nedjelja, 19. lipnja 2016.

Sigurnosni propust u Intelovim procesorima

Prema članku objavljenom na stranicama BoingBoing, Intel Active Management Technology (AMT) ugrađen u njegove procesore i matične ploče koji koriste tehnologiju vPro predstavlja veliki sigurnosni rizik. AMT omogućuje administratorima sustava udaljeno upravljanje određenim funkcijama računala neovisno o operacijskom sustavu i drugim komponentama, a može raditi i kad je računalo isključeno, pod uvjetom da je još uvijek priključeno na napajanje i računalnu mrežu.
AMT ne ovisi izravno o x86 procesoru već je implementiran kroz 32-bitni Argonaut RISC Core (ARC) procesor koji je integriran u Intelove procesore.
Taj mikrokontroler je dio Intel Management Engine (IME), koji je implementiran u sve Intelove procesore s tehnologijom vPro.



No u članku koji je objavio BoingBoing tvrdi se kako je Intelova implementacija IME-a i pratećeg mikrokontrolera fundamentalno nesigurna, ne može joj se vjerovati, te se može iskoristiti za potencijalno iznimno opasne sigurnosne napade.
Intel je javno objavo vrlo malo o funkcijama svojeg dodatnog mikroprocesora i sigurnosnog sustava koji ga štiti, što u osnovi znači da se tvrtka oslanja na "sigurnost preko opskurnosti".

Prema navodima iz članka, iako je firmware IME-a kriptografski zaštićen sustavom RSA 2048, istraživači su uspjeli zloupotrijebiti slabosti u firmwareu i preuzeti djelomičnu kontrolu na ranijim modelima IME-a. To predstavlja ogromni sigurnosni propust, te može postati vrlo moćnim rootkit mehanizmom. Na sustavima temeljenim na procesorima novijim od Core2 IME ne može biti onemogućen, a Intelovi sustavi koji su dizajnirani da imaju IME, no nedostaje im ili je korepetiran firmware za IME, odbijaju se pokrenuti ili će se ugasiti ubrzo nakon pokretanja.

Ne postoji način da se IME trajno onemogući, nema načina na koji glavni procesor može znati da li je IME kompromitiran, te nema načina da se "izliječi" kompromitirani IME. Stoga cijeli sustav predstavlja potencijalno ogromni sigurnosni propust.

No treba napomenuti kako ne podržavaju svi Intelovi procesori vPro, niti svi procesori koji imaju vPro imaju implementiran IME. Primjerice Intelova linija procesora za entuzijaste koja nosi oznaku "K" u pravilu nema implementiranu podršku za vPro. No ipak postoje milijuni sustava s uključenim IME-om i vPro, posebice poslovni sustavi koji su dizajnirani kako bi se moglo njima upravljati s udaljene lokacije.



Nema komentara:

Objavi komentar

Poruka će biti vidljiva nakon provjere.