Intel Management Engine, ovvero MINIX nascosto in tutte le piattaforme Intel

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...tel_72232.html

Non tutti sanno che le piattaforme Intel sono dotate di uno speciale sistema operativo basato su MINIX, che ha accesso illimitato a tutte le funzioni del computer e non è facilmente disattivabile dall'utente

Click sul link per visualizzare la notizia.

[LordPBA]

per essere usato (che io sappia) va installato Intel Management Engine, altrimenti te lo vede solo come in dispositivo USB inattivo

Cmq una volta messo sul disco bitlocker dubito che possa accedere al disco

che io sappia IME serve per accedere direttamente all'HW da remote, per magari cambiare impostazioni del BIOS o altro... ma non sono sicuro, in po' piu' di chiarezza sarebbe utile da parte di INTEL quando inserisce feautures non richieste...

[frankie]

Articolo a stampo complottaro - scandalistico. Vero che ci possono essere problemi per la sicurezza ma non so quanto possano arrivare fino al lato utente.

L'articolo assurdo letto non so dove invece poneva una domanda di base: è se il tuo sistema operativo al posto di girare su una macchina fisica girasse già su una macchina virtuale senza che tu te ne accorga (e il controllo non fosse tuo)?

[inited]

I rischi di sicurezza di IME sono noti da tempo, ed è proprio l'applicazione Windows ad essere non particolarmente solida nel proteggere questo sistema a privilegi elevati.

[panda84]

Google ha fatto un talk all'Embedded Linux Conference a Praga qualche settimana fa a riguardo dei firmware che usano nei loro server in cui è menzionato anche IME. Qui il video:
https://www.youtube.com/watch?v=iffTJ1vPCSo

[nitro89]

Tanenbaum ha gia risposto con una lettera: http://www.cs.vu.nl/~ast/intel/

Discussione su HackerNews: https://news.ycombinator.com/item?id=15642116

[WarDuck]

Che io sappia il Management Engine è un chip con architettura ARC:

https://en.wikipedia.org/wiki/ARC_(processor)

[rockroll]

Quote:

Originariamente inviato da LordPBA

per essere usato (che io sappia) va installato Intel Management Engine, altrimenti te lo vede solo come in dispositivo USB inattivo

Cmq una volta messo sul disco bitlocker dubito che possa accedere al disco

che io sappia IME serve per accedere direttamente all'HW da remote, per magari cambiare impostazioni del BIOS o altro... ma non sono sicuro, in po' piu' di chiarezza sarebbe utile da parte di INTEL quando inserisce feautures non richieste...

Purtroppo IME è da tempo presente a nostra insaputa: the Intel Management Engine (ME) is a separate computing environment physically located in the (G)MCH chip (Core 2 family) or PCH chip (Core i3/i5/i7 family).

Se è IME con tanto di MINIX a gestire HW e Bios, non solo bitlocker ma tutto il S.O. vede quel che questo marchingegno nascosto gli vuol far vedere. Chi paventa che il nostro sistema gira a tradimento sotto macchina virtuale ha le sue buone ragioni: la macchina fisica è posseduta prioritarimente dal marchingegno di cui sopra e non dal nostro povero Windows o chi per lui.

Ci si preoccupa tanto per la (in)sicurezza, ed a buona ragione, ma nessuno si ribella alla politica di una Casa che ha messo le cose in modo da agire da remoto a nostra insaputa in modo assolutamente prioritario senza che ci si possa opporre, e che si guarda bene dal documentare l'arcano!

Ora non so quanto la concorrenza ovvero AMD possa aver messo in atto pratiche segrete di questo tipo, ma qualora lo avesse fatto e magari fino a questi limiti, chiaramente tutta la mia critica e riprovazione varrebbe anche per AMD.

[s-y]

Quote:

Originariamente inviato da nitro89

Tanenbaum ha gia risposto con una lettera: http://www.cs.vu.nl/~ast/intel/

Discussione su HackerNews: https://news.ycombinator.com/item?id=15642116

interessanti letture
mi pare anche che molti pongano l'accento sulla licenza come vulnerabilità principale. il tutto posto che, come scritto anche da tanenbaum, avrebbero cmq potuto scriversene uno da soli, invece che usare minix. ma chissà se l'avrebbero fatto...

[pabloski]

Quote:

Originariamente inviato da WarDuck

Che io sappia il Management Engine è un chip con architettura ARC:

https://en.wikipedia.org/wiki/ARC_(processor)

Era. Con Skylake sono passati a x86, il che ha reso piu' semplice il reverse engineering ai ricercatori interessati a capirne di piu', neutralizzarlo o rimuoverlo.

E hanno scoperto pure un flag che, se settato, disabilita tutte le componenti di ME tranne quella che inizializza l'hardware ( ovviamente ). E la cosa che ha destato scalpore e' che in un file xml di configurazione e' specicato che il flag e' stato aggiunto su richiesta della NSA per il programma HAP.

Quest'ultimo punto dimostra che si poteva dare all'utente la possibilita' di disabilitarlo senza che il mondo ci cascasse addosso. E bisogna chiedersi perche' la cosa non sia ufficialmente supportata e pubblicizzata.

Quello che da' fastidio delle compagnie IT e' che stanno sempre piu' spingendo verso un depotenziamento delle possibilita' dell'utente, trasferendo il controllo dei sistemi computerizzati ai produttori. Inutile dire che questa cosa e' pericolosissima per le liberta' dei cittadini e la tenuta democratica delle nazioni.

Non siamo piu' ai tempi in cui il computer era un giocattolo posseduto da una persona ogni milione. Oggi tutto transita sulle reti e viene prodotto/elaborato da queste macchine. Ci vorrebbe leggi a riguardo, leggi molto serie e ben congegnate.

[pabloski]

Quote:

Originariamente inviato da s-y

interessanti letture
mi pare anche che molti pongano l'accento sulla licenza come vulnerabilità principale. il tutto posto che, come scritto anche da tanenbaum, avrebbero cmq potuto scriversene uno da soli, invece che usare minix. ma chissà se l'avrebbero fatto...

Usavano ThreadX quando il ME era su architettura ARC. Passando a x86 hanno cambiato OS per qualche ragione ( ThreadX supporta anche x86, quind non e' questo il motivo ). Magari perche' Minix e' uno UNIX con userland NetBSD ( quindi molta roba gia' disponibile ). E ovviamente e' BSD, quindi nessun obbligo di rendere pubbliche le modifiche, scaricabili i sorgenti, collaborare col progetto. Mi ricorda tanto Sony che usa a sbafo FreeBSD e poi non si degna nemmeno di offrire il driver che AMD gli ha sviluppato per la PS4.

Per fortuna ha provveduto AMD rendendo il driver open ufficiale.

[nitro89]

Intel ME cracked: https://news.ycombinator.com/item?id=15669262

[cdimauro]

Quote:

Originariamente inviato da LordPBA

in po' piu' di chiarezza sarebbe utile da parte di INTEL quando inserisce feautures non richieste...

I processori moderni (quindi non solo di Intel) hanno già da tempo feature non richieste. Sono processori "generalisti": per servire più fasce di utenti / casistiche.

Quote:

Originariamente inviato da s-y

interessanti letture
mi pare anche che molti pongano l'accento sulla licenza come vulnerabilità principale.

Se Tanenbaum avesse voluto essere menzionato, avrebbe dovuto usare una licenza come MIT e non BSD.

Per il resto i commenti che suggeriscono di usare addirittura la GPL sono roba da talebani.

Quote:

il tutto posto che, come scritto anche da tanenbaum, avrebbero cmq potuto scriversene uno da soli, invece che usare minix. ma chissà se l'avrebbero fatto...

Perché Minix esiste già da tempo ed è molto rodato. Inutile reinventarsi la ruota quando ne hai già una ottima a disposizione.

Quote:

Originariamente inviato da pabloski

Quello che da' fastidio delle compagnie IT e' che stanno sempre piu' spingendo verso un depotenziamento delle possibilita' dell'utente, trasferendo il controllo dei sistemi computerizzati ai produttori. Inutile dire che questa cosa e' pericolosissima per le liberta' dei cittadini e la tenuta democratica delle nazioni.

Non siamo piu' ai tempi in cui il computer era un giocattolo posseduto da una persona ogni milione. Oggi tutto transita sulle reti e viene prodotto/elaborato da queste macchine. Ci vorrebbe leggi a riguardo, leggi molto serie e ben congegnate.

In mancanza di leggi sarebbe più utile una campagna di boicotaggio.

Il problema è che se tutti i produttori di processori inseriscono funzionalità come queste, il boicottaggio sarebbe del tutto inutile.

Quote:

Originariamente inviato da pabloski

E ovviamente e' BSD, quindi nessun obbligo di rendere pubbliche le modifiche, scaricabili i sorgenti, collaborare col progetto. Mi ricorda tanto Sony che usa a sbafo FreeBSD

Usa. Punto. Perché devi aggiungere "a sbafo". La licenza BSD nasce per essere assolutamente libera, e come tale va rispettata.

Quote:

e poi non si degna nemmeno di offrire il driver che AMD gli ha sviluppato per la PS4.

Gli ha sviluppato = magari Sony ha pagato per quello, non credi? E perché mai Sony avrebbe dovuto pubblicare roba aggratis roba che gli è costata?

Quote:

Per fortuna ha provveduto AMD rendendo il driver open ufficiale.

Incluso il supporto alle caratteristiche proprietarie della GPU della PS4?

[pabloski]

Quote:

Originariamente inviato da cdimauro

In mancanza di leggi sarebbe più utile una campagna di boicotaggio.

Il problema è che se tutti i produttori di processori inseriscono funzionalità come queste, il boicottaggio sarebbe del tutto inutile.

Infatti. Gia' di per se' il boicottaggio e' impossibile quando hai una societa' che ha uno share stellare. Che fai? Ti metti a portare tutto il software da x86 ad altro?

Gli "avversari" sul fronte x86 fanno le stesse cose di Intel ( guarda le coincidenze ). E l'avversario piu' credibile sull'altro fronte ( ARM ) fa pure peggio.

Dunque boicotaggio inutile. Rimane la via legislativa. Ammesso che il popolo cominci ad interessarsi alla vita pubblica, visto che ormai la maggioranza nemmeno va a votare.

Quote:

Originariamente inviato da cdimauro

Gli ha sviluppato = magari Sony ha pagato per quello, non credi? E perché mai Sony avrebbe dovuto pubblicare roba aggratis roba che gli è costata?

Non avrebbe dovuto. Non e' obbligata a farlo. Ma e' questa la ragione per cui preferiro' all'infinito la GPL a tutte le altre licenze open.

Quote:

Originariamente inviato da cdimauro

Incluso il supporto alle caratteristiche proprietarie della GPU della PS4?

Esistono caratteristiche proprietarie?

Da quello che vedo anche AMD si appoggia ai driver open per i suoi AMDGPU Pro. Quindi suppongo che gli open abbiano tutto quello che serve per far funzionare alla perfezione le loro GPU.

I benchmark che si trovano in giro mostrano una situazione molto buona, anche rispetto ai driver Nvidia proprietari.

[cdimauro]

Quote:

Originariamente inviato da pabloski

Infatti. Gia' di per se' il boicottaggio e' impossibile quando hai una societa' che ha uno share stellare. Che fai? Ti metti a portare tutto il software da x86 ad altro?

Gli "avversari" sul fronte x86 fanno le stesse cose di Intel ( guarda le coincidenze ). E l'avversario piu' credibile sull'altro fronte ( ARM ) fa pure peggio.

Sapevo che anche ARM proponesse soluzioni simili, ma addirittura peggiore di x86 non l'avrei creduto.

Avresti qualche informazione (tecnica) a riguardo? Mi piacerebbe molto approfondire.

Quote:

Dunque boicotaggio inutile. Rimane la via legislativa. Ammesso che il popolo cominci ad interessarsi alla vita pubblica, visto che ormai la maggioranza nemmeno va a votare.

Nemmeno io ci vado: mi sono stancato di turarmi il naso. Se non c'è un partito che mi rappresenti, non ha senso votare il meno peggio.
Potrei decidere diversamente soltanto se ci fosse il rischio concreto che neofascismi potrebbero (ri)prendere il potere.

Comunque, e per tornare all'argomento, il problema principale è che la massa non risulta informata sull'argomento.

Quote:

Non avrebbe dovuto. Non e' obbligata a farlo. Ma e' questa la ragione per cui preferiro' all'infinito la GPL a tutte le altre licenze open.

Ci sono modi completamente diversi per tutelare dei progetti.

GPL et similia vanno di gran lunga oltre tale tutela, arrivando ad attentare al codice altrui a causa della loro viralità.

Un conto è voler tutelare il frutto del proprio lavoro, e tutt'altra cosa è attentare a quello altri. Quest'ultima cosa è inaccettabile, e per tale motivo sarò sempre assolutamente contro licenze liberticide come la GPL.

Comunque questo non c'entra con la parte che avevi quotato. Se Sony s'è fatta sviluppare dei driver appositi per la sua console, e vuole tenersi i sorgenti, ha tutto il diritto di farlo, e l'adozione di una licenza o meno non ha nulla a che vedere con questa decisione.

I soldi per realizzare quei driver li ha tirati fuori lei, per cui ha tutto il diritto di decidere cosa farci.

Quote:

Esistono caratteristiche proprietarie?

Da quello che vedo anche AMD si appoggia ai driver open per i suoi AMDGPU Pro. Quindi suppongo che gli open abbiano tutto quello che serve per far funzionare alla perfezione le loro GPU.

I benchmark che si trovano in giro mostrano una situazione molto buona, anche rispetto ai driver Nvidia proprietari.

Ricordo di aver letto, parecchio tempo fa, che Sony (come pure Microsoft) ha chiesto delle personalizzazioni. Per cui se ci sono differenze con le altre GPU di AMD, è possibile che i driver pubblici non le supportino.

[ComputArte]

Ma c'è qualcuno che sa come disattivare questa "simpatica" feature di spionaggio!?