Nie cofniesz już firmware w czipach Intela: tak zabezpieczono Management Engine
Intel to nie AMD i nie obdarzy nas przełącznikiemw ustawieniach UEFI, który pozwoliłby wyłączyć jego ManagementEngine. Wygląda jednak na to, że w zamian dostaniemy mechanizm,który nie tylko zabezpieczy Management Engine przez nieupoważnionąingerencją, ale też praktycznie uniemożliwi pozbycie się tegoniezbędnego do wygodnego zdalnego zarządzania komputerem cuda. Wtym celu zastosowane zostanie rozwiązanie znane choćby z konsol dogier czy iPhone’a.
Po tym, jak badacze Mark Ermołow i Maksym Gorjaczij ujawniliw czerwcu Intelowi cały zbiór podatności w nowej generacjiManagement Engine, bazującej już na rdzeniu x86 i systemie Minix,niebiescy nie podnieśli alarmu – mimo że luki te w praktycedawały napastnikowi nieograniczony dostęp do komputera ofiary.Dopiero w zeszłym miesiącu, tuż przed publiczną prezentacją tychpodatności na konferencji Black Hat Europe udostępnionołatki, które jednak przecież muszą być dopiero zaadaptowaneprzez producentów sprzętu i wydane jako aktualizacje firmwarekomputera.
Z wydanymi w ten sposób łatkami jest jednak pewien problem. Otóżnapastnik mający fizyczny dostęp do komputera może łatwo jeusunąć – wystarczy, że wgra do komputera starszą wersjęfirmware, a Management Engine oraz Server Platform Services i TrustedExecution Engine znów staną się podatne na „zdalne sterowanie”.Sprawa idealna dla wszystkich poważnie zajmujących się np.szpiegostwem przemysłowym. Z drugiej jednak strony, to właśniemożliwość nadpisania firmware otworzyła drogę dla takichnarzędzi jak ME_cleaner, pozwalających na bezpiecznezneutralizowanie Management Engine poprzez skasowanie funkcjonalnychmodułów tego mechanizmu.
Intel chce zakończyć z możliwością swobodnego nadpisywaniafirmware. Na stronie ME_cleanera na GitHubie pojawił się poufnydokument Intela, opisujący zupełnie nowe zabezpieczenia.Management Engine w wersjach od 8 do 11 można przeprogramować zapomocą programatora flash, np. DediProg, jednak Od wersji 12Management Engine, używanej z czipami Cofee Lake i Cannon Lake z tymjuż koniec. Nie będzie można już cofnąć Security Version Number(SVN) firmware– liczby zwiększanej o jeden przy każdejaktualizacji. Będzie ona zapisywana w pamięci Field ProgrammableFuses (FPF), uniemożliwiając wgranie starszej wersji firmware.
Taka pamięć FPF, po ustawieniu, staje się bowiem pamięciątylko do odczytu – cofnięcie aktualizacji przestaje być możliwe.Tak samo zmieniają się powiązane z numerem SVN kluczekryptograficzne, służące do zaszyfrowania zawartości firmwareManagement Engine, więc napastnik posiadający klucze do wersjiwcześniejszej nie odczyta już tego, co w wersji nowej.
Intel wyjaśnia, że mechanizm blokowania cofania aktualizacjijest domyślnie wyłączony, jednak partnerzy Intela, tj. producencipecetów, będą mogli go włączyć, korzystając z narzędzia FlashImage Tool. Co więcej, producent procesorów wręcz zachęca dokorzystania z tej możliwości – a niewykluczone, że w przyszłościwłączy ją domyślnie.
W tej sytuacji oficjalnie jedynym sposobem na wyłączenieManagement Engine w czipach Intela dla użytkowników pozostanieustawienie bituHAP (High Assurance Platform), który wprowadzony został nażądanie amerykańskiej Agencji Bezpieczeństwa Narodowego. Jakpokazali rosyjscy badacze, gdy bit ten jest ustawiony, pod koniecprocesu rozruchowego przerywana zostaje praca modułu BringUP,zajmującego się inicjalizacją Management Engine.
Dobrze, że Ryzen stał się realną alternatywą dla procesorówCore.
