r   e   k   l   a   m   a
r   e   k   l   a   m   a

Opensource'owa paranoja: czy bać się „tajemniczego” układu w procesorach Intela?

Strona główna AktualnościBEZPIECZEŃSTWO

Kilka dni temu serwis BoingBoing zelektryzował internautów niepokojącą wieścią: otóż w nowych procesorach Intela kryje się „tajemniczy, potężny mechanizm kontrolny, działający na oddzielnym czipie, którego nikt nie może sprawdzić ni zbadać”. Gdy już nieuchronnie dojdzie do jego przejęcia, to wszystkie wyposażone w niego systemy staną się narażone na niemożliwe do pokonania, niewykrywalne rootkity. Dramatyczne ostrzeżenie Damiena Zammita, który za swoją misję obrał otwarcie tego potężnego mechanizmu i zastąpienie go wolną, otwartą alternatywą, wywołało spore zainteresowanie w Sieci – newsy temu poświęcone pojawiły się w serwisach internetowych w wielu językach, sprawę szeroko komentowano na stronach social news. I po raz kolejny przekonaliśmy się, jak przekonująca może być bzdura, o ile przyprawi się ją odpowiednio paranoicznym sosem.

W artykule na BoingBoing, serwisie znanym przecież i lubianym, brakowało mi tylko informacji o psychotronicznej kontroli nad użytkownikiem, sprawowanej przez mechanizm Intela – na tle innych pomysłów autora wcale nie byłoby to najbardziej odjechanym pomysłem. O czym jednak mówimy?

Potomek SuperNintendo w twoim Intelu

Ten tajemniczy i potężny mechanizm kontrolny pojawił się już w 2006 roku, wraz z premierą procesorów Intel Core 2 Duo, i trudno go uznać za nowość, przecież dziesięcioletnie procesory nie są chyba takie nowe? Intel nadał mu nazwę Management Engine. Stanowi fizyczną podstawę rozwiązania o nazwie Active Management Technology (AMT), służącego do zdalnego monitorowania komputerów osobistych i zarządzania nimi, poprzez niezależny, pozasystemowy kanał komunikacyjny. Pozwala na wiele – od kontroli zasilania, przez zdalne modyfikowanie ustawień BIOS-u, po monitorowanie ruchu sieciowego i udostępnianie pulpitu przez wbudowany serwer VNC.

r   e   k   l   a   m   a

Pod względem architektury jest to całkowicie niezależny koprocesor, nie mający nic wspólnego z intelową architekturą x86. Po prawdzie, ma on więcej wspólnego z procesorem konsoli Super Nintendo! Jest to bowiem wywodzący się z jej procesora SuperFX rdzeń ARC (Argonaut RISC Core), dziś masowo wykorzystywany w przeróżnych urządzeniach wbudowanych. Wykorzystuje dziś mieszaną 16- i 32-bitową listę rozkazów, ma swój własny interfejs sieciowy z bezpośrednim dostępem do kontrolera Ethernetu, oraz bezpośredni dostęp do szyny PCI. Ma dostęp do własnej pamięci flash, w której może przechowywać swój stan po wyłączeniu komputera.

Nie jest jednak, wbrew temu co pisze autor artykułu w BoingBoing, żadnym oddzielnym czipem, dziś ten rdzeń osadzony jest w Platform Controller Hubie, układzie, który przejął niektóre funkcje mostka północnego w architekturze Intela.

Od strony software’owej wiadomo jeszcze mniej – Intel faktycznie nie bardzo chce mówić o Management Engine. Z ustaleń niezależnych badaczy wynika, że działać ma na tym rdzeniu ThreadX, system operacyjny czasu rzeczywistego (RTOS) firmy Express Logic, znalazło się tam też miejsce dla wirtualnej maszyny Javy.

To straszne zamknięte oprogramowanie

Autor o dziwo wcale nie sugeruje, że Intel stworzył sobie największy na świecie botnet. Zagrożenie tkwi w czymś innym – jeśli Management Engine zostałoby przejęte przez złośliwe oprogramowanie, to napastnik uzyskałby niewykrywalny dostęp do maszyny. Jako że zaś układu tego nie ma jak zbadać, nie można byłoby takiego rootkitu w żaden sposób usunąć.

By jednak przejąć Management Engine, należałoby złamać zabezpieczenia. Intel stosuje tu szyfrowanie RSA, z wykorzystaniem klucza RSA-2048. Wiele czasu jeszcze minie, zanim komuś uda się go złamać, rozkładając ją na czynniki pierwsze (chyba, że nagle pojawią się magiczne komputery kwantowe). Jak do tej pory największym kluczem RSA, jakim udało się złamać, był klucz 768-bitowy. I sam autor przyznaje, że nawet z największymi superkomputerami nic tu się dziś nie zdziała.

Sytuacja bowiem wygląda tak, że to sam Zammit chciałby przełamać zabezpieczenia Intela – i nie może. Jego celem jest bowiem stworzenie alternatywnego wolnego firmware dla Management Engine, z którego mogliby korzystać zainteresowani użytkownicy. Jak jednak pisze: niestety, jako że firmware jest chronione przez RSA 2048, nie mamy możliwości uruchomienia naszego kodu na Management Engine, ponieważ nie przechodzi on walidacji. Nie możemy zrobić kroku naprzód, nawet jeśli byśmy chcieli. Co więc Intel miałby zrobić? Ano oddać klucz do Management Engine społeczności Open Source, która opracuje sobie bezpieczniejsze firmware.

Zrekapitulujmy to, co zostało do tej pory powiedziane:

1. W procesorach Intela znajduje się zamknięty, własnościowy mechanizm do zdalnego zarządzania komputerem.

2. Mechanizm ten po przejęciu przez cyberprzestępców pozwoliłby na tworzenie nieusuwalnych rootkitów.

3. Mechanizm ten jest zabezpieczony potężnymi zabezpieczeniami kryptograficznymi, uniemożliwiającymi uruchomienie na nim obcego kodu.

4. Abyśmy wszyscy byli bezpieczniejsi, Intel powinien zrezygnować z tych zabezpieczeń, aby na Management Engine dało się wgrać otwarte i wolne firmware.

5. Otwarte i wolne firmware bez zabezpieczeń kryptograficznych będzie bezpieczniejsze niż własnościowe, zamknięte firmware, chronione przez RSA-2048.

Naprawdę?

Czy otwarte znaczy bezpieczne?

Co do bezpieczeństwa otwartego oprogramowania, to ostatnie lata pokazały nam, że pod wieloma względami jest z nim równie źle, jak z oprogramowaniem własnościowym. Jasne, w zamkniętym kodzie straszą luki mające po wiele lat, w Windowsie dziś odkrywa się jeszcze potworki z poprzedniego stulecia. Wystarczy jednak przypomnieć sobie odkrytą w zeszłym roku lukę GHOST w blibliotece standardowej C Linuksa (glibc) – na widoku była 14 lat, a jakoś te tysiące gałek ocznych dostrzec jej tak długo nie mogły.

Można więc powiedzieć, że otwarcie Management Engine na otwarty kod to dopiero będzie otwarcie drogi do nieusuwalnych rootkitów. W końcu cyberprzestępcy nie będą musieli złamać niemożliwego do złamania dziś kryptosystemu, a jedynie wyeksploitować jakiś system operacyjny – coś, co przecież robią w każdy wtorek.

Prywatność nie jest tym samym co bezpieczeństwo

O ile jednak przypomnienie ludziom kontrowersji wokół Management Engine w kontekście cyberataków mogę uznać jedynie za kolejną krucjatę kolejnego opensource’owego fanatyka, to jest pewna kwestia, nad którą powinniśmy się zastanowić. Wierzę, że zabezpieczenia Management Engine Intela są na najwyższym poziomie, i że zespoły specjalistów tej firmy lepiej zajmą się łataniem swojego firmware, niż niezależni deweloperzy Open Source.

Niekoniecznie jednak wierzę w to, że jedynie Intel ma dostęp do kluczy do podpisywania kodu dla Management Engine. Trudno uwierzyć mi w to, że pewna federalna agencja, znana z podsłuchiwania wszystkiego i wszystkich w imię Narodowego Bezpieczeństwa, w jakiś sposób dostępu do kluczy sobie nie zapewniła. Oczywiście nie szafuje tym na lewo i na prawo, to nie jest tak, że w ten sposób sprawdza się, czy Jan Kowalski czasem nie romansuje z kochanką przez komunikator, albo nie kupuje uncji marihuany w darknecie. To raczej kwestia przemysłowego, politycznego i wojskowego szpiegostwa, rozgrywek na najwyższym szczeblu, zastosowania narzędzi, których wykorzystanie wymaga każdorazowej autoryzacji szefa NSA.

To jednak zarazem oznacza, że starania krajów rywalizujących z USA, mające na celu budowę własnych procesorów i własnej infrastruktury informatycznej, są ze wszech miar uzasadnione. Już dzisiaj w centralnych urzędach Federacji Rosyjskiej zaczęło się korzystać z komputerów Elbrus, wykorzystujących jednostki centralne na bazie otwartej architektury SPARC. Choć ustępują one wydajnością konstrukcjom Intela (i to sporo), w zastosowaniach kluczowych dla bezpieczeństwa państwa są nieodzowne.

Zwykłym internautom, którzy obawiają się, że Intel zdalnie zajrzy do tego, co robią, pozostaje jedynie polecić dobrze znane i rozpoznane komputerki Raspberry Pi 3, z czysto opensource’owym systemem. To prawda, w środku ARM-owy czip, a ARM-om daleko do bycia Open Hardware. Jeśli więc nosicie kapelusz z folii aluminiowej i szukacie naprawdę całkowicie otwartego komputerka, to trzeba by było rozejrzeć się za którąś z płytek deweloperskich MIPS albo SPARC. Ich dostępność jest jednak znacznie niższa.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.