Неделю назад мы писали о том, что в подсистеме Intel Management Engine найдена критическая уязвимость, которая позволяет получить доступ к огромному количеству ПК, основанных на CPU Intel. Тогда уточнялось, что речь шла о моделях поколения Skylake и новее.
Сегодня Intel подтвердила факт наличия уязвимости. Компания проверила не только Management Engine (ME), но и Server Platform Services (SPS) и Intel Trusted Execution Engine (TXE). Оказалось, что проблемы имеются у ME версий 11.0/11.5/11.6/11.7/11.10/11.20, а также у SPS 4.0 и TXE 3.0. А это в свою очередь означает, что проблема касается достаточно широкого списка процессоров.
Он включает поколения Skylake, Kaby Lake, восьмое поколение CPU, в которое пока входят модели Kaby Lake Refresh и Coffee Lake, Xeon Processor E3-1200 v5 и v6, семейства Xeon Processor Scalable и Xeon Processor W, CPU Atom C3000, семейство процессоров Apollo Lake линейки E3900, линейку Apollo Lake Pentium, а также процессоры Celeron N и J. Проще говоря, огромное количество настольных, мобильных и серверных процессоров, вышедших за последние годы.
Проблема усугубляется тем, что сама Intel, несмотря на всю закрытость той же подсистемы ME, не может исправить ситуацию выпуском патча. Такие заплатки должны выпустить производители системных плат либо готовых устройств, если речь о мобильном сегменте. А это, само собой, потребует времени.
Т.к. не всем понятно в чем проблема с уязвимостью то добавлю вторую часть статьи (более раннюю) где описана эта проблема.
Intel Management Engine — привычный для большинства пользователей ПК набор слов. Привычен он тем, что при установке операционной системы последняя требует драйверы для этого самого Intel Management Engine (IME).
Данная подсистема появилась более 10 лет назад и сейчас является неотъемлемой частью практически любого ПК с процессором Intel. Однако достаточно любопытным является тот факт, что информации о данной подсистеме крайне мало. По каким-то причинам Intel не раскрывает практически никаких подробностей.
Известно, что это отдельный микропроцессор, который на данный момент интегрируется в чипсеты. Известно, что он ответственен за работу многих процессов. К примеру, удалённого администрирования. Также известно, что данный микропроцессор запускает собственную операционную систему, которая работает отдельно от основной. Эта ОС называется Minix. Точнее, это закрытая версия ОС Minix.
Intel Management Engine, предположительно, имеет доступ ко многим или даже ко всем интегрированным устройствам ПК и может обращаться к оперативной памяти. Всё это, учитывая закрытость данной системы, долгое время настораживало специалистов по безопасности. И оказалось, что не зря.
Российская компания Positive Technologies обнаружила дыру в безопасности Intel Management Engine и смогла использовать её для заражения ПК. Благодаря уязвимости вредоносный код можно запустить практически на любом ПК с Intel Management Engine. То есть, на большинстве компьютеров в мире, хотя сторонние источники говорят, что способ пока работает лишь для CPU поколения Skylake и новее. Для атаки специалисты использовали порты отладки JTAG.
К слову, незадолго до того, как стало известно об уязвимости, в Сети появилась информация о том, что Google работает над удалением ОС Minix из своих ПК, основанных на процессорах Intel.
По простому - в ЛЮБОМ процессоре Интел есть ЕЩЕ ОДИН процессор. Полностью независимый от большого и который мало того что сам может исполнять некоторый код так еще и может управлять большим процессором.
Т.е. в любое время Интел может что угодно сделать с любым компом где есть его процессоры.
Комментарии
Кто же сомневается, что надо! Только кто ж его сделает.
Да процессор то есть, но цена, не для конечного пользователя.
Дело не в цене, а в понимании, что за этим стоит. А понимания нет. Как пример, вот есть понимание, что мост в Крым должен быть, и дело вовсе не в цене и сделают с опережением сроков. Мост считаю очень серьезным проектом. Здесь же какие то мрии о цифровой экономике, о майнинге. Люди в этом смысле не очень вменяемые. А задача, гораздо более важная чем строительство моста в Крым.
Дак процессор есть, но вы его не купите из за цены.
Я выше заметил, что дело не в цене, а в целеполагании. Вопрос стратегический. Если Intel это реализует, то у Вас вообще после 2020 года ни какой альтернативы не будет, что скажут, то и будете "кушать" и при чем тут GTA. Мы уже сейчас должны активно переползать на свою программно аппаратные средства.
Кроме интела есть и амд, да и к 2020 году эльбрусы будут уже доступны всем.
Интел и амд это одна лавочка.
Через три года? Вы сами верите в то, о чем говорите? Вообще то хорошо бы, но мало верится.
Если экспорт интела к нам прекратится то наладят массовое производство влегкую.
будем надеяться что наши договорятся с пиндосами чтобы они запретили
волшебный пендаль
заставь в бюджетной сфере покупать ПК только на нашей платформе и с нашей ОС - как минимум несколько млн штук получится
Что покупать? Свой процессор, а шире - платформа, это целая индустрия. Рывок в экономике. Ни кто не даст это делать. Сейчас задача все что осталось превратить в труху.
Надо-же... Они уже какую по счёту редакцию железа делают. На ихних серверах базы МВД и миграционки крутятся. А это, оказуецца, приведение в "труху". Не знал, запишу, чтобы не путать.
Спасибо, не знал, тоже запишу для себя. Я думал кроме МВД у нас в стране еще многие используют вычислительную технику. Оказывается только МВД. Кстати, Вы сами тоже из МВД? Я вот не из МВД, но персоналку имею.., странно это как то.
Купите Эльбрус - кто запрещает? :))) Или Вам его должны подарить?
Ну давайте, ждемс.
Надо свой иметь, хотя бы ради альтернативы.
Но кто сказал что в наших процессорах никогда не будет ошибок ?
Здесь речь разве об ошибках?
В чем уязвимость то?
Обнаруженный Бэкдор и прочие специально сделанные закладки в демократическом обществе принято называть уязвимостью.... Это собирательный образ)
Ну, скажем так, по заявленности это не бэкдор, а дополнительная подсистема для управления компом. Например -что бы можно было его по сети пробудить или еще какие совсем низкоуровневые операции сделать. То, что это еще и дыра - это отдельный разговор.
Ну то есть они все что обрабатывает проц смогут видеть?
А я читал давненько, что есть вообще устройства, которые на расстоянии в проц влазят..
Скажем так - хрен его знает что они там засунули. Может полный контроль над процом удаленно, может только некоторые части. Но даже вариант когда тебе удаленно отключат комп уже хреново в случае войны, или подсадят троян который уже точно сможет что-то сделать с компом. Например иранскую ядерную программу таким способом очень на долго притормозили когда разрушили обогатительную фабрику
Добавил вторую часть где больше написано
Детектор обнаружения дырищи в вашем устройстве
Intel-SA-00086 Detection Tool
Эта загрузка содержит две версии инструмента. Первый - это интерактивный инструмент графического интерфейса, который при запуске обнаруживает аппаратные и программные детали устройства и дает оценку риска. Эта версия рекомендуется, когда требуется локальная оценка системы.
Вторая версия инструмента - это исполняемый файл консоли, который сохраняет информацию об обнаружении в реестре Windows * и / или в файле XML. Эта версия более удобна для ИТ-администраторов, желающих выполнить массовое обнаружение на нескольких компьютерах, чтобы найти системы, предназначенные для обновления прошивки.
Ах, как это прекрасно. Купили вы у мошенника устройство, а в нем чет неправильно эта самая система "нае..га вас" работает И мошенник такой - ой давайте я починю. Чеса, чеса.
не, Вы не правы. Троянчика заслать - дело святое!)) Такова природа людей. Ничего не попишешь)) Если на кого и катить бочку по-взрослому, то только на тех, кто ломал микроэлектронику в СССР. Вот эти настоящие твари и предатели. А что Intel, они обычная фабрика, которая сделала то, что нужно для интересов своей страны. Не нравится - не покупайте! Об этой дыре уже сто лет известно.
Не так. Он есть в чипсете, но без него проц не работает.
Ну а в целом - выпустят патч в БИОС, ничего страшного.
В общем да, но тут речь про совсем простые обьяснения :) Да и в последнее время Интел все больше функций из чипа в проц пихает. Может уже и это перенесли.
Интел может и выпустит, а вендоры? а на старые платформ типа 1155 и 1150 ? Скаи, Каби и Кофе понятно что залатают. а остальным что делать?
В тексте речь идёт про заражение через jtag. Поэтому ответ простой - не подключайте устройств к jtag
Тут еще один вариант нашли - мышки и клавиатуры. Вы уверены что эти устройсва не будут работать по USB с JTAG? Китайцы вполне могут на это пойти
Думаю, к моменту массового появления мышек и клавиатур с хакерским уклоном, появятся патчи на Биос.
Это при условии что китайцы вместе со всеми узнали про дыру, а не раньше открыли.И не все обновятся и не понятно с какой скоростью можно новые клавы и мыши с троянами сделать.
ну да.. выдернул инет-кабель и обломинго штеуду
1. А не думали что там еще и беспроводной вариант может быть? Пусть антена такого размера будет работать только на 1км, но тем не менее
2. А зачем вам сейчас комп без сети? Через клавиатуру и принтер будете обмениваться информацией? Даже если и так уже одно это наносит колосальный экономический удар по стране.
мы вроде о настольных компах говорим, ну в крайнем случае о ноутах
какой там беспроводной вариант без участия пользователя?
или вы уже видели в смартах эти процы?
ну знаете... масса работ не требует сети
а части этой массы сеть категорически противопоказана
Сеть кстати можно и оставить, просто выход в интернет перекрыть.
видимый разрыв гораздо надёжней
ага - хрен ты его перекроешь - тут собственно и заплатка в БИОСе не особенно поможет - тут если строго только смена платформы. ТК реально Главная дыра это не IME и его уязвимости, а доступность JTAG порта на Любом USB и похоже что не исключая "виртуальные пробросы USB".
простите, а в чем нет возможности незадекларированного интерфейса связи для IME установить, не видимый для внешнего процессора?
тот же zigbee адаптер, и организуя между ними сеть. опять же, если интенсивность обмена мала, то вероятность отлова этого сигнала на тех же установках контроля ПЭМИН мала, можно сказать ничтожна мала. а вот м... опасность велика, т.к. плотность насыщенности ИВТ техникой такова что даже 1км. это очень много, т.к. самоорганизуемыми сетями можно покрывать большие пространства, тут же и интернет вещей и старшие арм/мипсовые-процы,
там тоже чего только уже не напихано, даже если у процессоров чисто, то в чипе-посреднике, т.н. северном мосту в ПС платформе вполне можно это реализовать, особенно если есть под рукой и другие сетевые интерфейсы, те же вафли с блюзубами.
слишком большой шум поднимется в случае детектирования самовольной активности на уровне например zigbee
для штеуда такой скандал недопустим
Это если постоянно будет рабоать. А если только на прием до получения определенного сигнала - тогда никто не поймает. А сигнал может быть - начало войны или т.п. после которого уже репутация не важна, а важен максимальный урон.
ну источник сигнала должен быть тоже легализован
да и канал связи должен периодически тестироваться
так что укрыть это полностью почти невозможно
скорее при форс-мажоре могут хлопнуть компы которые окажутся к тому времени в сети
это тоже будет немалый улов
Угу
А вот зачем тестировать канал? Там же не требуется постоянной передачи, только прием. Ну или выбрать частоту которая не используется т.к. не стандартная и раз в месяц делать выброс пакета на 1-2 сек. Не думаю что кто-то поймает, а если поймает то как-то поймет что это сигнал, а не какой-то шум.
ну ты как ребёнок. тебе говорят что это тупо закладка категории "умри". т.к. инфу сливать - это надо ещё как-то идентифицировать как нужную, а не очередные "котики" или "няши-мяши".
поэтому если по этому каналу пошла интенсивная работа - то уже туши свет.
т.е. тупо комп как-бы подвисает, а в это время все ресурсы уходят на гроханье носителей информации и на подъем и удержание mesh-сети, с целью максимального распространения данного сигнала. ну а в штатном режиме - работа на R/O (слушать эфир) и распознавать в ленивом режиме в шуме сигнатуры этого сигнала. т.к. он может быть и шумоподобным в окне радиопрозрачности атмосферы, чтобы можно было например первично пустить сигнал со спутника (т.е. частоты gnss систем).
Любая закрытая система, особенно написанная не вами, это дырень. Что тут обсуждать? Если вы параноик то это ещё не значит что за вами не следят(ц). Уже сотни раз озвучено и что? Ничего. На западе добрые эльфы. Если вы массово откажетесь покупать процессоры Wintel он вам в убыток их начнут продавать. Дарить будут. Потому что дурак он ценнее денег. Дураками сильны СГА(США). Естественно не своими.
загнивание системы. Монополизм.
Две фразы из статьи:
"Известно, что это отдельный микропроцессор, который на данный момент интегрируется в чипсеты. "
"По простому - в ЛЮБОМ процессоре Интел есть ЕЩЕ ОДИН процессор. "
Надо б либо крестик снять, либо трусы одеть - еще один процессор где? В чипсете или в ЦПУ?
По другим источникам он в чипсете, и производители матплат будут клепать обновления биоса для затыкания дыры.
Да-да, тоже заметил, что своим упрощением автор исказил факты.
Там еще есть пункт, что для использования уязвимости использовали JTAG, т.е. использовали отладочный порт! Тут речь не о том, что взлом возможен удаленно, и даже не взломе через флэшку, а через отладочный порт на плате.
И тогда вопрос: а кто в здравом уме пустит шпиона внутрь компа?
Intel® Management Engine (Intel® ME) - подсистема, встроенная в чипсет, предназначенная для различных задач связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы. Для корректной работы Intel ME потребуется драйвер , отсутствие которого приведёт к восклицательным знакам в "Диспетчере Устройств". Требуется ME для старта и первоначальной настройки материнской платы. Выход из строя Intel Management Engine (если плата/ноутбук при этом живы) чаще всего приводит к тому, что вентиляторы работают на полную катушку (без регулировки оборотов, чем в том числе и занимается Intel ME).
Кроме того, на базе ME реализованы другие технологии:
Обращаем внимание на слова - удалённое администрирование/управление компьютером и противоугонный модуль. Что автоматически подразумевает что не обязательно кабель в JTAG тыкать что бы задействовать эту подсистему. Более полная статья про IME. https://vpro.by/intel-management-engine
Страницы