AMD słucha społeczności, pozwala wyłączyć potencjalną furtkę w Ryzenach

Strona główna Aktualności
image

O autorze

Pewnie wielu z Was jeszcze nie wie, jaki procesor wybrać do swojego przyszłego peceta – Kaby Lake czy Ryzena. AMD właśnie jednak zrobiło coś, co może wielu z Was przekonać do wyboru rozwiązania czerwonych. Najnowsza aktualizacja oprogramowania AGESA dla platformy AMD AM4 pozwala bezpośrednio z poziomu ustawień UEFI wyłączyć Platform Security Procesor (PSP), de facto odpowiednik Management Engine wbudowanych w platformy Intela.

Odkrycia groźnych podatności w Management Engine sprawiły, że coraz więcej osób na poważnie myśli o celowym uszkodzeniu tego niemożliwego do wyłączenia mechanizmu, wbudowanego w czipsety Intela. W końcu kto chce korzystać z komputera, na którym malware może zainstalować niemożliwe do usunięcia rootkity, działające poniżej warstwy systemu operacyjnego i dające napastnikom pełną zdalną kontrolę nad sprzętem?

Stworzone w tym celu narzędzie ME_cleaner robi dobrą robotę – usuwa wszystkie poza rdzeniem i loaderem moduły Management Engine, dzięki czemu komputer nie wyłączy się po pół godziny, a zarazem nie będzie podatny na ataki z wykorzystaniem odkrytych (i jeszcze nieodkrytych) w firmware luk. Metoda ta jednak nie jest łatwa dla zwykłych użytkowników i może się skończyć fatalnie, po nieudanej operacji komputera już nie uruchomimy.

AMD w swoich 64-bitowych platformach wykorzystuje protokół AGESA: AMD Generic Encapsulated Software Architecture. To samopodtrzymujący się protokół rozruchu, inicjujący czipset, rdzenie procesora i pamięć w architekturze AMD. Ostatnia aktualizacja AGESA, dostarczona dla płyt głównych AM4 dla procesorów Ryzen, wprowadza w ustawieniach UEFI/BIOS przełącznik, za pomocą którego można po prostu wyłączyć Platform Security Processor. Opcja nosi nazwę BIOS PSP Support – Disabled.

Podobnie jak w wypadku Management Engine, wbudowany w platformę AMD procesor działa poza zasięgiem systemu operacyjnego. Wykorzystuje on technologię ARM TrustZone do przechowywania wrażliwych danych, pozwala też na uzyskanie zdalnego dostępu do maszyny uprawnionym administratorom. Podobnie też jak Management Engine, PSP było krytykowane jako potencjalna powierzchnia dla ataków, niewykrywalnych z poziomu systemu operacyjnego. Twórcy niezależnego firmware Coreboot mówią wręcz – nie wierzcie we wszystko, co przeczytaliście o Ryzenie.

Decyzji AMD można by było więc tylko przyklasnąć, gdyby nie jedna drobna kwestia. Po prostu nie wiemy, co ten ładny wyłącznik naprawdę robi. Niepokoi brak jakiejkolwiek dokumentacji dla wyłącznika. Co jeśli tak naprawdę niczego on nie wyłącza, a jedynie sprawia, że UEFI/BIOS przestaje rozmawiać z wciąż aktywnym PSP?

Nawet jeśli jednak PSP zostaje faktycznie wyłączone, to i tak nie możemy być spokojni: podczas rozruchu systemu PSP przez chwilę jest aktywne i dopiero po załadowaniu ustawień UEFI/BIOS zostaje wyłączone (w każdym momencie może przecież zostać włączone w ustawieniach). Bez ujawnienia kodu źródłowego, po prostu nie wiemy, w jaki sposób PSP jest neutralizowane, a co za tym idzie, czy ta neutralizacja jest skuteczna.

Społeczność subreddita /r/amd/ wyczekuje na oficjalną odpowiedź AMD w tej sprawie – jak się czegoś dowiemy, poinformujemy Was niezwłocznie.

© dobreprogramy