Intel Management Engine, ovvero MINIX nascosto in tutte le piattaforme Intel

Intel Management Engine, ovvero MINIX nascosto in tutte le piattaforme Intel

Non tutti sanno che le piattaforme Intel sono dotate di uno speciale sistema operativo basato su MINIX, che ha accesso illimitato a tutte le funzioni del computer e non è facilmente disattivabile dall'utente

di pubblicata il , alle 14:21 nel canale Sicurezza
Intel
 

MINIX, il sistema operativo concepito da Andrew Tanenbaum come supporto didattico per aiutare il suo corso universitario, è installato all'interno di milioni di processori Intel. Nello specifico, il sistema operativo è installato nell'Intel Management Engine, un processore che si occupa di gestire le operazioni del sistema.

L'Intel Management Engine è un sistema completo con processore x86, RAM e ROM installato all'interno di ogni chipset Intel venduto dal 2008 in poi. Tale sistema esegue MINIX, seppure in una versione super-ridotta e super-specifica.

L'aspetto particolare è che MINIX viene eseguito nel Ring -3, ovvero a un livello di privilegio tale che ha permessi pressoché illimitati sul processore e sul PC in generale. Il kernel dei sistemi operativi viene eseguito nel Ring 0, mentre le applicazioni utente hanno sede nel Ring 3 e gli hypervisor come Xen vengono eseguiti nello speciale Ring -1. L'Intel Management Engine ha il privilegio più alto in assoluto.

Questo rende l'Intel Management Engine rischioso dal punto di vista della sicurezza. È già stato evidenziato come l'IME abbia falle di sicurezza che rendono potenzialmente ogni computer a rischio - motivo per cui Google sta lavorando per rimuovere l'IME dai processori dei suoi server.

Una seconda motivazione risiede in ciò che l'IME può fare nativamente: oltre all'accesso nativo a tutto il computer, ha uno stack di rete completo, accesso ai file system, driver per la maggior parte delle periferiche e un web server incorporato. Proprio quest'ultimo tassello è il più preoccupante, perché l'IME è fuori dal controllo dell'utente e le possibili implicazioni per la sicurezza sono di vasta portata. Alcune parti dell'IME, come il server web e lo stack IP, sono disattivabili, seppure non in maniera semplice.

È interessante notare come MINIX sia diventato uno dei sistemi operativi più usati al mondo, sebbene non a livello utente. Le inevitabili falle che contiene lasciano però a rischio milioni di computer. Intel non ha, a oggi, ancora fornito alcun meccanismo per disabilitare l'IME e rendere quindi più sicuri i computer che ne sono dotati. Chissà cosa ne pensa Andrew Tanenbaum.

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LordPBA08 Novembre 2017, 14:59 #1
per essere usato (che io sappia) va installato Intel Management Engine, altrimenti te lo vede solo come in dispositivo USB inattivo

Cmq una volta messo sul disco bitlocker dubito che possa accedere al disco

che io sappia IME serve per accedere direttamente all'HW da remote, per magari cambiare impostazioni del BIOS o altro... ma non sono sicuro, in po' piu' di chiarezza sarebbe utile da parte di INTEL quando inserisce feautures non richieste...
frankie08 Novembre 2017, 16:18 #2
Articolo a stampo complottaro - scandalistico. Vero che ci possono essere problemi per la sicurezza ma non so quanto possano arrivare fino al lato utente.

L'articolo assurdo letto non so dove invece poneva una domanda di base: è se il tuo sistema operativo al posto di girare su una macchina fisica girasse già su una macchina virtuale senza che tu te ne accorga (e il controllo non fosse tuo)?
mally08 Novembre 2017, 16:32 #3
con le competenze mostrate nell'articolo risulta difficile affrontare seriamente il discorso...
inited08 Novembre 2017, 16:43 #4
I rischi di sicurezza di IME sono noti da tempo, ed è proprio l'applicazione Windows ad essere non particolarmente solida nel proteggere questo sistema a privilegi elevati.
panda8408 Novembre 2017, 17:01 #5
Google ha fatto un talk all'Embedded Linux Conference a Praga qualche settimana fa a riguardo dei firmware che usano nei loro server in cui è menzionato anche IME. Qui il video:
https://www.youtube.com/watch?v=iffTJ1vPCSo
nitro8908 Novembre 2017, 19:33 #6
Tanenbaum ha gia risposto con una lettera: http://www.cs.vu.nl/~ast/intel/

Discussione su HackerNews: https://news.ycombinator.com/item?id=15642116
WarDuck08 Novembre 2017, 20:25 #7
Che io sappia il Management Engine è un chip con architettura ARC:

https://en.wikipedia.org/wiki/ARC_(processor)
rockroll09 Novembre 2017, 00:27 #8
Originariamente inviato da: LordPBA
per essere usato (che io sappia) va installato Intel Management Engine, altrimenti te lo vede solo come in dispositivo USB inattivo

Cmq una volta messo sul disco bitlocker dubito che possa accedere al disco

che io sappia IME serve per accedere direttamente all'HW da remote, per magari cambiare impostazioni del BIOS o altro... ma non sono sicuro, in po' piu' di chiarezza sarebbe utile da parte di INTEL quando inserisce feautures non richieste...


Purtroppo IME è da tempo presente a nostra insaputa: the Intel Management Engine (ME) is a separate computing environment physically located in the (G)MCH chip (Core 2 family) or PCH chip (Core i3/i5/i7 family).

Se è IME con tanto di MINIX a gestire HW e Bios, non solo bitlocker ma tutto il S.O. vede quel che questo marchingegno nascosto gli vuol far vedere. Chi paventa che il nostro sistema gira a tradimento sotto macchina virtuale ha le sue buone ragioni: la macchina fisica è posseduta prioritarimente dal marchingegno di cui sopra e non dal nostro povero Windows o chi per lui.

Ci si preoccupa tanto per la (in)sicurezza, ed a buona ragione, ma nessuno si ribella alla politica di una Casa che ha messo le cose in modo da agire da remoto a nostra insaputa in modo assolutamente prioritario senza che ci si possa opporre, e che si guarda bene dal documentare l'arcano!

Ora non so quanto la concorrenza ovvero AMD possa aver messo in atto pratiche segrete di questo tipo, ma qualora lo avesse fatto e magari fino a questi limiti, chiaramente tutta la mia critica e riprovazione varrebbe anche per AMD.
s-y09 Novembre 2017, 07:24 #9
Originariamente inviato da: nitro89
Tanenbaum ha gia risposto con una lettera: http://www.cs.vu.nl/~ast/intel/

Discussione su HackerNews: https://news.ycombinator.com/item?id=15642116


interessanti letture
mi pare anche che molti pongano l'accento sulla licenza come vulnerabilità principale. il tutto posto che, come scritto anche da tanenbaum, avrebbero cmq potuto scriversene uno da soli, invece che usare minix. ma chissà se l'avrebbero fatto...
pabloski09 Novembre 2017, 10:58 #10
Originariamente inviato da: WarDuck
Che io sappia il Management Engine è un chip con architettura ARC:

https://en.wikipedia.org/wiki/ARC_(processor)


Era. Con Skylake sono passati a x86, il che ha reso piu' semplice il reverse engineering ai ricercatori interessati a capirne di piu', neutralizzarlo o rimuoverlo.

E hanno scoperto pure un flag che, se settato, disabilita tutte le componenti di ME tranne quella che inizializza l'hardware ( ovviamente ). E la cosa che ha destato scalpore e' che in un file xml di configurazione e' specicato che il flag e' stato aggiunto su richiesta della NSA per il programma HAP.

Quest'ultimo punto dimostra che si poteva dare all'utente la possibilita' di disabilitarlo senza che il mondo ci cascasse addosso. E bisogna chiedersi perche' la cosa non sia ufficialmente supportata e pubblicizzata.

Quello che da' fastidio delle compagnie IT e' che stanno sempre piu' spingendo verso un depotenziamento delle possibilita' dell'utente, trasferendo il controllo dei sistemi computerizzati ai produttori. Inutile dire che questa cosa e' pericolosissima per le liberta' dei cittadini e la tenuta democratica delle nazioni.

Non siamo piu' ai tempi in cui il computer era un giocattolo posseduto da una persona ogni milione. Oggi tutto transita sulle reti e viene prodotto/elaborato da queste macchine. Ci vorrebbe leggi a riguardo, leggi molto serie e ben congegnate.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^