Об открытости процессоров Intel и AMD внешним воздействиям, обходящим операционную систему и пользовательские защиты.
В интервью с В.Б. Бетелиным (https://youtu.be/cR5AGXQqe5E) внимание слушателей привлек эпизод на интервале 30:10-31:40, на котором академик декларирует полную незащищенность от "прослушивания" и вредоносных внешних воздействий информационных систем, использующих процессоры Intel выпуска последних нескольких лет.
Мы, на условиях анонимности, получили комментарии к этой дискуссии от одного из отечественных специалистов в области информационных технологий.
Сегодняшний микропроцессор Intel представляет собой сложную систему компонент, размещенных на одном кристалле. Они образуют дружную семью подсистем, обеспечивающих работу той сложной микросхемы, которая коротко называется «микропроцессор Intel». Среди этих подсистем несколько пользовательских процессорных ядер и несколько видов энергонезависимой памяти, системный контроллер, проводные и беспроводные интерфейсные контроллеры и др.
Несколько лет назад Intel ввел в эту семью нового привилегированного члена – дополнительное процессорное ядро, наделенное неограниченными правами на надзор и вмешательство в работу всех пользовательских ядер и всех вообще аппаратных ресурсов «микропроцессора Intel». Этот новый член семьи наделен собственной памятью, неподконтролен остальным членам семьи и может действовать так, что остальные члены семьи и не заподозрят, что за ними наблюдают и в их работу вмешиваются.
Говоря техническим языком, последние 12 лет каждый микропроцессор компании Intel работает под контролем неотключаемой штатной аппаратно-программной компоненты Intel Management Engine (ME).
Полный круг задач, выполняемых зашифрованным программным обеспечением на процессоре ME, сообществу IT-профессионалов всего мира до сих пор не известен. Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим. Встроенное ПО компоненты ME зашифровано. Компонента Intel МЕ фактически представляет собой автономный сверхминиатюрный компьютер, встроенный в корпус микропроцессора Intel. Этот компьютер достаточно мощный, на нем используется разработанный компанией Intel вариант операционной системы типа Unix, в состав встроенного ПО входит web-сервер. Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel.
В то же время, сама компонента Intel ME имеет 100% доступ ко всем потокам данных входящим и выходящих из «микропроцессора Intel», имеет наивысший уровень и привилегии доступа ко всем аппаратным ресурсам и всем процессам, происходящим на «микропроцессоре Intel», будучи аппаратно защищена от любого доступа со стороны ядра ОС или даже гипервизора, не говоря уже о программах пользовательского уровня. Эта компонента может цензурировать и/или фальсифицировать потоки данных, приходящих извне к пользовательским ядрам, замедлять или искажать работу этих ядер или вообще отключить их, оставшись единственным птенцом в гнезде процессорных ядер микропроцессора Intel.
В процессоры компании AMD, начиная с 2013 г, также включается подобная «контролирующая» компонента, называемая Platform Security Processor.
Вывод: производимые в последние годы процессоры Intel и AMD практически не могут быть защищены от внешних воздействий за счет доработки системного и прикладного программного обеспечения, функционирующего на этих процессорах.
В дополнение темы:
1. The Intel Management Engine (ME) https://en.wikipedia.org/wiki/Intel_Management_Engine
2. Как избежать восстания машин (апрель 2016) https://habrahabr.ru/company/dsec/blog/282546/
3. "Frequently Asked Questions for the Intel® Management Engine Verification Utility". The Intel® ME performs various tasks while the system is in sleep, during the boot process, and when your system is running.
https://www.intel.com/content/www/us/en/support/articles/000005974/software/chipset-software.html
4. OpenNews: Google развивает открытую замену прошивкам UEFI
https://www.opennet.ru/opennews/art.shtml?num=47469
5. AMD Secure Processor (Built-in technology)
http://www.amd.com/en-gb/innovations/software-technologies/security
Комментарии
хмы
иранцы, а совсем недавно венесуэльцы поняли, что такое несанкционированное внешнее управление своими компьютерами
с другой стороны, хочешь полной безопасности даже на микроофте и интеле?- убей доступ компа (любой) во внешнюю сеть.
РАН это как отметина, а академик известный академикам,как клеймо.
прежде чем нести всякую чушь попробуйте хотя бы докторскую защитить.
К сожалению РАН действительно сильно себя дискредитировал, вот такими вот академиками.
Ты уверен, что аватарка имеет право изливать такое на вице-президента РНЦ «Курчатовский институт»?
У меня где-то в шкапчике валяется материнка Intel на 775 сокете, на которой IME ещё нет. При чём, в последних её ревижнах - оно уже есть. Где-то в районе 2007-го оно массово попёрло, да.
В общем, если будут сильные проблемы - люди просто массово повалят на AMD или какой-ньть китайский перепил.
Кстати, судя по качеству биосов/фирмварей от самого интела - основные силы там бросили именно на эту порнографию. А то, с чем работают пользователи - пишется где-нибудь в Буркина-Фасо.
на 775 уже есть
начиная с 965 чипсета
а sm bus появилась на 3их пнях
правда на 3их пнях тока через езернет
а с 965 уже по беспроводной
Не сразу - помню, что в апдейтах биоса были две версии - для плат с этой хренью и без неё ....
Опять же - какой-ньть асус не факт, что такое на борту имеет. Там usb винты-то читать целиком научились только на EFI :)
все имеет - это на уровне чипсета и биос там не причем
вам же написано в статье - работает независимо от железа
фактически железо затыкается на прерываниях от внутреннего запроса и не видит его
усб - та еще хрень и она тут не при делах
Ну, сталкиваясь с железом интел - сетевухи, матери - можно быть уверенным, что прошло лет пять прежде чем оно заработало без диких багов ;)
У самого интела, кстати, значится, что IME на ней нет. Даже на более новой, подручной, 2008го года - тоже нет (на P43). На тех, где есть - строчка про IME в "описании продукции" просто отсутствует :)
Вывод академика многим был понятен еще лет так 20 назад. Скажу без ложной скромности.
Но у меня в связи с этим только один вопрос: почему у нас нет суверенных процессоров, а рабоиы по ним даже только начались столь поздно? Это необразованность команды или что-то более очевидное?
Ждали жареного петуха.
Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel."
Две подчеркнутые фразы противоречат друг другу. Может защищенный участок процессора и может делать что-либо неконтролируемо из-вне (наверняка может). Но общаться с внешним миром и быть "необнаружимым" - невозможно технически. Ну разве что джеймсбондовский вариант - когда в процессоре или чипсете есть скрытый сетевой интерфейс, общающийся с "хозяевами", минуя ethernet и wifi. Но и это профильными спецами вычисляется на раз..
Не бери в голову, просто на видео два чела нашли друг-друга и оба похоже гуманитарии.
А как ПО, работающее на ПК узнает, что, отдельный проц на материнской плате этого ПК, сам-собой лезет в сеть.. если он сам об этом не известит соотв. системы ?
ПО может и никак не узнает, но снифферы сетевых интерфейсов никто не отменял. Проф. сетевые админы анализируют не то, что проходит через ОС компа, а то, что проходит через его сетевой интерфейс, причем внешними средствами. Лезет в сеть - есть пакеты на порту, есть пакеты на порту - есть предмет для анализа.
От самой операционки скрыть - можно, от коммутатора (маршрутизатора), к которому подключен сетевой интерфейс - нет. Т.е. левый трафик не скрыть в принципе. Зашифровать, замаскировать - можно, скрыть - нет..
Я же говорю, то что написано в топике возможно только в том случае, если IME использует каналы связи, физически не зависимые от сетей клиента. А это уже откровенная шпионщина.
Ну так о ПО( в т.ч антивирусы ), что запущено на ПК и была речь.
Очевидно, что, мимо какого-то внешнего устройства, через которые будет проходить трафик, запросы по этому каналу связи незаметно не пройдут.
Но это ощутимо повышает издержки для обеспечения минимальной безопасности.
Уже мало просто хорошего ПК, хорошего антивируса и разъяснительной работы для сотрудников( в плане открытия документов из сомнительных писем ). К этому прибавляется внешняя железка и админ.. а если и в железке будут соотв. закладки ?)
Вообще, не так уж и мало подобных( потенциально дырявых ) ПК.
Особенно, если говорить о таком классе компов, как рабочие ноуты( либо - домашние компы, через которые иногда работают / подключаются из дома ).
Ноуты, которые днем в конторе, а вечером - дома и подключены к сети без всяких заморочек с админами и маршрутизаторами.
Собственно, через компы сотрудников( либо, какие-то периферийные системы ) частенько и влезают( стащили пароли итд итп ).. притом, даже без МЕ, т.к уровень их безопасности обычно гораздо ниже, чем у чего-то ключевого и основного оборудования в самой конторе.
Ну первое читать и слушать Семина на технические темы - это идиотизм.
Про Intel ME почитать можно на сайте Intel. Вот про него несколько ссылок из других источников:
https://itsfoss.com/fact-intel-minix-case/
https://hexus.net/tech/news/software/111857-intel-management-engine-runs...
https://www.howtogeek.com/334013/intel-management-engine-explained-the-t...
https://www.intel.ru/content/www/ru/ru/support/articles/000008927/softwa...
Давно уже все известно стоит там Minix 3 (поделье профессора Эндрю Таненбаума- кстати много толковых книжек написал про Unix) Распространяется данная Unix-подобная ОС под лицензией BSD. Это микроядерная ОС.
Что касается видео то данный академик несет херню. Данные процессора достижимы с помощью утилит Intel ME.
Ну и кроме того никто не знает насколько безопасен Эльбрус поскольку их количество ничтожно мало и никто его проверять не будет.
Когда Семин пишет на компьютерные темы - он выглядит ещё большим кретином, чем когда пишет о коммунизме.
Это точно.
Страницы