Intel Management Engine – noční můra soukromí

Každý moderní procesor vyrobený společností Intel obsahuje backdoor známý jako Intel Management Engine (IME). Jedná se o izolovaný a chráněný koprocesor, který je zabudován do všech čipových sad Intel, které jsou novější než v červnu 2006.

To zahrnuje všechny stolní počítače, servery, ultrabooky, tablety a notebooky s řadou procesorů Intel Core vPro. Zahrnuje řadu produktů Intel Core i3, i5, i7 a Intel Xeon E3-1200.

Intel Management Engine je opravdu děsivý

Tento uzavřený zdrojový auditovaný subsystém může:

  • Získejte přístup do všech oblastí paměti počítače bez znalosti CPU.
  • Získejte přístup ke všem periferním zařízením připojeným k počítači.
  • Nastavte na síťovém rozhraní server TCP / IP, který může odesílat a přijímat provoz, bez ohledu na to, zda operační systém používá bránu firewall nebo ne..
  • Spouštějte vzdáleně, i když je počítač vypnutý.
  • Umožněte vzdálenému uživateli zapínat, vypínat, zobrazovat informace a jinak spravovat váš počítač.
  • Firmware ME verze 4.0 a novější (Intel 4 Series a novější čipsety) obsahuje aplikaci DRM nazvanou "Chráněná cesta audio videa" (PAVP). To umožňuje vzdálenému uživateli přístup ke všemu, co se zobrazuje na obrazovce.

Pokud váš počítač používá čip Intel, pak nezáleží na tom, jaký operační systém používáte. Jak poznamenává Brian Benchoff v příspěvku na blogu Hackady,

"Vlastněte mě a vlastníte počítač."

Děsivé, jak to všechno je, to se zhoršuje. Aplikace AMT (viz níže) má známé chyby zabezpečení, které již byly využívány k vývoji rootkitů a keyloggerů ak skrytému získání šifrovaného přístupu k funkcím správy PC. Jak uvádí Libreboot v FAQ,

„Souhrnně lze říci, že Intel Management Engine a jeho aplikace jsou backdoor s úplným přístupem a kontrolou nad ostatními počítači. ME je hrozbou pro svobodu, bezpečnost a soukromí a projekt libreboot důrazně doporučuje, aby se tomu úplně vyhnul. “

Až do teď bylo jediným způsobem, jak se vyhnout všem generacím hardwaru Intel novějším než deset let! Bohužel, pokud se rozhodnete pro použití procesoru jiného než Intel, nedostanete se příliš daleko…

Čipy od jiných výrobců nejsou bezpečné!

Všechny čipy AMD po roce 2013 obsahují procesor zabezpečení platformy (PSP). Realizace tohoto je velmi odlišná od implementace IME společnosti Intel, ale je to velmi podobné. Také přichází se všemi stejnými základními otázkami bezpečnosti a svobody jako IM.

Zařízení Android a iOS se na druhou stranu dodávají s integrovaným proprietárním čipem známým jako procesor v základním pásmu. V bezpečnostních kruzích je dobře známo, že to může efektivně fungovat jako zadní vrátka…

Co přesně tedy představuje Intel Management Engine?

IME je hardwarová součást technologie Intel Active Management Technology (AMT). Je navržen tak, aby umožnil správcům systému vzdálený přístup k PC, aby je mohli sledovat, udržovat, aktualizovat, upgradovat a opravovat.

O IME je kromě jeho schopností známo jen velmi málo. Důvodem je skutečnost, že je uzavřený zdroj a je zajištěn klíčem RSA-2048. Jak již bylo uvedeno, aplikace AMT má známé chyby zabezpečení, ačkoli hardwarová součást IME zůstává v bezpečí ... prozatím. Jak poznamenává Benchoff,

"Momentálně nejsou v ME žádné chyby zabezpečení, které by bylo možné zneužít: všichni jsme mimo ME." Ale to je bezpečnost skrze nejasnost. Jakmile ME spadne, všechno s čipem Intel padne. Je to zdaleka nejděsivější bezpečnostní hrozba dnes a je to ta, která se ještě zhoršila naší vlastní nevědomostí o tom, jak ME funguje. “

Pokud jde o zločinecké hackery, jde velmi často o případ, kdy ne, pokud je hardware prasklý. Kromě toho jsou zločinní hackeři pouze jednou z hrozeb, kterých se musíme obávat.

Správci systému získají přístup k funkcím AMT pomocí kryptografických klíčů. Mohly by být ukradeny nebo předány orgánům po obdržení předvolání, soudního příkazu, dopisu o národní bezpečnosti apod..

Vzhledem k tomu, co víme o jeho úzkém propojení s americkým technologickým průmyslem, by bylo spravedlivé předpokládat, že Intel jednoduše poskytl NSA certifikáty a kryptografické klíče nezbytné pro přístup k jakémukoli produkovanému čipu. Opět je to velmi děsivé!

Jak mohu zakázat chat?

Až donedávna bylo nemožné deaktivovat IM ve většině systémů, které používají Intel Core 2 série Intel chipser nebo novější (2006 a novější). Jakýkoli pokus o deaktivaci firmwaru ME na čipu, který obsahuje IME, by měl za následek odmítnutí zavádění nebo vypnutí systému krátce po zavedení systému..

Byla vyvinuta technika pro odstranění ME z čipových sad GM45 (Core 2 Duo, Core 2 Extreme, Celeron M). Fungovalo to však proto, že ME byl umístěn na čipu odděleném od Northbridge.

Tato technika nefunguje pro procesory Core i3 / i5 / i7, protože ME je integrován do Northbridge. Na těchto čipech je možné deaktivovat klíčové části ME, ale vždy to mělo za následek vypnutí PC po 30 minutách, když spouštěcí ROM ME (uložený v SPI Flash) nedokázal najít platný podpis Intel.

Nedávno však výzkumník Trammell Hudson zjistil, že pokud vymazal první stránku oblasti ME (tj. „První 4 kB její oblasti (0x3000), začíná "$ FPT"') jeho ThinkPad x230 se po 30 minutách nevypnul.

Tento objev vedl další výzkumníky (Nicola Corna a Frederico Amedeo Izzo) k napsání skriptu, který využívá tohoto vykořisťování. Všimněte si, že tento skript neodstraní úplně ME sám o sobě, ale z praktického hlediska jej deaktivuje. Benchoff to pozoruje,

"ME si stále myslí, že běží, ale ve skutečnosti nic nedělá."

Je známo, že skript pracuje na procesorech Sandy Bridge a Ivy Bridge a měl by pracovat na procesorech Skylake. Může fungovat i procesory Haswell a Broadwell, ale to nebylo testováno.

Bohužel, použití tohoto skriptu vyžaduje vážné tech chops. Vyžaduje použití beaglebone, čipové svorky SOIC-8 a některých volných vodičů. Vyžaduje také hodně nervů, protože hrozí vážné riziko, že váš procesor zdědí!

Přesto je to důležitý vývoj, který umožňuje těm, kteří jsou dostatečně odhodlaní, aby (efektivně) odstranili backdoor, který existuje téměř v každém moderním procesoru.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me