https://agitblog.ru/articles/kukushonok ... intel.htmlКукушонок в гнезде подсистем микропроцессора Intel
Об открытости процессоров Intel и AMD внешним воздействиям, обходящим операционную систему и пользовательские защиты.
В интервью с В.Б. Бетелиным внимание слушателей привлек эпизод на интервале 30:10-31:40, на котором академик декларирует полную незащищенность от "прослушивания" и вредоносных внешних воздействий информационных систем, использующих процессоры Intel выпуска последних нескольких лет.
Мы, на условиях анонимности, получили комментарии к этой дискуссии от одного из отечественных специалистов в области информационных технологий.
Сегодняшний микропроцессор Intel представляет собой сложную систему компонент, размещенных на одном кристалле. Они образуют дружную семью подсистем, обеспечивающих работу той сложной микросхемы, которая коротко называется «микропроцессор Intel». Среди этих подсистем несколько пользовательских процессорных ядер и несколько видов энергонезависимой памяти, системный контроллер, проводные и беспроводные интерфейсные контроллеры и др.
Несколько лет назад Intel ввел в эту семью нового привилегированного члена – дополнительное процессорное ядро, наделенное неограниченными правами на надзор и вмешательство в работу всех пользовательских ядер и всех вообще аппаратных ресурсов «микропроцессора Intel». Этот новый член семьи наделен собственной памятью, неподконтролен остальным членам семьи и может действовать так, что остальные члены семьи и не заподозрят, что за ними наблюдают и в их работу вмешиваются.
Говоря техническим языком, последние 12 лет каждый микропроцессор компании Intel работает под контролем неотключаемой штатной аппаратно-программной компоненты Intel Management Engine (ME).
Полный круг задач, выполняемых зашифрованным программным обеспечением на процессоре ME, сообществу IT-профессионалов всего мира до сих пор не известен. Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим. Встроенное ПО компоненты ME зашифровано. Компонента Intel МЕ фактически представляет собой автономный сверхминиатюрный компьютер, встроенный в корпус микропроцессора Intel. Этот компьютер достаточно мощный, на нем используется разработанный компанией Intel вариант операционной системы типа Unix, в состав встроенного ПО входит web-сервер. Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel.
В то же время, сама компонента Intel ME имеет 100% доступ ко всем потокам данных входящим и выходящих из «микропроцессора Intel», имеет наивысший уровень и привилегии доступа ко всем аппаратным ресурсам и всем процессам, происходящим на «микропроцессоре Intel», будучи аппаратно защищена от любого доступа со стороны ядра ОС или даже гипервизора, не говоря уже о программах пользовательского уровня. Эта компонента может цензурировать и/или фальсифицировать потоки данных, приходящих извне к пользовательским ядрам, замедлять или искажать работу этих ядер или вообще отключить их, оставшись единственным птенцом в гнезде процессорных ядер микропроцессора Intel.
В процессоры компании AMD, начиная с 2013 г, также включается подобная «контролирующая» компонента, называемая Platform Security Processor.
Вывод: производимые в последние годы процессоры Intel и AMD практически не могут быть защищены от внешних воздействий за счет доработки системного и прикладного программного обеспечения, функционирующего на этих процессорах.
В дополнение темы:
1. The Intel Management Engine (ME) https://en.wikipedia.org/wiki/Intel_Management_Engine
2. Как избежать восстания машин (апрель 2016) https://habrahabr.ru/company/dsec/blog/282546/
3. "Frequently Asked Questions for the Intel® Management Engine Verification Utility". The Intel® ME performs various tasks while the system is in sleep, during the boot process, and when your system is running.
https://www.intel.com/content/www/us/en ... tware.html
4. OpenNews: Google развивает открытую замену прошивкам UEFI
https://www.opennet.ru/opennews/art.shtml?num=47469
5. AMD Secure Processor (Built-in technology)
http://www.amd.com/en-gb/innovations/so ... s/security
Защищённость на процессорном уровне
Какие есть мнения вот по этому поводу?
А какое тебя мнение интересует? Все так и есть
Добавлю даже, что даже когда компьютер выключен. Питается от дежурки. В том же IntelAMT посредством этого самого ME можно вообще по удалёнке делать с машиной кучу всего. Включать и выключать, подключать образа дисков, как устройства. Можно даже винды переставить, полностью, по удалёнке. Фактически, это встроенный аппаратный KVM. Со своим IP адресом.BadBlock писал(а) ↑ 08 апр 2019 06:55:Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим.
Так что в общем да, всё верно написано. Гарантировать какую-то защиту от внешних воздействий можно только комплексом мер, ключевая из которых, полная сетевая изоляция данной машины.
И как к этому относится народ? Чёт жесть какая-то, не?
Как всегда, никак не относится. Потому что как я уже не раз говорил, потребители ни черта не разбираются в свойствах приобретаемых товаров.BadBlock писал(а) ↑ 08 апр 2019 10:48:И как к этому относится народ? Чёт жесть какая-то, не?
Ну и как водится при капитализме, невидимые руки рынка и доблестная конкуренция пришли к тому, что никаких альтернатив уже давно нет.
Все эти фишки, если что, давным давно внедрили, уже больше 10 лет назад. На то были объективные причины и они дают всякие преимущества.
Так что я давно уже смирился с тем, что никакой безопасности на подключенной к Интернет машине не может быть просто по определению.
Думаешь просто так всякие ВНИИЭФ от Интернета не просто шлюзом, а физически свою сеть отключают от Интернет?
Это все старые инструкции со времен Берии (с)TheJudge писал(а) ↑ 08 апр 2019 15:01:Думаешь просто так всякие ВНИИЭФ от Интернета не просто шлюзом, а физически свою сеть отключают от Интернет?
Но в 220V она воткнута!TheJudge писал(а) ↑ 08 апр 2019 15:01:Думаешь просто так всякие ВНИИЭФ от Интернета не просто шлюзом, а физически свою сеть отключают от Интернет?
Провести интернет через розетку позволяет специальное устройство стандарта HomePlug — так называемый, PowerLine адаптер (я использовал набор от фирмы Tenda). А точнее несколько таких приборов — по одному на каждый компьютер. Выглядит он как небольшая коробочка с вилкой — наподобие зарядки от мобильного — и имеющая сетевой разъем RJ-45 под витую пару.
Источник: https://wifika.ru/internet-cherez-rozet ... rline.html
Можно только позавидовать прозорливости Лаврентия ПалычаBurg писал(а) ↑ 08 апр 2019 15:18:Это все старые инструкции со времен Берии (с)
Всё это работает на единицы метров и до первого трансформатора.digibolt писал(а) ↑ 08 апр 2019 15:42:Провести интернет через розетку позволяет специальное устройство стандарта HomePlug — так называемый, PowerLine адаптер (я использовал набор от фирмы Tenda). А точнее несколько таких приборов — по одному на каждый компьютер.
№ 6: digibolt, ты что-нибудь про глушилки сетевые слышал? или генераторы белого шума на окна? Все что нужно уже давно изобретено и применяется.
В том-то и дело, что это было изобретено против того, что уже было изобретеноBurg писал(а) ↑ 08 апр 2019 17:06:№ 6: digibolt, ты что-нибудь про глушилки сетевые слышал? или генераторы белого шума на окна? Все что нужно уже давно изобретено и применяется.
Тут надо изобрести то, до чего они еще сами не додумались.
А с интеловским чипом прикольно (если конечно эта микросхема там еще есть). Прикинь, логировать все пароли с клавиатуры на уровне железа (не, не так, железа железа). Юзера там "сверху" всякие AES-256 используют для крипты, а ты пишешь пароли в блокнотик и смеешься над этим
Или чипсет в сетевухе. Обмены по сети идут на таком низком уровне, что нето-что всякие netstat'ы это не увидят, даже диодик на сетевухе мигать не будет. А пакеты тем временем летят:-)
Ну это уже фантастика, так ведь?
Это составная часть любого чипсета. Если прошивка ME повреждена или отсутствует, машина даже не запустится. Потому что именно этот встроенный в чипсет компьютер подготавливает ЦП к работе.digibolt писал(а) ↑ 09 апр 2019 12:54:А с интеловским чипом прикольно (если конечно эта микросхема там еще есть)
Ну вот логировать там особо некуда, там памяти мизер.digibolt писал(а) ↑ 09 апр 2019 12:54:Прикинь, логировать все пароли с клавиатуры на уровне железа
Светодиод мигает, проверено. На вебморду AMT можно зайти даже на выключенном ПК.digibolt писал(а) ↑ 09 апр 2019 12:54:Или чипсет в сетевухе. Обмены по сети идут на таком низком уровне, что нето-что всякие netstat'ы это не увидят, даже диодик на сетевухе мигать не будет.
А вот тут можно почитать историю вопроса
https://vpro.by/comment/318
Не, я не про это конкретно, я про вообще. Я про то, что придуман чип (технология) встраиваемая в нынешнее оборудование (процессоры, чипсеты на материнках, память я хз), который (чип) в background'е работает и отправляет данные не обычными способами tcp/udp, а вообще хер пойми как. И проверить мы это не можем, так как не обладаем технологиями, чтобы найти этот чип на силиконовой подложке (мало нанометров).TheJudge писал(а) ↑ 09 апр 2019 15:14:Светодиод мигает, проверено.
Тут надо понимать, что подобную низкоуровниевую закладку должно иметь всё оборудование в цепочке передачи. Т.е. сетевая карта, свитч, шлюз абонента, провайдерское оборудование на всех узлах передачи ит.п. А поскольку оборудование всё разное, то такое бы быстро всплыло, т.к. слишком много людей участвовало бы в заговореdigibolt писал(а) ↑ 09 апр 2019 17:15:а вообще хер пойми как
Можно мониторить выходы с сетевухи на предмет передачи чего-то не тогоdigibolt писал(а) ↑ 09 апр 2019 17:15:И проверить мы это не можем, так как не обладаем технологиями, чтобы найти этот чип на силиконовой подложке (мало нанометров).
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя
