Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20 5 komentářů

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letošní kauzy kolem utajované architektury procesorů Intel, bude tenhle Sládek ještě poměrně férový člověk, protože Intel při šmírování nepřesvědčuje vůbec nikoho. Dokonce ani autora vzdělávacího operačního systému MINIX, Andrew Tanenbauma, na kterém to téměř celé stojí.

Stručná rekapitulace. V rámci Intel Management Engine (ME) zabudovaném v každém procesoru firmy Intel vyrobeném po r. 2006 běží na technologické vrstvě Ring -3, kam nemá přístup žádný uživatel, pečlivě ukrytý operační systém MINIX 3. Přitom nejbližší uživatelsky přístupná úroveň je v procesorech Intel Ring 0, kde se nachází jádro hlavního operačního systému, snad ještě Ring -1, kde je dle některých zdrojů uložen hypervizor Xen. Běžné uživatelské aplikace jsou pak provozovány na úrovni Ring +3.

Co vše se tedy v CPU od Intelu odehrává v uživatelsky neviditelných vrstvách Ring -2 a -3 bez našeho vědomí? Prakticky vše, přičemž o vrstvě Ring -2 se u procesorů X86 částečně vědělo, původně byla spojována se správou napájení procesoru. Nyní se ale přichází na to, že tady sedí další skrytý „poloviční“ operační systém SMM (System Management Mode) přes nějž jsou řízena všechna systémová přerušení (např. USB) a minimálně představuje značné bezpečnostní riziko. Mnohem zajímavější je z tohoto pohledu o jednu vrstvu níže vestavěný koprocesor Management Engine s OS MINIX 3, jenž zcela autonomně funguje na vlastním CPU, ROM i RAM a má absolutní přístup k našemu počítači, našim heslům, komunikuje přes TCP/IP a další protokoly, je kompatibilní se souborovými systémy, má k dispozici ovladače pro disky, USB, obrazovku, síťové ovladače a rovněž může provozovat i vlastní webový server(!). O tomhle všem přitom nemá majitel počítače ani zdání.

Jde v tomhle případě pouze o látku pro milovníky konspiračních technologií? Jistě ne, tyto aktivity nadnárodního technologického gigantu jsou vysoce podezřelé. Už jenom proto, že jsou striktně utajované, dokumentace a implementace k ME je nedostupná. Čipy od Intelu by vlastně mohly rovněž obsahovat označení Intel Inside. Mimochodem, velmi podobný komponent se nachází i v procesorech dalšího výrobce procesorů AMD, zde pod označením Secure Processor. Bude tomu jinak u výrobců procesorů do mobilních telefonů?


Komentáře

C #0
C 11. prosinec 2017 20:58

Myslim, ze na uplne kazdom procesore od 2006 to nebude.
Ale v kazdom pripade by aspon EU mala import tychto nelegalnych procesorov zakazat a USA nech si pouziva co chce.

riko #1
riko 12. prosinec 2017 10:27

Zdravím všechny, docela by mě zajímalo, jestli tyto skryté systémy obsahují i čipy nebo jiné obvody, z kterých si dnes doma stavíme různá Arduina, Raspberry, nebo použijeme pouze hlavní procesor a k němu navrhujeme zbývající obvody... Dalo by se předpokládat, že podobnou technologii už mají v sobě i různé hotové moduly k těmto doma vyráběným věcem, jako jsou WiFi, Bluetooth, GPRS moduly. Asi všechna dnes vyráběná domácí elektronika má dostatek výkonu nás nějakým způsobem sledovat nebo jen sbírat o nás informace. Napájení těchto obvodů je vyřešeno již dlouhou dobu. Hranicí by mohla být jen cena obvodu (mikroprocesoru), případně možnost prozrazení technologie.

Otta II #2
Otta II 12. prosinec 2017 23:28

Je to asi bohužel pravda. Poprvé jsem o tom slyšel od jednoho vývojáře z jistého datacentra vloni touto dobou. Mělo jít o nové procesory Intel Xeon s novou čipovou sadou. Ale zdá se, že strýček Sam se už postaral dříve. Jeden bezpečnostní expert se jen usmál a řekl, že zadní vrátka má každý systém, a že jde jen o to, kam vedou... Tenhle boj ostatně vedou všichni, viz zadní vrátka z antimalwaru Kaspersky. Po pravdě jsem se divil, že to na úřadech "administrativy" nechali dojít tak daleko. A ani na chvíli jsem se nedivil, že na té druhé straně zakázali dávat jakákoliv vládní a soukromá data do cloudu.

petr #4
petr 13. prosinec 2017 13:10

Před pár lety jsem se zabýval procesorem OMAP107 (nebo tak nějak), je to dvojjádro tvořené DSP a ARM. Kromě toho tam byl jakýsi management (přesný název si nepamatuju), který byl nutný třeba k probuzení druhého jádra (jinak by člověk o jeho existenci ani nemusel vědět). Jak se časem ukázalo, byl to v podstatě třetí procesor, sice s poměrně malou instrukční sadou, ale za to s přístupem všude (také proto on jako jediný mohl probouzet spící ARM jádro poté co se nastavily potřebné vektory). A i když první informace výrobce to popírali (je to jen pomocný obvod, který nemá možnosti jako procesor), našlo se pár šikulků, co dokázali i tento třetí "procesor" zaměstnat.
Dokumentace byla také dost chudá a většina informací byla systémem "uživatelé sobě" na diskuzních fórech.
Nevím jak se to vyvíjelo dál, práci na tomto projektu převzal (k mé radosti ... není úplně nejjednodušší dělat na něčem jako první v republice) zkušenější kolega. Poslední co jsem zaregistroval byla revize C programu v ROM (v těch dvou předchozích (A a B) se našly dost nepříjemné chyby).

riko #4
riko 14. prosinec 2017 12:02

Zdravím, vzhledem k tomu, že minimálně do budoucna bude asi špehovovací technologie všeho druhu "zazděná" i v součátkách pro domácí bastlení (i tady vznikají velmi chytré věci), jak se proti takové špionáži dá vlastně chránit? Pomohlo by třeba mít samostatnou síť bez internetu a všechny zařízení v obvodu mít uzavřené v dobře magneticky odstíněných krabičkách, z kterých by vedlo výhradně jen optické projení k jiným celkům a tím zabránit alespoň tomu, aby špehovací obvody neměly snadnou možnost komunikovat s přímým okolím a internetem. Výhradně optické propojování k vzdálenéjšímu HW v bytě/domu by snad snížilo "vylepšeným" součástkám možnost využívat spojovací kabely např. jako anténu pro komunikaci a napojení např. na domácí wifi. Nic chytrého by nesmělo mýt umístěno mimo stíněné celky s pouze optickým propojením. Řešení pouze stíněním datových kabelů nepovažuji za dodtatečné bezpečné, vzhledem k různým chováním kabelů při různých frekencích, na kterým by se cizácký program v jádře mohl díky tomu a my vlastně ani netušíme, jaké možnosti a frekvence může takto kompromitovaný používat nebo mít v záloce.
Na internetovou sledovanou komunikaci by se musel "obětovat" jiný domácí pořítač, Stačil by i jednodeskový miniaturní počítač a případná data do oddělené sítě by se přenášela např. popcí flashdisku, který by se mechnickým přepřepínáníl do jedné nebo druhé sítě. To jde řešit i na dálku. Nený to tak pohodlný postup, ale mohlo by to jít. Hlavní myšlenkou zatím je, alespoň zabránit odcizeným datů dostat se na Internet.
Jak moc je ale také účinné emg. stínění krabiček? Stačilo by to vůbec?

RSS 

Komentujeme

Hluboké učení prý obecnou umělou inteligenci nevytvoří

Pavel Houser , 23. leden 2018 06:30
Pavel Houser

Argumenty pro skepsi sice existují, ale nejsou rozhodně neprůstřelné. Gary Marcus, bývalý ředitel la...

Více








RSS 

Zprávičky

Soul reguluje obchod kryptoměmani, bitcoin oslabil o 7,5 %

ČTK , 23. leden 2018 17:36

V Jižní Koreji se denně uskuteční až 20 % všech transakcí s bitcoiny. ...

Více 0 komentářů

Přenesení čísla při změně operátora se od února zkrátí na 10 dnů

ČTK , 23. leden 2018 13:39

Novela zákona rse ovněž dotkla například prodlužování smlouvy na dobu určitou. ...

Více 0 komentářů

Tržní kapitalizace Netflixu překročila 100 miliard dolarů

ČTK , 23. leden 2018 09:43

Internetové televizi Netflix se v posledním loňském čtvrtletí podařilo získat o téměř dva miliony př...

Více 0 komentářů

Starší zprávičky

Švýcarský fond chce vydat kryptoměnu krytou průmyslovými kovy

ČTK , 23. leden 2018 08:00

Tiberius nebude první měnou krytou aktivy. Například singapurská digixGlobal a ruská goldmint jsou p...

Více 0 komentářů

Firmy ohrožují zranitelnosti v USB tokenech

Pavel Houser , 22. leden 2018 15:24

Útočníkům stačí pouze provést sken dané sítě a najít otevřený port 1947. Ten jim pak umožní získat v...

Více 0 komentářů

Richemont nabízí 2,8 miliardy eur za zbytek internetového prodejce YNAP

ČTK , 22. leden 2018 13:21

Nabídka ohodnocuje YNAP na 5,3 miliardy eur. Spotřebitelé si zvykli kupovat přes internet i dražší z...

Více 0 komentářů

Operátor ICT chystá vznik celopražského úložiště dat

ČTK , 22. leden 2018 12:51

Na platformu budou napojeny různé senzory, např. chytré lampy. Shromažďována budou data ze záchytnýc...

Více 0 komentářů