na ni vůbec nedosáhneme. Jde tak o klasický případ modelu "security through obscurity", čili zabezpečení pomocí utajení, kterou nezasvěcení bezpečnostní pracovníci nemívají zrovna v lásce. Někteří experti si tak vzali za úkol prolomit ochranu firmwaru ME a vytvořit pro ni otevřený firmware, který budou moci společně spravovat. Ten by byl samozřejmě jen pro ty uživatele, kteří se nebudou chtít spolehnout na výchozí firmware od Intelu.

Nicméně kvůli ochraně pomocí RSA 2048 nemohou na příslušném hardwaru (procesoru ARC) spustit svůj kód, neboť ten neprojde ověřením a nevypadá to, že by se mohli v blízké budoucnosti posunout dále. Leda by měli k dispozici hardware, který dokáže faktorizovat dvojitá 600místná prvočísla v rozumném čase, což v této době nezvládnou ani nejsilnější superpočítače, ani kdybychom jim dali desítky let. Musíme tak Intelu věřit, neboť kvůli integraci jednotlivých částí do jednoho čipu už není ani možné, aby byl takový hardware fyzicky oddělen.

Zdroj: BoingBoing
reklama
Nejnovější články
LG představilo obří 42,5" monitor 43UN700 LG představilo obří 42,5" monitor 43UN700
Společnost LG představila obří 42,5" monitor LG 43UN700, který má najít obrovské množství využití. Má být vhodný pro tvorbu multimédií, nenáročné hraní i kancelář. Dokáže zobrazit až 4 obrazy ze 4 různých zařízení najednou.
Dnes, aktualita, Milan Šurkala
Apple využije plné Navi 14 s 24 CU, dočkáme se i jinde? Apple využije plné Navi 14 s 24 CU, dočkáme se i jinde?
Aktualizováno: Z kuloárů se dozvídáme, že nové Apple MacBook Pro dorazí s výbavou grafických karet Radeon Pro, které ve skutečnosti využijí plnou verzi GPU Navi 14. Ta nečítá 22, ale 24 jednotek CU.  
Dnes, aktualita, Jan Vítek1 komentář
NASA přispěje k evropské misi ARIEL studující atmosféru exoplanet NASA přispěje k evropské misi ARIEL studující atmosféru exoplanet
Americká NASA se rozhodla, že přispěje svým dílem k misi ARIEL, kterou připravuje primárně Evropská vesmírná agentura ESA. Mise má startovat v roce 2028 a týkat se bude studia vzdálených exoplanet. 
Dnes, aktualita, Jan Vítek
Zítra v Londýně startuje X019: dosud největší xboxová událost Zítra v Londýně startuje X019: dosud největší xboxová událost
Microsoft zítra odstartuje X019, dosud největší událost spojenou s konzolemi Xbox, ostatně ta dostala podtitulek BIGGEST. INSIDE XBOX. EVER. Uvidíme herní novinky a možná i informace o chystané příští konzoli. 
Dnes, aktualita, Jan Vítek
Facebook Pay, nový platební systém pro Facebook i Messenger Facebook Pay, nový platební systém pro Facebook i Messenger
Facebook chce opravdu proniknout na finanční trh. S kryptoměnou Libra je to zatím docela nahnuté, nicméně zavádí alespoň Facebook Pay, který umožní snadné posílání peněz v prostředí aplikací od Facebooku.
Dnes, aktualita, Milan Šurkala