The Truth About the Intel's Hidden Minix OS and Security Concerns

Als je een op Intel-chipset gebaseerd moederbord hebt, zijn er grote kansen dat het is uitgerust met de Intel Management (Intel ME) -eenheid. Dit is niet nieuw. En bezorgdheid over de privacykwestie achter dat weinig bekende kenmerk werd al enkele jaren aan de orde gesteld. Maar plotseling lijkt de blogosfeer het probleem te hebben herontdekt. En we kunnen veel half-ware of gewoon foute uitspraken over dit onderwerp lezen.

Dus laat me proberen om, zo veel als ik kan, enkele belangrijke punten voor u te verduidelijken om uw eigen mening te vormen:

Wat is Intel ME?

Laten we eerst een definitie geven van de website van Intel:

Ingebouwd in vele op Intel® Chipset gebaseerde platforms is een klein, laagvermogen computer-subsysteem genaamd de Intel® Management Engine (Intel® ME). De Intel® ME voert verschillende taken uit terwijl het systeem in de slaapstand staat, tijdens het opstartproces en wanneer uw systeem actief is.

Simpel gezegd, dat betekent dat Intel ME een andere processor op het moederbord toevoegt om de andere subsystemen te beheren. In feite is het meer dan alleen een microprocessor: het is een microcontroller met een eigen processor, geheugen en I / O. Echt alsof het een kleine computer in je computer was.

Die aanvullende eenheid maakt deel uit van de chipset en staat NIET op de hoofd CPU-chip. Door onafhankelijk te zijn, betekent dit dat Intel ME niet wordt beïnvloed door de verschillende slaapstand van de hoofdcomputer en zelfs actief blijft wanneer je je computer in de slaapstand zet of wanneer je hem afsluit.

Voor zover ik kan vertellen is Intel ME aanwezig, te beginnen met de GM45-chipset, die ons terugbrengt naar het jaar 2008 of zo. Bij de eerste implementatie zat Intel ME op een afzonderlijke chip die fysiek kon worden verwijderd. Helaas bevatten moderne chipsets Intel ME als onderdeel van de northbridge, wat essentieel is voor uw computer om te werken. Officieel is er geen manier om Intel ME uit te schakelen, zelfs als een of andere exploit met succes is gebruikt om deze uit te schakelen.

Ik lees dat het draait op "ring -3" wat betekent dat?

Zeggen dat Intel ME draait in "ring -3" leidt tot enige verwarring. De beschermingsringen zijn de verschillende beschermingsmechanismen die door een processor worden geïmplementeerd, waardoor de kernel bijvoorbeeld bepaalde processorinstructies kan gebruiken, terwijl toepassingen die er bovenop draaien het niet kunnen doen. Het belangrijkste punt is dat software die in een "ring" draait volledige controle heeft over software die op een hogere ring draait. Iets dat kan worden gebruikt voor monitoring, bescherming of om een ​​geïdealiseerde of gevirtualiseerde uitvoeringsomgeving te presenteren aan software die in hogere ringen wordt uitgevoerd.

Op x86 draaien applicaties gewoonlijk in ring 1, de kernel wordt uitgevoerd in ring 0 en een eventuele hypervisor op ring -1. "Ring -2" wordt soms gebruikt voor de microcode van de processor. En "ring -3" wordt in verschillende kranten gebruikt om te praten over Intel ME als een manier om het uit te leggen heeft nog meer controle dan alles op de hoofd-CPU. Maar "ring -3" is zeker geen werkend model van uw processor. En laat me nog een keer herhalen: Intel ME staat niet eens op de CPU-chip.

Ik raad u aan vooral eens naar de eerste pagina's van dat Google / Two Sigma / Cisco / Splitted-Desktop Systems-rapport te kijken voor een overzicht van de verschillende lagen van uitvoering van een typische Intel-computer.

Wat is het probleem met Intel ME?

Door het ontwerp heeft Intel ME toegang tot de andere subsystemen van het moederbord. Inclusief RAM, netwerkapparatuur en cryptografische engine. En dat zolang het moederbord van stroom wordt voorzien. Bovendien kan het rechtstreeks toegang krijgen tot de netwerkinterface via een speciale link voor out-of-band communicatie, dus zelfs als u verkeer volgt met een tool als Wireshark of tcpdump, ziet u niet noodzakelijk het datapakket dat door Intel ME is verzonden.

Intel beweert dat ME nodig is om het beste uit uw Intel-chipset te halen. Zeer nuttig, het kan vooral in een bedrijfsomgeving worden gebruikt voor enkele externe beheer- en onderhoudstaken. Maar niemand buiten Intel weet precies wat het KAN doen. Dicht bij de bron zijn dat leidt tot legitieme vragen over de mogelijkheden van dat systeem en de manier waarop het kan worden gebruikt of misbruikt.

Intel ME heeft bijvoorbeeld de mogelijkheid om elke byte in RAM te lezen op zoek naar een trefwoord of om deze gegevens via de NIC te verzenden. Aangezien Intel ME bovendien kan communiceren met het besturingssysteem (en mogelijk met applicaties) op de hoofd-CPU, kunnen we ons scenario's voorstellen waarin Intel ME wordt gebruikt door een kwaadaardige software om het beveiligingsbeleid op OS-niveau te omzeilen.

Is dit science fiction? Nou, ik ben niet persoonlijk op de hoogte van datalekken of andere exploit die Intel ME hebben gebruikt als hun primaire aanvalsvector. Maar het citeren van Igor Skochinsky kan je een ideaal geven van waar zo'n systeem voor kan worden gebruikt:

De Intel ME heeft een paar specifieke functies, en hoewel de meeste van deze kunnen worden gezien als de beste tool die je de IT-man zou kunnen geven die verantwoordelijk is voor de implementatie van duizenden werkstations in een bedrijfsomgeving, zijn er enkele hulpmiddelen die zeer interessante wegen zouden zijn voor een exploit. Deze functies omvatten Active Managment Technology, met de mogelijkheid voor beheer op afstand, provisioning en reparatie, maar ook als een KVM. De functie Systeemverdediging is de firewall op het laagste niveau die beschikbaar is op een Intel-machine. Met IDE Redirection en Serial-Over-LAN kan een computer opstarten via een externe schijf of een geïnfecteerd besturingssysteem repareren. Identity Protection heeft een ingebed eenmalig wachtwoord voor verificatie met twee factoren. Er zijn ook functies voor een 'anti-diefstal'-functie die een pc uitschakelt als deze op een vooraf vastgesteld interval niet inlogt bij een server of als een' gifpil 'via het netwerk is afgeleverd. Deze antidiefstalfunctie kan een computer doden of de schijfcodering waarschuwen om de coderingssleutels van een schijf te wissen.

Ik liet je de presentatie van Igor Skochinsky bekijken voor de REcon 2014-conferentie om een ​​overzicht van de mogelijkheden van Intel ME uit eerste hand te hebben:

  • slides
  • video-

Ter aanvulling, om u een idee te geven van de risico's, bekijkt u de CVE-2017-5689 die in mei 2017 werd gepubliceerd over een mogelijke privilegesescalatie voor lokale en externe gebruikers die de HTTP-server gebruiken die op Intel ME wordt uitgevoerd wanneer Intel AMT is ingeschakeld .

Maar raak niet meteen in paniek, want voor de meeste pc's is dit geen probleem, omdat ze geen AMT gebruiken. Maar dat geeft een idee van de mogelijke aanvallen op Intel ME en de software die daar actief is.

Wat weten we over Intel ME? Hoe is het gerelateerd aan Minix?

Intel ME en de software die er bovenop draait zijn van grote waarde en mensen die toegang hebben tot de gerelateerde informatie zijn gebonden aan een geheimhoudingsverklaring. Maar dankzij onafhankelijke onderzoekers hebben we er nog steeds wat informatie over.

Intel ME deelt het flash-geheugen met uw BIOS om de firmware op te slaan. Maar helaas is een groot deel van de code niet toegankelijk via een eenvoudige dump van de flits omdat deze afhankelijk is van functies die zijn opgeslagen in het ontoegankelijke ROM-gedeelte van de ME-microcontroller. Bovendien blijkt dat de delen van de code die toegankelijk zijn, zijn gecomprimeerd met behulp van niet-geopenbaarde Huffman-compressietabellen. Dit is geen cryptografie, de compressie-versluiering zou sommigen kunnen zeggen. Hoe dan ook, het helpt niet bij reverse-engineering van Intel ME.

Tot zijn versie 10 was Intel ME gebaseerd op ARC- of SPARC-processors. Maar Intel ME 11 is gebaseerd op x86. In april probeerde een team van Positive Technologies de tools te analyseren die Intel levert aan OEM's / leveranciers, evenals een aantal ROM-bypass-codes. Maar door compressie met Huffman konden ze niet ver komen.

Ze konden echter wel TXE, de Trusted Execution Engine, een systeem dat op Intel ME leek, analyseren, maar beschikbaar op de Intel Atom-platforms. Het leuke aan TXE is dat de firmware niet door Huffman is gecodeerd. En daar vonden ze iets grappigs. Ik geef er de voorkeur aan hier de betreffende paragraaf in extenso te citeren:

Toen we bovendien naar de gedecomprimeerde vfs-module keken, kwamen we de tekenreeksen tegen "FS: nep-kind voor forking" en "FS: forking bovenop het kind in gebruik", die duidelijk afkomstig zijn van de Minix3-code. Het lijkt erop dat ME 11 gebaseerd is op het MINIX 3 OS ontwikkeld door Andrew Tanenbaum :)

Laat het duidelijk zijn: TXE bevat de code "geleend" van Minix. Dat is zeker. Andere hints suggereren dat het waarschijnlijk een volledige Minix-implementaties uitvoert. Ten slotte kunnen we, ondanks geen bewijs, zonder al te veel risico's aannemen dat ME 11 ook op Minix zou zijn gebaseerd.

Tot voor kort was Minix zeker geen bekende OS-naam. Maar een paar pakkende titels veranderden dat onlangs. Dat en een recente open brief van Andrew Tannenbaum, de auteur van Minix, zijn waarschijnlijk de oorzaak van de huidige hype rondom Intel ME.

Andrew Tanenbaum?

Als u hem niet kent, is Andrew S. Tanenbaum computerwetenschapper en emeritus hoogleraar aan de Vrije Universiteit Amsterdam in Nederland. Generaties studenten, waaronder ik, hebben computerwetenschappen geleerd via boeken, werk en publicaties van Andrew Tanenbaum.

Voor educatieve doeleinden begon hij eind jaren 80 met de ontwikkeling van het door Unix geïnspireerde Minix-besturingssysteem. En was beroemd om zijn controverse op Usenet met een toen jonge kerel genaamd Linus Torvalds over de deugden van monolithische versus micro-kernels.

Voor wat ons vandaag interesseert, heeft Andrew Tanenbaum verklaard geen feedback te hebben van Intel over het gebruik dat zij van Minix hebben gemaakt. Maar in een open brief aan Intel legt hij uit dat hij enkele jaren geleden gecontacteerd werd door Intel-technici die technische vragen over Minix stelden en zelfs om codewijziging vroegen om selectief een deel van het systeem te kunnen verwijderen om de voetafdruk te verkleinen.

Volgens Tannenbaum heeft Intel nooit de reden voor hun interesse in Minix toegelicht. "Na die eerste uitbarsting van activiteit, was er een paar jaar radiostilte", dat is tot vandaag.

Als laatste opmerking, legt Tannenbaum zijn standpunt uit:

Voor de goede orde zou ik willen zeggen dat toen Intel contact met mij opnam, ze niet zeiden waar ze aan werkten. Bedrijven praten zelden over toekomstige producten zonder NDA's. Ik dacht dat het een nieuwe Ethernet-chip of grafische chip was of iets dergelijks. Als ik vermoedde dat ze misschien een spionagemotor zouden bouwen, zou ik zeker niet hebben meegewerkt [...]

Het is het vermelden waard als we het morele gedrag van Intel in twijfel kunnen trekken, zowel wat betreft de manier waarop ze Tannenbaum en Minix benaderden als wat betreft het doel dat werd nagestreefd met Intel ME. Strikt genomen handelden ze perfect in overeenstemming met de voorwaarden van de Berkeley-licentie die het Minix-project vergezelde.

Meer informatie over ME?

Als u op zoek bent naar meer technische informatie over Intel ME en de huidige status van de communitykennis van die technologie, raad ik u aan de Positive Technology-presentatie te bekijken die is gepubliceerd voor de TROOPERS17 IT-Security-conferentie. Hoewel dit voor iedereen niet gemakkelijk te begrijpen is, is dit zeker een verwijzing naar de geldigheid van ergens anders gelezen informatie.

En hoe zit het met het gebruik van AMD?

Ik ben niet bekend met AMD-technologieën. Dus als u meer inzicht heeft, kunt u ons dit laten weten via de sectie Opmerkingen. Maar voor zover ik weet, hebben de AMD Accelerated Processing Unit (APU) -lijn met microprocessors een vergelijkbare functie waarbij ze een extra ARM-gebaseerde microcontroller insluiten, maar deze keer rechtstreeks op de CPU-chip. Verbazingwekkend genoeg wordt die technologie door AMD geadverteerd als "TrustZone". Maar net als voor zijn Intel-tegenhanger, weet niemand echt wat het doet. En niemand heeft toegang tot de bron om het exploit-oppervlak te analyseren dat het toevoegt aan uw computer.

Dus wat te denken?

Het is heel gemakkelijk om paranoïde te worden over die onderwerpen. Wat bewijst bijvoorbeeld dat de firmware op uw Ethernet of Wireless NIC u niet bespioneert om gegevens via een verborgen kanaal te verzenden?

Wat Intel ME meer zorgen baart, is omdat het op een andere schaal werkt, omdat het letterlijk een kleine, onafhankelijke computer is die alles bekijkt wat er op de hostcomputer gebeurt. Persoonlijk werd ik bezorgd door Intel ME sinds de eerste aankondiging. Maar dat weerhield me er niet van om op Intel gebaseerde computers te gebruiken. Zeker, ik zou het liefst willen dat Intel de keuze maakte om de Monitoring Engine en de bijbehorende software open source te maken. Of als ze een manier waren om het fysiek uit te schakelen. Maar dat is een mening die alleen mij betreft. Daar heb je zeker je eigen ideeën over.

Tot slot, ik zei hierboven, mijn doel bij het schrijven van dat artikel was om u zoveel mogelijk verifieerbare informatie te geven zodat u uw eigen mening kunt geven ...

Aanbevolen

LosslessCut is een belachelijk eenvoudige videosnijder voor Linux
2019
Crisis bij Void Linux als hoofdontwikkelaar ontbreekt in actie
2019
Putty installeren op Ubuntu en andere Linux-distributies
2019