Parę dni temu świat obiegła informacja o tajemnym systemie operacyjnym ukrytym we współczesnych procesorach marki Intel. Tak, systemie operacyjnym, który aktywnie działa na miliardach komputerów opartych o procesory Niebieskich, a użytkownicy kompletnie nie mają o tym pojęcia. Sprawie przyjrzeli się pracownicy Google, a konkretniej Matthew Garrett, znany i ceniony programista zajmujący się Linuksem i kwestiami bezpieczeństwa. Jak wiadomo, procesory Intela od wielu lat korzystają z rozwiązania znanego jako Management Engine. Pod tym nieco enigmatycznym hasłem kryje się tak naprawdę niezależny od nadrzędnej jednostki i głównego systemu operacyjnego mikroprocesor. Oficjalnie steruje on m.in. modułem zarządzania pozapasmowego, zapewnia obsługę DRM-ów czy wreszcie gwarantuje wsparcie dla standardu TPM (wykonywanie obliczeń kryptograficznych). Mniej oficjalnie, jak udało się ustalić Garrettowi, zostawia swoistą furtkę do każdego PC-ta, a to za sprawą zainstalowanego w nim, niewidzialnego dla użytkownika systemu MINIX. Dla korporacji jest to poważny problem, ale czy my, zwykli użytkownicy, również mamy się czego obawiać? Zastanówmy się.
MINIX (od ang. mini-Unix) jest systemem operacyjnym stworzonym w drugiej połowie lat 80., powstałym pierwotnie w celach dydaktycznych. Obecnie jednak ten OS w podręcznikach pojawia się tylko jako inspiracja twórcy Linuksa, Linusa Thorvaldsa. Co ciekawe, MINIX wciąż jest systematycznie rozwijany, pełniąc rolę systemu o podwyższonym bezpieczeństwie. Tutaj na uwagę zasługuje dość nietypowa (na tle najpopularniejszych odpowiedników) architektura. OS oparty jest bowiem o mikrokernel, podczas gdy cała reszta systemu uruchamiana jest w formie wyizolowanych i zabezpieczonych procesów trybu user mode. Jądro systemu składa się wyłącznie z obsługi przerwań, schedulera oraz IPC. Dlatego też konieczne jest wprowadzenie aplikacji zwanych serwerami, które pomimo działania w trybie użytkownika, mają bezpośredni dostęp do sprzętu. Jako iż wszystkie funkcje jądra są oddzielnymi procesami, MINIX może poszczycić się wysoką niezawodnością i elastycznością. I to właśnie z tej ostatniej cechy skorzystał Intel, bowiem jak donosi Garrett, do procesorów Intela trafia specjalnie zmodyfikowana wersja OS-u. Dokładna lista funkcji systemu nie jest oczywiście znana, ale najbardziej kluczowe (najniebezpieczniejsze) z nich udało się ustalić.
Ukryty system obsługuje stosy protokołów TCP / IP (4 oraz 6), systemy plików, sterowniki (dyski, peryferia, itd.), a także serwery sieciowe. Ponadto, MINIX ma dostęp do wpisywanych haseł, a nawet może samodzielnie zmodyfikować oprogramowanie układowe. Jak to możliwe? Otóż współczesne komputery wykonują programy na różnych poziomach uprzywilejowania, zwanych także pierścieniami. Im niższy poziom pierścienia, tym większy jest dostęp do sprzętu. Zainstalowane programy takie jak gry działają na warstwie "3", a sam system "0". Idąc dalej, systemy instalowane bezpośrednio na powłoce sprzętowej, np. Xen, znajdują się w warstwie "-1", natomiast UEFI uważane teoretycznie za nadrzędny program sterujący "-2". Ukryty przez Intela MINIX operuje w "-3". Jak nietrudno się domyślić, MINIX może przejąć kontrolę nad każdym z zasobów - zarówno sprzętowych, jak i programowych. Mało tego, możliwy dostęp poprzez Internet czyni go niezwykle podatnym na wszelkiej maści exploity. Tym samym w każdym komputerze zbudowanym w oparciu o procesor Intela siedzi swoista furtka, której rzeczywistego wykorzystania niestety nikt, przynajmniej oficjalnie, nie ujawnia. Cały czas nie wiadomo również, dlaczego producent nie przyznaje się do obecności systemu MINIX w swych procesorach.
Niestety prosta metoda na pozbycie się zagrożenia nie istnieje. Grupa specjalistów z, a jakże inaczej, Rosji znalazła teoretyczne rozwiązanie polegające na dezaktywacji Management Engine po zainicjowaniu sprzętu, ale wkrótce okazało się, iż moduł powraca. Google obiecało wydanie aktualizacji firmware do Chromebooków, podmieniającej MINIX na autorską kompilację Linuksa. Dalej jednak ciężko mówić o uniwersalnej metodzie. Ba, wygląda na to, iż nawet wymiana procesora na konstrukcję od AMD zda się na niewiele, bo ten producent również implementuje bliżej nieokreślony moduł rzekomego bezpieczeństwa. Ale czy my, zwykli użytkownicy, mamy się czego obawiać? Cóż, zawsze spoglądałem na tego typu teorie z przymrużeniem oka. Zaszyty na najbardziej newralgicznej warstwie, ukryty system operacyjny w teorii może zostać wykorzystany do przejęcia absolutnej kontroli nad komputerem. Nie pochwalam zarazem takich praktyk z czysto etycznego punktu widzenia. I można byłoby tu pokiwać korporacji palcem. Tym niemniej zdecydowanie odrębną kwestię stanowi to, czy komuś w ogóle zależałoby na danych przeciętnego Kowalskiego. Moje zdanie na ten temat powinniście już znać.
Pokaż / Dodaj komentarze do: Intel ukrywa system operacyjny w procesorach. Czy jest się czego obawiać?