Об открытости процессоров Intel и AMD внешним воздействиям, обходящим операционную систему и пользовательские защиты.
В интервью с В.Б. Бетелиным внимание слушателей привлек эпизод на интервале 30:10-31:40, на котором академик декларирует полную незащищенность от "прослушивания" и вредоносных внешних воздействий информационных систем, использующих процессоры Intel выпуска последних нескольких лет.Мы, на условиях анонимности, получили комментарии к этой дискуссии от одного из отечественных специалистов в области информационных технологий.
Сегодняшний микропроцессор Intel представляет собой сложную систему компонент, размещенных на одном кристалле. Они образуют дружную семью подсистем, обеспечивающих работу той сложной микросхемы, которая коротко называется «микропроцессор Intel». Среди этих подсистем несколько пользовательских процессорных ядер и несколько видов энергонезависимой памяти, системный контроллер, проводные и беспроводные интерфейсные контроллеры и др.
Несколько лет назад Intel ввел в эту семью нового привилегированного члена – дополнительное процессорное ядро, наделенное неограниченными правами на надзор и вмешательство в работу всех пользовательских ядер и всех вообще аппаратных ресурсов «микропроцессора Intel». Этот новый член семьи наделен собственной памятью, неподконтролен остальным членам семьи и может действовать так, что остальные члены семьи и не заподозрят, что за ними наблюдают и в их работу вмешиваются.
Говоря техническим языком, последние 12 лет каждый микропроцессор компании Intel работает под контролем неотключаемой штатной аппаратно-программной компоненты Intel Management Engine (ME).
Полный круг задач, выполняемых зашифрованным программным обеспечением на процессоре ME, сообществу IT-профессионалов всего мира до сих пор не известен. Компонента ME постоянно работает, даже если микропроцессор Intel переведен в спящий режим. Встроенное ПО компоненты ME зашифровано. Компонента Intel МЕ фактически представляет собой автономный сверхминиатюрный компьютер, встроенный в корпус микропроцессора Intel. Этот компьютер достаточно мощный, на нем используется разработанный компанией Intel вариант операционной системы типа Unix, в состав встроенного ПО входит web-сервер. Компьютер ME может общаться со внешним миром от своего имени, используя встроенные в микросхему Intel контроллеры проводных и беспроводных сетей. Это общение необнаружимо средствами операционной системы и пользовательского ПО, исполняющимися на микропроцессоре Intel.
В то же время, сама компонента Intel ME имеет 100% доступ ко всем потокам данных входящим и выходящих из «микропроцессора Intel», имеет наивысший уровень и привилегии доступа ко всем аппаратным ресурсам и всем процессам, происходящим на «микропроцессоре Intel», будучи аппаратно защищена от любого доступа со стороны ядра ОС или даже гипервизора, не говоря уже о программах пользовательского уровня. Эта компонента может цензурировать и/или фальсифицировать потоки данных, приходящих извне к пользовательским ядрам, замедлять или искажать работу этих ядер или вообще отключить их, оставшись единственным птенцом в гнезде процессорных ядер микропроцессора Intel.
В процессоры компании AMD, начиная с 2013 г, также включается подобная «контролирующая» компонента, называемая Platform Security Processor.
Вывод: производимые в последние годы процессоры Intel и AMD практически не могут быть защищены от внешних воздействий за счет доработки системного и прикладного программного обеспечения, функционирующего на этих процессорах.
В дополнение темы:
1. The Intel Management Engine (ME) https://en.wikipedia.org/wiki/Intel_Management_Engine
2. Как избежать восстания машин (апрель 2016) https://habrahabr.ru/company/dsec/blog/282546/
3. "Frequently Asked Questions for the Intel® Management Engine Verification Utility". The Intel® ME performs various tasks while the system is in sleep, during the boot process, and when your system is running.
https://www.intel.com/content/www/us/en/support/articles/000005974/software/chipset-software.html
4. OpenNews: Google развивает открытую замену прошивкам UEFI
https://www.opennet.ru/opennews/art.shtml?num=47469
5. AMD Secure Processor (Built-in technology)
http://www.amd.com/en-gb/innovations/software-technologies/security