Die Wahrheit über das versteckte Intel-Minix-Betriebssystem und Sicherheitsbedenken

Wenn Sie ein Intel-Chipsatz-basiertes Motherboard haben, besteht eine große Wahrscheinlichkeit, dass es mit der Intel Management (Intel ME) -Einheit ausgestattet ist. Das ist nicht neu. Und Bedenken hinsichtlich der Datenschutzproblematik, die hinter dieser wenig bekannten Funktion steckt, wurden für mehrere Jahre geäußert. Aber plötzlich scheint die Blogosphäre das Problem wiederentdeckt zu haben. Und wir können viele halbwahre oder einfach falsche Aussagen zu diesem Thema lesen.

Lassen Sie mich daher versuchen, einige wichtige Punkte zu klären, damit Sie sich Ihre eigene Meinung bilden können:

Was ist Intel ME?

Geben wir zunächst eine Definition direkt von der Intel-Website:

In vielen Intel® Chipset-basierten Plattformen ist ein kleines, stromsparendes Computersubsystem namens Intel® Management Engine (Intel® ME) integriert. Der Intel® ME führt verschiedene Aufgaben aus, während sich das System im Energiesparmodus befindet, während des Startvorgangs und wenn Ihr System ausgeführt wird.

Einfach ausgedrückt bedeutet dies, dass Intel ME einen weiteren Prozessor auf dem Motherboard hinzufügt, um die anderen Subsysteme zu verwalten. Tatsächlich ist es mehr als nur ein Mikroprozessor: Es ist ein Mikrocontroller mit eigenem Prozessor, Speicher und E / A. Wirklich so, als wäre es ein kleiner Computer in Ihrem Computer.

Diese Zusatzeinheit ist Teil des Chipsatzes und befindet sich NICHT auf dem Haupt-CPU-Chip. Unabhängig zu sein, bedeutet, dass Intel ME nicht von den verschiedenen Energiesparmodi der Haupt-CPU betroffen ist und auch dann aktiv bleibt, wenn Sie Ihren Computer in den Energiesparmodus versetzen oder herunterfahren.

Soweit ich weiß, ist Intel ME ab dem GM45-Chipsatz präsent - das bringt uns zurück ins Jahr 2008 oder so. Bei der ersten Implementierung befand sich Intel ME auf einem separaten Chip, der physisch entfernt werden konnte. Leider enthalten moderne Chipsätze Intel ME als Teil der Northbridge, die für die Funktionsfähigkeit Ihres Computers unerlässlich ist. Offiziell gibt es keine Möglichkeit, Intel ME auszuschalten, selbst wenn ein Exploit erfolgreich zum Deaktivieren verwendet wurde.

Ich habe gelesen, es läuft auf "Ring -3", was bedeutet das?

Wenn Sie sagen, dass Intel ME in "Ring -3" ausgeführt wird, kommt es zu Verwirrung. Die Schutzringe sind die verschiedenen Schutzmechanismen, die von einem Prozessor implementiert werden, sodass der Kernel beispielsweise bestimmte Prozessoranweisungen verwenden kann, während Anwendungen, die darauf ausgeführt werden, dies nicht können. Der entscheidende Punkt ist, dass Software, die in einem „Ring“ ausgeführt wird, die vollständige Kontrolle über Software hat, die in einem Ring höherer Ebene ausgeführt wird. Dies kann zur Überwachung, zum Schutz oder zur Darstellung einer idealisierten oder virtualisierten Ausführungsumgebung für Software verwendet werden, die in übergeordneten Ringen ausgeführt wird.

In der Regel werden auf x86 Anwendungen in Ring 1, der Kernel in Ring 0 und ein eventueller Hypervisor in Ring -1 ausgeführt. "Ring -2" wird manchmal für den Prozessormikrocode verwendet. Und "ring -3" wird in mehreren Artikeln verwendet, um über Intel ME zu sprechen, um zu erklären, dass es eine noch höhere Kontrolle hat als alles, was auf der Haupt-CPU läuft. Aber "Ring -3" ist sicherlich kein funktionierendes Modell Ihres Prozessors. Und lassen Sie mich noch einmal wiederholen: Intel ME ist nicht einmal auf der CPU gestorben.

Ich empfehle Ihnen, sich insbesondere die ersten Seiten dieses Berichts von Google, Two Sigma, Cisco und Splitted-Desktop Systems anzusehen, um einen Überblick über die verschiedenen Ausführungsstufen eines typischen Intel-Computers zu erhalten.

Was ist das Problem mit Intel ME?

Intel ME hat standardmäßig Zugriff auf die anderen Subsysteme des Motherboards. Einschließlich RAM, Netzwerkgeräte und Kryptografiemodul. Und das, solange das Motherboard mit Strom versorgt wird. Darüber hinaus kann es über einen dedizierten Link für die Out-of-Band-Kommunikation direkt auf die Netzwerkschnittstelle zugreifen. Selbst wenn Sie den Datenverkehr mit einem Tool wie Wireshark oder tcpdump überwachen, wird das von Intel ME gesendete Datenpaket möglicherweise nicht unbedingt angezeigt.

Intel behauptet, dass ME erforderlich ist, um das Beste aus Ihrem Intel-Chipsatz herauszuholen. Am nützlichsten ist, dass es insbesondere in einer Unternehmensumgebung für einige Aufgaben der Remoteverwaltung und -wartung verwendet werden kann. Aber niemand außerhalb von Intel weiß genau, was es kann. Enge Quellen, die berechtigte Fragen zu den Fähigkeiten dieses Systems und der Art und Weise, wie es verwendet oder missbraucht werden kann, aufwerfen.

Beispielsweise kann Intel ME jedes Byte im RAM lesen, um nach einem Schlüsselwort zu suchen oder diese Daten über die Netzwerkkarte zu senden. Da Intel ME außerdem mit dem Betriebssystem und potenziellen Anwendungen kommunizieren kann, die auf der Haupt-CPU ausgeführt werden, können wir uns Szenarien vorstellen, in denen Intel ME von einer bösartigen Software (ab) verwendet wird, um Sicherheitsrichtlinien auf Betriebssystemebene zu umgehen.

Ist das Science Fiction? Nun, ich persönlich bin mir nicht bewusst, dass Datenlecks oder andere Exploits Intel ME als primären Angriffsvektor verwendet haben. Wenn Sie jedoch Igor Skochinsky zitieren, können Sie sich ein Bild davon machen, wofür ein solches System verwendet werden kann:

Der Intel ME verfügt über einige spezifische Funktionen, und obwohl die meisten davon als das beste Tool angesehen werden können, das Sie dem IT-Verantwortlichen für die Bereitstellung von Tausenden von Arbeitsstationen in einer Unternehmensumgebung zur Verfügung stellen können, gibt es einige Tools, für die sehr interessante Möglichkeiten bestehen ein Exploit. Zu diesen Funktionen gehört die Active Managment-Technologie mit der Fähigkeit zur Remoteverwaltung, -bereitstellung und -reparatur sowie der Funktion als KVM. Die System Defense-Funktion ist die Firewall der niedrigsten Ebene, die auf einem Intel-Computer verfügbar ist. Mit IDE-Umleitung und Serial-Over-LAN kann ein Computer über ein Remote-Laufwerk gestartet oder ein infiziertes Betriebssystem repariert werden. Der Identitätsschutz verfügt über ein integriertes Einmalkennwort für die Zwei-Faktor-Authentifizierung. Es gibt auch Funktionen für eine Diebstahlschutzfunktion, mit der ein PC deaktiviert wird, wenn er sich nicht in einem festgelegten Intervall bei einem Server eincheckt oder wenn eine Giftpille über das Netzwerk abgegeben wurde. Diese Diebstahlschutzfunktion kann einen Computer ausschalten oder die Festplattenverschlüsselung benachrichtigen, um die Verschlüsselungsschlüssel eines Laufwerks zu löschen.

Ich lasse Sie einen Blick auf die Präsentation von Igor Skochinsky für die REcon 2014-Konferenz werfen, um einen Überblick über die Fähigkeiten von Intel ME aus erster Hand zu erhalten:

  • Folien
  • Video

In der CVE-2017-5689, die im Mai 2017 veröffentlicht wurde, wird eine mögliche Eskalation von Berechtigungen für lokale und Remotebenutzer beschrieben, die den HTTP-Server unter Intel ME verwenden, wenn Intel AMT aktiviert ist .

Aber geraten Sie nicht sofort in Panik, da dies für die meisten PCs kein Problem darstellt, da sie AMT nicht verwenden. Dies gibt jedoch einen Überblick über die möglichen Angriffe auf Intel ME und die dort ausgeführte Software.

Was wissen wir über Intel ME? Wie hängt es mit Minix zusammen?

Intel ME und die Software, die darauf ausgeführt wird, stammen aus der Nähe, und Personen, die Zugriff auf die zugehörigen Informationen haben, sind an eine Geheimhaltungsvereinbarung gebunden. Dank unabhängiger Forscher haben wir jedoch noch einige Informationen darüber.

Intel ME teilt den Flash-Speicher mit Ihrem BIOS, um dessen Firmware zu speichern. Leider ist ein großer Teil des Codes nicht durch einen einfachen Speicherauszug des Flashs zugänglich, da er auf Funktionen beruht, die im unzugänglichen ROM-Teil des ME-Mikrocontrollers gespeichert sind. Darüber hinaus scheinen die Teile des Codes, auf die zugegriffen werden kann, unter Verwendung von nicht offenbarten Huffman-Komprimierungstabellen komprimiert zu werden. Dies ist keine Kryptographie, sondern deren Komprimierung - Verschleierung, wie manche meinen. Beim Reverse Engineering von Intel ME hilft es jedenfalls nicht .

Intel ME basierte bis zur Version 10 auf ARC- oder SPARC-Prozessoren. Intel ME 11 basiert jedoch auf x86. Im April versuchte ein Team von Positive Technologies, die Tools zu analysieren, die Intel OEMs / Anbietern zur Verfügung stellt, sowie einige ROM-Bypass-Codes. Aufgrund der Huffman-Komprimierung konnten sie jedoch nicht sehr weit gehen.

Sie konnten jedoch TXE, die Trusted Execution Engine, analysieren, ein System, das Intel ME ähnelt, aber auf den Intel Atom-Plattformen verfügbar ist. Das Schöne an TXE ist, dass die Firmware nicht Huffman-codiert ist. Und dort fanden sie eine lustige Sache. Ich zitiere hier lieber den entsprechenden Absatz im Anhang :

Wenn wir uns das dekomprimierte vfs-Modul anschauten, stießen wir außerdem auf die Zeichenfolgen „FS: Falsches Kind zum Verzweigen“ und „FS: Verzweigen auf verwendetes Kind“, die eindeutig vom Minix3-Code stammen. Es scheint, dass ME 11 auf dem von Andrew Tanenbaum entwickelten MINIX 3-Betriebssystem basiert :)

Lassen Sie die Dinge klarstellen: TXE enthält Code, der von Minix „entlehnt“ wurde. Das ist sicher. Andere Hinweise deuten darauf hin, dass wahrscheinlich eine vollständige Minix-Implementierung ausgeführt wird. Schließlich können wir trotz fehlender Beweise ohne zu viele Risiken davon ausgehen, dass ME 11 auch auf Minix basieren würde.

Bis vor kurzem war Minix sicherlich kein bekannter Betriebssystemname. Aber ein paar eingängige Titel haben das kürzlich geändert. Dies und ein kürzlich veröffentlichter offener Brief von Andrew Tannenbaum, dem Autor von Minix, sind wahrscheinlich der Grund für den aktuellen Hype um Intel ME.

Andrew Tanenbaum?

Wenn Sie ihn nicht kennen, ist Andrew S. Tanenbaum Informatiker und emeritierter Professor an der Vrije Universiteit Amsterdam in den Niederlanden. Generationen von Schülern, darunter ich, haben durch Bücher, Arbeiten und Veröffentlichungen von Andrew Tanenbaum Informatik gelernt.

Zu Ausbildungszwecken begann er Ende der 80er Jahre mit der Entwicklung des von Unix inspirierten Minix-Betriebssystems. Und war berühmt für seine Kontroverse im Usenet mit einem damals jungen Mann namens Linus Torvalds über die Tugenden von monolithischen versus Mikrokernen.

Für das, was uns heute interessiert, hat Andrew Tanenbaum erklärt, kein Feedback von Intel über die Nutzung von Minix zu haben. In einem offenen Brief an Intel wurde er jedoch vor einigen Jahren von Intel-Ingenieuren kontaktiert, die viele technische Fragen zu Minix stellten und sogar Codeänderungen anforderten, um in der Lage zu sein, einen Teil des Systems selektiv zu entfernen, um seinen Platzbedarf zu verringern.

Laut Tannenbaum hat Intel den Grund für ihr Interesse an Minix nie erklärt. „Nach diesem anfänglichen Aktivitätsschub herrschte einige Jahre lang Funkstille“, das ist bis heute so.

In einer abschließenden Bemerkung erklärt Tannenbaum seine Position:

Für die Aufzeichnung möchte ich festhalten, dass, als Intel mich kontaktierte, sie nicht sagten, woran sie arbeiteten. Unternehmen sprechen selten über zukünftige Produkte ohne NDAs. Ich dachte, es wäre ein neuer Ethernet- oder Grafikchip oder so etwas. Wenn ich vermutet hätte, dass sie eine Spionagemaschine bauen, hätte ich mit Sicherheit nicht kooperiert […]

Erwähnenswert ist, dass wir das moralische Verhalten von Intel in Frage stellen können, sowohl in Bezug auf die Art und Weise, wie sie sich an Tannenbaum und Minix gewandt haben, als auch in Bezug auf das mit Intel ME verfolgte Ziel, dass sie genau genommen den Bestimmungen der Berkeley-Lizenz für das Minix-Projekt entsprachen.

Weitere Informationen zu ME?

Wenn Sie technische Informationen über Intel ME und den aktuellen Stand der Community-Kenntnisse zu dieser Technologie benötigen, empfehlen wir Ihnen, einen Blick auf die Präsentation Positive Technology zu werfen, die für die TROOPERS17 IT-Security-Konferenz veröffentlicht wurde. Obwohl dies nicht für jedermann leicht verständlich ist, ist es sicherlich ein Hinweis, um die Gültigkeit von Informationen zu beurteilen, die an anderer Stelle gelesen wurden.

Und was ist mit AMD?

Ich bin nicht mit AMD-Technologien vertraut. Wenn Sie also mehr Einblick haben, teilen Sie uns dies im Kommentarbereich mit. Nach allem, was ich sagen kann, verfügen die AMD Accelerated Processing Units (APUs) von Mikroprozessoren über eine ähnliche Funktion, bei der sie einen zusätzlichen ARM-basierten Mikrocontroller einbetten, diesmal jedoch direkt auf dem CPU-Chip. Erstaunlicherweise wird diese Technologie von AMD als „TrustZone“ beworben. Aber wie für sein Intel-Gegenstück weiß niemand wirklich, was es tut. Und niemand hat Zugriff auf die Quelle, um die Exploit-Oberfläche zu analysieren, die Ihrem Computer hinzugefügt wird.

Also, was ist zu denken?

Es ist sehr leicht, in Bezug auf diese Themen paranoid zu werden. Was beweist zum Beispiel, dass die Firmware auf Ihrem Ethernet- oder Wireless-NIC nicht ausspioniert, um Daten über einen versteckten Kanal zu übertragen?

Was Intel ME mehr zu einem Problem macht, ist, dass es in einem anderen Maßstab funktioniert und buchstäblich ein kleiner unabhängiger Computer ist, der alles betrachtet, was auf dem Host-Computer geschieht. Persönlich war ich seit der ersten Ankündigung besorgt über Intel ME. Das hinderte mich jedoch nicht daran, Intel-basierte Computer zu betreiben. Sicherlich würde ich es vorziehen, wenn Intel die Entscheidung treffen würde, die Monitoring Engine und die zugehörige Software als Open-Source-Version anzubieten. Oder ob sie eine Möglichkeit bieten, es physisch zu deaktivieren. Aber das ist eine Meinung, die nur mich betrifft. Sie haben sicherlich Ihre eigenen Vorstellungen dazu.

Schließlich, sagte ich oben, mein Ziel beim Schreiben dieses Artikels war es, Ihnen so viel wie möglich überprüfbare Informationen zu geben, damit Sie Ihre eigene Meinung bilden können ...

Empfohlen

Tracktions T7 DAW kann jetzt kostenlos unter Linux heruntergeladen werden
2019
Solus Version 1.2.1 bringt Mate Desktop
2019
Die JavaScript-Engine von Microsoft Edge soll Open Source sein
2019