Intel - mamy bezpieczny Thunderbolt, świat - dziś tylko 7 luk i 9 metod ataku

Czasem mam ochotę wrócić do starych dobrych czasów, w których królowały takie oto komputery:

Dzieje się to tylko czasami i w chwilach mojej wielkiej słabości (możliwości takiego sprzętu, jego wielkość, bolące oczy przez monitor CRT i atakujący uszy hałas powodują, że ogólnie cieszę się widząc ten fragment wspaniałej techniki już tylko u hobbistów i w muzeach).

Świat na szczęście poszedł do przodu - na tyle, że Pentium IV będzie można zmieścić w główce szpilki.

Jednym z efektów postępu jest pojawienie się w wielu laptopach i desktopach złącza Thunderbolt, które pozwala na przesłanie do 40 Gbit/s. Standard został stworzony przez Intela i Apple, obecnie może być bez większych przeszkód implementowany również w produktach z procesorami AMD.

Mamy maj 2020 - wszyscy piszą o stronie https://thunderspy.io/, gdzie podawane są informacje o siedmiu rodzajach luk w implementacji tego standardu.

Krótki cytat:

"All Thunderbolt-equipped systems shipped between 2011-2020 are vulnerable. Some systems providing Kernel DMA Protection, shipping since 2019, are partially vulnerable. The Thunderspy vulnerabilities cannot be fixed in software, impact future standards such as USB 4 and Thunderbolt 4, and will require a silicon redesign"

Okazuje się, że nie trzeba już znać haseł do maszyny, żeby ją odblokować:

Ale... ale... jak mam fizyczny dostęp, to mogę wszystko... wyciągnąć dysk, RAM, itd.

To oczywiście tylko przykład, ale o tyle niepokojący, że tym sposobem na pewno łatwiej podrzucić jakąś "niespodziankę" do tych wszystkich maszyn, które stoją gdzieś w biurach czy miejscach publicznych.

Częściową ochroną jest włączenie Kernel DMA Protection (więcej w przypadku Windows 10 na stronie Microsoftu) albo całkowite wyłączenie Thunderbolt w BIOS/UEFI komputera (przez co oczywiście tracimy różne funkcjonalności).

Jak dla mnie, to widać tutaj kilka rzeczy:

  1. szybki rozwój standardów w IT spowodował, że branża/część firm poszła na skróty (sam uważam, że podejście "Hey Joe!" jest dobre, ale tylko do pewnego poziomu, który najwyraźniej został mocno przekroczony)
  2. słowo Intel będzie się wielu użytkownikom kojarzyć jeszcze gorzej (czy ta firma ma jeszcze szansę na naprawę wizerunku?)
  3. moduły powinny być wymienialne, a przynajmniej wyłączalne

Zaimplementowano wiele standardów typu UEFI czy Thunderbolt, a najbliższe lata pokażą nam wysyp różnych związanych z tym zagrożeń (nie ma co się oszukiwać, że będzie inaczej).

Czy dlatego Microsoft nie chciał Thunderbolt w Surface, a Lenovo wycofało swoje obietnice w stosunku do nowych lapków?

Czy podobne problemy będą wkrótce dotyczyć AMD ? Przypomnę, że oni mają różne wyrafinowane sztuczki w swoich układach i obecnie przecierają szlaki, a do tego implementują coś, co się nazywa AMD Secure Technology (ale jest wbudowane w procesor, a nie chipset)

Szczerze mówiąc, to marzy mi się trochę sytuacja, żeby dostać kiedyś do testów "stary" sprzęt, ale zrobiony w standardzie 7 czy 5 nm (czyli np. nieśmiertelny Intel BX z procesorem Pentium III albo coś z Pentium IV z obsługą 64-bit). Ciekawe, jak sprawowałaby się mała ilość tranzystorów w połączeniu z lepszym niż kiedyś procesem i Windows XP/Linuxem - o ile byłoby to wolniejsze albo szybsze niż nowe układy z tymi wszystkimi zabezpieczeniami, prefetcherami, niezbędnymi dodatkami i Windows 10.

Na pewno problemem byłby brak bezpośredniej obsługi NVME, ale... w wielu innych obszarach... kto wie?

To oczywiście mrzonka, a ja uważam, że trochę ciekawych czasów doczekaliśmy w IT:

  • (ze względów bezpieczeństwa?) promuje się starocie - tak nazywam obecność starego złącza VGA wymyślonego w 1987 w monitorach Dell w 2020 albo obecność złącz PS/2 w płytach głównych
  • intencjonalnie ogranicza się użytkownika (np. nieśmiertelne matryce 1366x768 już dawno powinny zniknąć, a stopki w monitorach obowiązkowo powinny być stabilne i pozwalać na pełną ergonomiczną regulację)
  • sprzęt ma znane wady (które można usunąć wyłącznie przez wymianę całości zamiast zamianę wadliwego modułu) - throttling, zacinanie się klawiatur, mruganie matryc przez PWM, etc.
  • w każdym zestawie jest po kilka dublujących się niepotrzebnych rzeczy (np. zintegrowana karta dźwiękowa i do tego HD Audio w karcie graficznej)
  • ciągle mówi się o optymalizacji, tuszując tym samym gigantyczny brak jakości
  • ciekawe rozwiązania przychodzą nie z USA, ale z Chin - np. płyta główna udowadniająca sztuczne blokowanie podstawek przez Intela albo płyta główna z wbudowaną kartą NVidii.

Czasem aż strach używać tego, co naprawdę może ułatwiać życie - np. gniazd do ładowania w środkach komunikacji miejskiej.

Szkoda również, że praktycznie każdy zakup to pole minowe i ciągle płacimy za wszystko większym zużyciem energii i tak naprawdę brakiem komfortu, że o braku ekologii nie wspomnę.

PS. Z moich prywatnych doświadczeń wynika również, że konieczne jest instalowanie usługi do obsługi Thunderbolt w Windows 10, żeby również komunikacja po USB była szybka... (nie wnikałem w szczegóły techniczne, ale mój dysk podłączony pod USB 3 tylko wtedy dostawał skrzydeł).