Об открытости процессоров Intel и AMD внешним воздействиям, обходящим операционную систему и пользовательские защиты.
В интервью с В.Б. Бетелиным (https://youtu.be/cR5AGXQqe5E) внимание слушателей привлек эпизод на интервале 30:10-31:40, на котором академик декларирует полную незащищенность от "прослушивания" и вредоносных внешних воздействий информационных систем, использующих процессоры Intel выпуска последних нескольких лет.
Мы, на условиях анонимности, получили комментарии к этой дискуссии от одного из отечественных специалистов в области информационных технологий.
Сегодняшний микропроцессор Intel представляет собой сложную систему компонент, размещенных на одном кристалле. Они образуют дружную семью подсистем, обеспечивающих работу той сложной микросхемы, которая коротко называется «микропроцессор Intel». Среди этих подсистем несколько пользовательских процессорных ядер и несколько видов энергонезависимой памяти, системный контроллер, проводные и беспроводные интерфейсные контроллеры и др.
Несколько лет назад Intel ввел в эту семью нового привилегированного члена – дополнительное процессорное ядро, наделенное неограниченными правами на надзор и вмешательство в работу всех пользовательских ядер и всех вообще аппаратных ресурсов «микропроцессора Intel». Этот новый член семьи наделен собственной памятью, неподконтролен остальным членам семьи и может действовать так, что остальные члены семьи и не заподозрят, что за ними наблюдают и в их работу вмешиваются.
Говоря техническим языком, последние 12 лет каждый микропроцессор компании Intel работает под контролем неотключаемой штатной аппаратно-программной компоненты Intel Management Engine (ME).
Полный круг задач, выполняемых зашифрованным программным обеспечением на процессоре ME, сообществу IT-профессионалов всего мира до сих пор не известен. Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим. Встроенное ПО компоненты ME зашифровано. Компонента Intel МЕ фактически представляет собой автономный сверхминиатюрный компьютер, встроенный в корпус микропроцессора Intel. Этот компьютер достаточно мощный, на нем используется разработанный компанией Intel вариант операционной системы типа Unix, в состав встроенного ПО входит web-сервер. Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel.
В то же время, сама компонента Intel ME имеет 100% доступ ко всем потокам данных входящим и выходящих из «микропроцессора Intel», имеет наивысший уровень и привилегии доступа ко всем аппаратным ресурсам и всем процессам, происходящим на «микропроцессоре Intel», будучи аппаратно защищена от любого доступа со стороны ядра ОС или даже гипервизора, не говоря уже о программах пользовательского уровня. Эта компонента может цензурировать и/или фальсифицировать потоки данных, приходящих извне к пользовательским ядрам, замедлять или искажать работу этих ядер или вообще отключить их, оставшись единственным птенцом в гнезде процессорных ядер микропроцессора Intel.
В процессоры компании AMD, начиная с 2013 г, также включается подобная «контролирующая» компонента, называемая Platform Security Processor.
Вывод: производимые в последние годы процессоры Intel и AMD практически не могут быть защищены от внешних воздействий за счет доработки системного и прикладного программного обеспечения, функционирующего на этих процессорах.
В дополнение темы:
1. The Intel Management Engine (ME) https://en.wikipedia.org/wiki/Intel_Management_Engine
2. Как избежать восстания машин (апрель 2016) https://habrahabr.ru/company/dsec/blog/282546/
3. "Frequently Asked Questions for the Intel® Management Engine Verification Utility". The Intel® ME performs various tasks while the system is in sleep, during the boot process, and when your system is running.
https://www.intel.com/content/www/us/en/support/articles/000005974/software/chipset-software.html
4. OpenNews: Google развивает открытую замену прошивкам UEFI
https://www.opennet.ru/opennews/art.shtml?num=47469
5. AMD Secure Processor (Built-in technology)
http://www.amd.com/en-gb/innovations/software-technologies/security
Комментарии
"Говоря техническим языком, последние 12 лет каждый микропроцессор компании Intel работает под контролем неотключаемой штатной аппаратно-программной компоненты Intel Management Engine (ME).
Полный круг задач, выполняемых зашифрованным программным обеспечением на процессоре ME, сообществу IT-профессионалов всего мира до сих пор не известен. Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим. Встроенное ПО компоненты ME зашифровано. Компонента Intel МЕ фактически представляет собой автономный сверхминиатюрный компьютер, встроенный в корпус микропроцессора Intel. Этот компьютер достаточно мощный, на нем используется разработанный компанией Intel вариант операционной системы типа Unix, в состав встроенного ПО входит web-сервер. Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel."
Иными словами, в процессоре есть что-то, мы не знаем, что такое, но точно знаем, что оно имеет процессор с юниксом, веб сервером, автономным питанием и общается с внешним миром?
Мне здесь видится некоторое противоречие. Либо мы знаем, что там есть юникс и все прочее - тогда на основании чего мы все это знаем, либо мы не знаем, что это такое - тогда мы можем предполагать, но можем предполагать и много другого разного... с весьма низкой степенью достоверности...
Оно закрыто... А реинжениринг не получается...
Но если оно закрыто, как можно говорить о том, что у него внутри? Как можно утверждать, что там есть юникс с вебсервером?
Почему не стриптизерши с текилою? Наностриптизерши.
Да поломали уже давно неломаемое. Семин везде по чуть чуть не в теме
Ага, и профессор тоже.
Не вижу трудности обнаружить активность веб-сервера.
Одно дело примерно разобраться какие функции и методы используются.
Совсем другое - полностью разобрать весь алгоритм работы.
Тут даже в случае с незашифрованной программой "не все так однозначно"(тм)
Когда в нулевых я работал на МО всем сотрудникам было известно, что процессоры интел обладали функционалом слежки и отправки данных. Сейчас на чип прицеплен компьютер с увеличенными возможностями и с этим тоже научились бороться. ;)
Тоже мне открытие... В компе еще винты есть, видяхи, память. Дятла можно подселить када угодно... Лет этак 10 назад была серия винчестеров которая тырила пароли от ВоВ(мир варкрафта). И ниче се... От железных закладок нет страховки. Только самому делать со мвоими закладками.
Насчет цензурирования это какой-то бред. Мне кажется (истово перекрестился), максимум, что может такая система - считывание и отправка данных, ну на крайняк запуск приложений в "обслуживаемой" системе
Храню в исправном состоянии 2 компьютера 2000-х годов производства. На случай мега-блэкаута или кибер-апокалипсиса...
Я на таких работаю!
А храню несколько Juko XT с процессорами NEC и 8087. ))
А зачем делать блекаут системе за которой следишь, в чем смысл ? Все равно как отключится от потока инсайдерской информации, которая приносит миллионы каждый день, такую поллитру с золотыми яйцами вдребезги ?
Потекшие конденсаторы чтоб запустить сами перепаять сможете? ;)
Конденсаторы текут не от времени, а от продолжительной эксплуатации с плохим охлаждением.
До сего дня мог.
На случай блэкаута храню распберри( как микроконтроллер оказалось сильно дорого и жирно, как комп - слабое г.но ), пару мк атмел и полуживой аналог Z80( если компам придет конец.. появится целая куча времени в нем разобраться и починить. Ведь компов не станет и время впустую тратить будет некуда
)
А что-с с этим делать прикажете?)) Походу пиндосовские брехеньки про несокушимое и легендарное)))
с помощью любого механического жесткого диска можно удаленно прослушивать помещение в котором находится комп с этим хардом
так что тут кукушат только начни считать
Не подскажите как?
http://www.cnews.ru/news/top/2019-03-14_lyuboj_zhestkij_disk_mozhno_prev...
Кто интересуется тому докладываю что в IntelME стоит unix-like ОС minix с микроядерной архитектурой. Создание сумрачного Таненбаума - заочного оппонента Торвальдса. Товальдс это условный отец ядра Linux. Довёл мерзский прохвессор до ума своё детище, хад.
MINIX - хорош для своих целей.
А взгляды Таненбаума и Торвальдса разошлись в типе ядра. Торвальдс за монолит, Таненбаум двигал микроядерную архитектуру.
Если кому-то интересно, рекомендую https://habr.com/ru/company/pt/blog/430132/
Если эта штука попробует "пообщаться", она будет тривиально отловлена брандмауэром организации. В котором процессор Intel не стоит, и который может быть не Cisco, а, например, недружественный Huawei.
После чего безопасники начнут разбираться - а что это тут у нас такое долбится и зачем? И очень быстро разберутся.
Я не берусь даже предполагать всей степени негативных последствий для Intel, если подобный факт будет зафиксирован и предан огласке.
В рамках конспирологии, а вдруг эта штука работает только на приём? Ну, типа приём команд от пресловутого ЗОГа?
Как определить адрес на который надо слать пакеты?
продолжу мысль. а вдруг эта штука будет задействована только после начала ядерной войны? безопасникам будет не до интеля
именно. если компьютеры работают с секретной информацией - они не должны торчать голой жопой в интернет. и всё будет хорошо
Любой современный комп долбится с утра до вечера в материнские компании под видом проверки и скачки обновлений, лицензий, отсылки сбоев и прочего барахла. Этим занимается как ОС, так и драйвера (в т.ч. интеловские), а также установленные программы. Если брандмауэр начнёт это всё резать, комп просто перестанет работать, а выделить из потока данных в сторону Интела или Микрософта именно шпионские данные невозможно (их будет очень немного, пароли да адреса). Работать вообще без подключения современные компы постепенно отказываются, ибо как ОС, так и программы стройными рядами переходят на принцип аренды ПО.
??? Ваш комп перестаёт работать, если его отключить от Интернета?
В сторону Интела рабочий комп вообще не должен ходить. С Микрософта тоже обновления скачиваются на WSUS и возможности у рабочего компа что-то отправить наружу нет.
P.S. Домашние компы шпионят вовсю, но речь вроде не про них.
> В сторону Интела рабочий комп вообще не должен ходить. С Микрософта тоже обновления скачиваются на WSUS и возможности у рабочего компа что-то отправить наружу нет.
Вы ещё скажите, что шпионские модули можно заблокировать, закрыв доступ к intel.com и microsoft.com :-) Там же (в этих компаниях) не дети сидят - могут зарегистрировать хоть десятки тысяч "левых адресов" и прошить их либо изначально, либо регулярно обновлять список через ваш же WSUS.
Даже обновления могут на 10-й винде скачиваться через встроенный торрент-клиент, скачивая недостающие куски от соседей в локалке. Чего уж говорить о базовом функционале отправки шпионской информации через соседние компьютеры, которые таки имеют доступ в интернет - будь то рабочие машины пользователей или сервер WSUS... Эти идеи лежат на поверхности. Не будьте столь наивны.
Они (интеловцы) полноценную ОС с файловой системой и веб-сервером засунули в ПРОЦЕССОР! Если бы это не было правдой - это бы казалось паршивой теорией заговора человека, не разбирающегося в ИТ. Тем не менее это правда:
https://ru.wikipedia.org/wiki/Intel_Management_Engine
https://habr.com/ru/company/pt/blog/430132/
Что уж говорить о возможности виндоуз-систем "перестукиваться" друг с другом, чтобы помочь отправить информацию во вне.
Тем более логично предположить функционал, при котором уже и эти системы Intel_Management_Engine из статьи будут объединяться и передавать информацию куда они хотят - например через прокси, если он тоже на интеле.
На firewall закрыть все, а потом открыть только то куда ходишь и заблокировать весь входящий трафик, почему так не сделать?
Это придется на роутере делать, потому что IME стучит в сеть в обход операционной системы.
Естественно на роутере. Но роутер сейчас даже домашний пользователь может себе позволить.
организовать "белый список" разрешений в большой конторе - достаточно сложно. Всегда будут люди, которым нужен полный доступ в интернет, например для поиска оборудования. Открывать каждую ссылку, которую выбрал пользователь в поисковом запросе?
Да, что-то можно закрыть ("чёрный список"), да, что-то можно открыть по "белому списку", но по белому списку - это не интернет. Это, грубо говоря, доступ к десятку/сотне сервисов. А людям для работы нужен, порою, интернет. Уже не говоря про админов/программистов, которые ищут в интернете решения проблем. Открыть доступ к паре форумов - это мягко говоря не решение.
Выводить таких пользователей в ДМЗ, отключая их от локалки? В общем нерешаемо это, если только полностью не отключить интернет. И то, кто-нибудь да воткнёт usb-интернет модем. Запрещать вообще тотально всё - тогда образно 90% контор встанет.
У таких людей журналируется каждый запрос в Интернет и любая странная активность трактуется как «компьютер взломали/запущен компьютерный вирус».
ДМЗ обязательно. Не отключая, а считая такие компьютеры потенциально уязвимыми и давая доступ в локалку только через маршрутизатор/брандмауэр/детектор вторжений.
Без администраторских прав получит сообщение "неизвестное устройство". В организациях, где беспокоятся о безопасности, кроме клавиатуры и мышки в USB бесполезно что-то втыкать. Работать не будет и служба безопасности через две минуты позвонит поинтересоваться, так как через доменную политику факт попытки подключения устройства будет зафиксирован.
Так тотально и не запрещают. Но втыкать что попало и запускать что попало в большинстве организаций запрещают. На это там есть специально обученные системные администраторы.
> У таких людей журналируется каждый запрос в Интернет и любая странная активность трактуется как «компьютер взломали/запущен компьютерный вирус».
Куда современные компьютеры с виндой только не стучат - и в мс, и в телеметрию и в обновление адоба и скрос-запросы во всякие фейсбуки. А если пользователь нечаянно тыкнул "не ту ссылку" и там открылось что-то непотребное - с кучей кросс-ссылок на другие непотребные ресурсы (да даже банально рекламные). Не знаю... Если всё это "расследовать", то служба безопасности только ссылочками и будет заниматься. Может быть так и надо...
??? Ваш комп перестаёт работать, если его отключить от Интернета?
Да, постепенно перестаёт. Работающий комп - это программы, а не вентилятор в ящике под столом. А программки постепенно переходят на лицензионную систему, и постоянно проверяют годность лицензии. У меня лично в таком режиме на рабочем компе шпарят Матлаб, Ориджин, Оффис 365, Автокад, вот-вот Акробат перейдёт. Без них мне этот комп нужен максимум как часы размером с экран.
Пока можно некоторые программы иметь в безынтернетной версии. Но вся эта индустрия учуяла бабло и яростно переходит на лицензионную модель: через подкуп крупных пользователей, через обязательное использование облачных технологий (то, что я вижу). Как только основная масса платящих пользователей (а это точно не мы с вами) туда перейдёт - они отключат выпуск самостоятельно работающих программ, заодно и отрезав от прогресса всех открытокодных конкурентов.
Кстати, линуксы, с их завязками на постоянные докачки библиотек и всяких дистрибутивов, ничуть не лучше.
Во всех протоколах есть неиспользуемые биты в полях. В доке на них написано: зарезервировано для последующего использования. Что мешает в ответных пакетах любого уровня (2, 3) их начать заполнять.. Ваши брандмауэры и коммутаторы их прекрасно пропустят к процессору, а он будет воспринимать эти биты как управляющие команды. Безопасники конечно разберутся. Без логов, с неработающей инфраструктурой... Это так, очевидная конспирология. Вопрос что потом Интел будет делать? Это уже не важно. Геополитический противник обездвижен....
Все Huawei сервера и дисковые массивы на Intel процессорах.
Сетевое оборудование на Broadcom (это американская компания).
Нет.
https://e.huawei.com/ru/products/cloud-computing-dc/servers/arm-based/taishan-x6000
Нет.
https://e.huawei.com/ru/products/enterprise-networking/switches/campus-switches/s12700
спустя 12 лет они узнали про ME. с учетом того что документация на ME есть на сайте интела. сенсация
И никто не догадался продолжить мысль о том, что примерно то же самое творится с людями? Например, есть одно "избранное" племя, у которых много тысяч лет назад в мозги был инсталлирован бэкдор, в аккурат перед синайским турпоходом )))
Спустя три дня индеец Зоркий сокол заметил, что в его тюремной камере нет стены.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Бедный, бедный
мистер ХолмсIntel и AMD ! Затратить такую бездну ресурсов, что бы получить тривиальнейшую инфу о том, что 80-90% пользователей их продукции играют в игры и ходятналевона ххх-сайты! О!!! Еще на aftershock.news! Отключить их в "час Х" (теоретически), конечно, сто'ит всеразличных ухищрений! А вдруг у этих подонков интернет отключат!? "Национальный" введут!? Пичалько. Одна надежда на лохов в госструктурах потенциальных партнеров! Исчезающе малая, но не мнимая же!Представил, как вы толкаете примерно такую же речь перед родственниками тех кого убил боинг-макс...
"Бедный, бедный
мистер ХолмсIntel и AMDБоинг! Затратить такую бездну ресурсов, что бы получить тривиальнейшую инфу о том, что 80-90% бортов взлетают..."А причем здесь Boeing ?
Чего уж там, не стесняйтесь, а давайте-ка поговорим о пищевых добавках? Говорят - смертельно опасная штука! Или о вакцинациях - тож спорная тема. Можно привлечь мнение ЛГБТ сообществ по данным вопросам. Спросите - к чему это? К Боингу! ...гм, рейс MH17
Страницы