Аппаратная уязвимость в процессорах Intel

Последние поколения компьютеров с процессорами Intel содержат скрытый механизм, деятельность которого нельзя проверить. При этом он способен полностью считывать оперативную память и отправлять данные через интернет, обходя любые средства защиты.

Пользователям ПК остается лишь надеяться на порядочность Intel, которая реализовала эту функцию, и верить в то, что злоумышленники не знают, как она устроена.

shema-intel-me-9

«Огромная уязвимость»

Многие персональные компьютеры с процессорами Intel x86 содержат скрытую уязвимость, эксплуатировать которую хакеры могут начать в любой момент, рассказал на ресурсе BoingBoing независимый исследователь и разработчик Дэмиен Заммит (Damien Zammit). Проблема находится в чипсетах Intel нескольких последних поколений. Она представляет собой целый микроконтроллер, расположенный отдельно от центрального процессора. Он называется Intel Management Engine (Intel ME). Некоторые зарубежные издания охарактеризовали этот компонент «огромной дырой» (enormous flaw), учитывая возможности, которые он способен предложить злоумышленникам.

В целях превентивной защиты компьютеров от попадания вредоносных программ, умеющих эксплуатировать данную уязвимость мы рекомендуем пользоваться лицензионным антивирусным программным обеспечением.

Отдельный микрокомпьютер

Intel ME — представляет из себя отдельный микрокомпьютер, который управляет центральным процессором (ЦП). Он работает под управлением собственной микропрограммы независимо от ЦП и способен продолжать функционировать даже если система находится в «ждущем режиме» — когда под напряжением находится только оперативная память.

В некоторых чипсетах Intel ME служит для реализации технологии Intel Active Management Technology (AMT), позволяющей системным администраторам дистанционно управлять персональными компьютерами. Для этой цели микроконтроллер напрямую подключен к оперативной памяти и может получать доступ к любой ее области без ведома операционной системы. Микроконтроллер также обладает собственным сервером TCP/IP и может обмениваться сетевыми пакетами через сетевой адаптер компьютера с удаленным сервером, минуя любые установленные на компьютере фаерволы.

«Безопасность через неясность»

В микроконтроллер Intel ME нельзя попасть, нет ни одного способа его отключить. Нет возможности проверить его микропрограмму и что она делает. И если в ней есть уязвимости, их нельзя устранить.

В случае использования этого компонента злоумышленниками, они смогут действовать абсолютно незаметно, так как ни одно программное средство не сможет обнаружить вредоносную активность вследствие недоступности микроконтроллера для операционной системы.

Безопасность микроконтроллера базируется на принципе «безопасность через неясность». То есть его нельзя скомпрометирировать, потому что никто (кроме производителя) не знает, как он устроен. При этом устройство обладает практически безграничными неконтролируемыми правами.

«Несмотря на то, что микропрограмма защищена 2048-битным ключом шифрования RSA, исследователи смогли взломать ранние версии чипсетов с микроконтроллером Intel ME и получить частичный контроль над встроенным программным обеспечением», — сообщает Заммит.

Технология АМТ и неуловимый МЕ

Аббревиатура МЕ в терминологии Intel это Management Engine, а по русски оборудование управления, фактически аналог аппаратуры ВМС для серверов. Поясню для тех, кто не знает.

Вычислительными системами нужно управлять, в простейшем случае у них есть клавиатура, монитор, мышь (так называемый KVM) и оператор через них выполняет требуемые операции. Но представьте себе серверный зал, в котором установлены сотни серверов, естественно управлять ими через KVM невозможно. Поэтому для серверов был разработан стандарт удаленного управления и мониторинга вычислительных систем (IPMI), он реализован в специальных блоках называемых ВМС (блок менеджмента системы).

ВМС представляет из себя специальную плату устанавливаемую в сервер через специальный разъем, на этой плате находится микропроцессор с собственной ОС (как правило Линукс) и сетевой адаптер, для организации выделенной локальной сервисной сети управления всеми серверами. Блоки ВМС и интерфейс подключения к вычислительной установке стандартизирован, индустриальный стандарт IPMI описывает требования к блоку ВМС и интерфейсу связи с вычислительной системой. На рынке имеется множество производителей выпускающих такие блоки управления и ПО для них.

Оператор дистанционно, хоть с другого континента, может через эту сеть управлять любым сервером, кроме этого оборудование ВМС позволяет выполнять операции мониторинга и диагностирования серверов. Удобно и практично, с точки зрения безопасности такая система уязвима только в случае подключения сервисной локальной сети к Интернету, но это вопрос уже к разработчикам топологии сервисной сети.
Фирма Intel в 2006 году совершила тихую ползучую революцию, она встроила блоки ВМС в южный мост серверных чипсетов и изменила схему их подключения.

Кроме этого в том же году Intel в свои чипсеты для десктопов и ноутбуков встроило аналоги ВМС и назвала это оборудование Management Engine (МЕ) технологии реализованные на нем имеют название АМТ и V-PRO. Вот практически полное описание функций этих технологий из официальной документации фирмы Intel:

Оборудование МЕ сейчас расположено в южных мостах, до недавнего времени фирма утверждала, что оно расположено в северных мостах, в эпоху Core это оборудование было встроено непосредственно в процессорный чип. Но это все предположения, документации на МЕ и ВМС фирма Intel не предоставляет, просто рисует их черными квадратами и описывает исключительно только внешние интерфейсы. В настоящее время технология V-PRO уже не применяется, ее функционал полностью вошел в новую версию технологии АМТ восьмой редакции.

Блоки ВМС и МЕ это микропроцессорные системы имеющие собственную оперативную память и канал доступа к сетевому адаптеру по индивидуальному МАС адресу. Подача питания на это оборудование производится от дежурного источника питания, т.е. они работоспособны даже при выключенной основной вычислительной установке.

Программы для микроконтроллера ВМС и МЕ размещаются во флеш-памяти в зашифрованном виде, ключи шифрования хранятся внутри ПО загрузчика микроконтроллера (ПЗУ внутри южного моста) и никому не известны. Часть программных модулей на флеш-памяти не зашифровано, но они защищены от модификации хеш суммами. Вот практически единственное официальное описание функциональных блоков оборудования МЕ в документации Intel:

Что за микропроцессор стоит сейчас в этих системах точно не известно, но раньше в документации указывался RISC процессор ARC.
В отличии от классических ВМС, то что делает фирма Intel это издевательство на безопасностью, о безопасности в этих системах можно говорить только если вы доверяете разработчику (Intel) и производителю, который «заливает» прошивки во флеш-память, – Китаю.

pch-intel-me

Поясним в чем суть проблемы:

Во первых, это проблема доверия, неизвестно что за программы выполняются в МЕ и ВМС фирмы Intel. Программы зашифрованы на симметричном алгоритме AES-256, ключ шифрования недоступен, архитектура процессора на котором они выполняются также неизвестна.

Во вторых, само оборудование этих блоков не описано в документации, а рисуется только квадратиками с внешними интерфейсами. Неизвестно какими возможностями оно обладает на самом деле и как их контролировать сторонним разработчикам ПО. Как уже говорилось ранее нет даже достоверной информации о локализации этого оборудования в конкретных чипах.

В третьих, оборудование МЕ и ВМС не изолировано от основного оборудования вычислительной установки через стандартный интерфейс IPMI. Оборудование на прямую подключено к оперативной памяти и системной шине. Соответственно оно может контролировать информационные ресурсы (например дисковую систему, ОП) и управлять вычислительными процессами на основном оборудовании вычислительной системы.

В четвертых, сервисный сетевой трафик пропускается не через специальный выделенный сетевой адаптер, а туннелируется сквозь сетевые адаптеры общего назначения размещенные на материнской плате либо подключенные через слоты расширения (PCI-E).

В пятых, сервисный сетевой трафик можно контролировать только на внешнем оборудовании, легальные средства контроля уровня операционной системы пакеты сервисного трафика просто не видят, они через средства контроля ОС не проходят. И если сетевой адаптер работает на локальную сеть или на доступ в Интернет, то программное обеспечение функционирующее в недрах МЕ и ВМС автоматически получает доступ в такую информационную сеть.

И в шестых, аппаратура МЕ и ВМС не контролируется с уровня операционной системы, нет возможности вмешаться в ее работу или просто проконтролировать ее текущее состояние. Та информация которая получается через официальный драйвер АМТ не в счет, это не система независимого контроля.

Фактически с 2005 года во всех вычислительных системах Intel находится дополнительно к основному оборудованию еще один полноценный компьютер с независимым подключением к сети неизвестным по функционалу ПО, доступ к которому владелец оборудования не имеет. Причем этот «теневой» компьютер может полностью контролировать все процессы происходящие на основной вычислительной установке.

Наивным может показаться, что проблема нелегального использования оборудования ВМС и МЕ надумана и не имеется достоверных фактов такого его нелегального применения. Однако об этом написана статья в «Китайские закладки, не придуманная история о виртуализации…»

Этот инцидент, кстати, показывает порочность подхода фирмы Intel к концепции безопасности для оборудования ВМС и МЕ. По замыслу разработчиков она строится на единственной точке доверия, которой является сама фирма Intel. Для самой Intel проблемы недобросовестного производителя оборудования конечно не существует, т.к. она всегда имеет возможность достоверной верификации ПО залитого во флеш-память материнских плат.

Но кто может гарантировать целостность ПО во флеш-памяти материнских плат поставляемых к примеру в Россию? Да никто.

Остаются надежды на то, что всё оборудование поступающее в страну содержит закладки, и что есть два действенных инструмента нейтрализации таких закладок, это периметр безопасности и «человек с ружьем». Нужно признать, что такой подход к безопасности до недавнего времени был достаточно эффективным, но времена изменились. В настоящий момент получение доступа к секретной информации не является приоритетной задачей, главной задачей становится разрушение информационных систем и тут старые подходы к организации защиты от таких диверсионных атак становятся абсолютно неэффективными.

Собственно проблемы ИБ к настоящему моменту перешли из разряда локальных и покрытых тайной в разряд широкомасштабных операций, это задачи уже не для службы безопасности.

Однако можно встретить и другое мнение на счет всего этого, вот например «Каждый провайдер на территории России подключён через СОРМ. Ни один пакет мимо него не пройдёт в любую из сторон. Такие вещи, как Intel ME, давно изучен (вплоть до логики и команд), и распознаётся в общем потоке».

X

Обратный звонок

Мы перезвоним Вам в течение 5 минут.

Звоните нам 410-46-97 или отправьте сообщение:

Ваше имя (*)
Сообщение

Я согласен на обработку персональных данных