Fabio Baccaglioni



Mucho se está hablando estos días sobre un sistema escondido dentro de los procesadores Intel y las implicancias de esto sobre la seguridad de los sistemas afectados. ¿Qué hay con todo esto?

Bueno, por si no lo sabían, así es, en todo procesador Intel de 6ta, 7ma y 8va generación hay un nivel extra de abstracción y un sistema operativo completo funcionando en las sombras, Intel suele llamarlo Intel Management Engine (ME) pero por dentro es todo un S.O. con MINIX como base, así es, MINIX resultó ser el sistema operativo más utilizado sin que nadie lo supiera.

El "horror" de esto es que el ME es un software oculto que se ejecuta por encima de cualquier control que pueda tener el usuario, encima de UEFI inclusive, el otro sistema operativo oscuro que tiene toda PC moderna. ¿Es esto un riesgo? Sí, uno enorme.



Intel y otros fabricantes no quieren perder el control ni la imposición de condiciones que hacen sobre sus clientes, hace unos pocos años esta imposición derivó en el abandono del obsoleto BIOS por un sistema de arranque y control completamente oscuro y cerrado: UEFI.

A tal punto UEFI es oscuro que ninguno de los fabricantes de hardware termina de entenderlo pero sí se la pasan utilizando sus extensiones, cada una programada sin mucho control y abriendo más y más huecos de seguridad. Ahora bien, además de UEFI está el ME de Intel que se pone por detrás de todo esto para, supuestamente, controlar aspectos de bajo nivel del hardware y así, según la firma, tener mayor granularidad y control sobre el consumo energético y dispositivos.

Ahora bien, este ME tiene todo un sistema operativo completo, el famoso MINIX (por ser completamente libre y gratuito ni siquiera a su autor, Tanenbaum por si lo recuerdan , le avisaron que lo usarían para esto) con stack IP y todo, es decir, tiene capacidad de red. Esto es un riesgo masivo para cualquier equipo ya que dentro de una computadora hay un sistema conectado a la red sin que uno pueda tener control de éste y que, para colmo, está infiltrado en tu hardware a tal punto que puede espiar todo lo que en él sucede sin ser detectado.



Para entender esto vale un simple gráfico. El sistema que uno ve, el espacio de usuario, suele estar en el Ring 3, el kernel del sistema operativo en el Ring 0 y los hipervisores de virtualización ocupan un lugar nuevo que hubo de ser inventado, el -1.

Hasta aquí funcionaba el hardware tradicional hasta la irrupción de UEFI y SMM, UEFI sería el -2 y es un sistema operativo cerrado que controla muchas funciones del hardwar y cuando pasa a modo pasivo le deja el control a SMM que sería el -2 y medio. Un sistema controlador en modo 16 bits de 8086, todo el código de esto es secreto y el dueño real del hardware no tiene acceso a éste aunque sí puede hackearlo porque... casi nunca es actualizado por los fabricantes!

Ahora bien, Intel dio un paso más allá, integrar en sus CPUs otro sistema más con más privilegios, el Ring -3, al cual no sólo no se tiene acceso, ni siquiera se puede eliminar completamente. Google ha estado trabajando en minimizar el riesgo de este sistema parásito.

La realidad es que ni el Ring -2 ni el -3 son necesarios para que ningún hardware funcione bien, son funciones agregadas por los fabricantes para someter a condiciones a los usuarios y obligar, de alguna forma, a usar el hardware como el vendedor quiere. El problema es que ambos niveles tienen sistemas cuya "seguridad" se basa en la completa oscuridad. Eso no significa que no sean vulnerables, de hecho, hay varias vulnerabilidades que Intel ha tratado de corregir, una de ellas llevó siete años.

Estos huecos permiten ataques totales como la instalación de rootkits que, al estar en el Ring -3, son indetectables para el sistema operativo que ve el usuario o el kernel. Sencillamente pueden infectarte el Ring -3 y tener acceso a todo bit de información que pase por el CPU, acceso directo a la memoria y espionaje total y, para colmo, imposible de revertir.

Google empezó a trabajar en un parche para esto ya que no quieren que sus servidores se vean comprometidos por el ME, lograron crear un "limpiador" que reduce la presencia de este software y su capacidad para conectarse a la red dejándolo así "aislado", pero no lo pueden remover completamente porque en sus intentos el hardware no logra bootear nunca más o se resetea en minutos. ME sigue presente.

Otra opción del mercado es migrar a AMD (que tampoco es 100% abierta, ojo ahí) o crear sus propios procesadores basados en ARM (cosa que varios fabricantes ya hacen incluyendo a AMD, Samsung, Apple, etc.) pero esa no es la solución en un mercado server/desktop/notebooks con un 80% de procesadores de Intel YA PRESENTES y sin parche de seguridad alguno.

Tal es el problema que si un grupo de hacking está aprovechando infiltrarse en ME no es posible saberlo con certeza (esperemos que no, claro). Intel admite el problema pero no parece tener intención alguna de revertirlo, uno de los bugs más ridículos de ME era que se podía ingresar con password vacío y tener acceso total para inyectar código y ejecutarlo. Básicamente un "God Mode" dentro de un procesador.

También hace vulnerables a los equipos vía USB como un grupo de hacking ruso ya demostró

Recomiendo ver la charla de Ronald Minnich de Google sobre este tema:



Minnich apela, como Google, a utilizar Go como lenguaje para manejar estos problemas así que obviamente ellos estan muy enfocados en esto, pero repito, su interés es más que relevante y no dudo que otros gigantes como Amazon y Facebook deben estar igual de preocupados por el nivel de intrusión que esto podría provocar.

Los chips afectados:
  • 6th, 7th and 8th Generation Intel Core processors
  • Intel Xeon E3-1200 v5 and v6 processors
  • Intel Xeon Scalable processors
  • Intel Xeon W processors
  • Intel Atom C3000 processors
  • Apollo Lake Intel Atom E3900 series
  • Apollo Lake Intel Pentiums
  • Celeron N and J series processors
Si, gran parte de lo más vendido en los últimos tres años. Ah, y si les interesa también Google ha estado trabajando en sacarse UEFI de encima con NERF.

Tampoco quiero demonizar a Intel, el ME es un "feature" de sus procesadores que permite tener un control superior sobre el hardware que, en algunas corporaciones, tiene total sentido si se quiere imponer reglas o condiciones en todos los equipos de una industria. El problema es que la implementación , cerrada, oscura, no documentada, deja justamente la puerta abierta a quienes quieran utilizar esto para hacer daño y realizar espionaje vulnerando completamente a los verdaderos clientes que no verán beneficio alguno (y al fin y al cabo son los que pagan las cuentas).

Comentarios

Mi viejo y gauchito Intel i5 750 es tan pero tan viejo, que ni saben de qué le están hablando. Ahre Risa

Ya en serio: la cagaron mal, es como un rootkit por hardware. Un amigo. ¿AMD tiene algo similar en sus chipsets? Creo que no, por todo lo que leí al respecto hasta ahora... aunque quien sabe si no hay algo ahí escondido que todavía no sabemos.

Por suerte no se usan computadoras en la emisión de votos... ah, pará!!

  • Citar »

Desde 1990, fecha de mí primer PC, arranqué con AMD y seguí, ya después me las armaba yo y empecé a armar para terceros, haciendo mantenimiento. Usé DOS 3.31 que direcciona 30 MB de HD y la memoria era de 640 kb. Actualmente el micro que uso es un Phenom II X4 965 3.4 Ghz.
Salvo algunos temas refrigeración solucionables AMD nunca defraudó y usé mejores MOBO con el ahorro del micro.
Hoy suspiro con un A12 que ya llegarà.
Gracias por la info, saludos.

  • Citar »

gorlok dijo:
Mi viejo y gauchito Intel i5 750 es tan pero tan viejo, que ni saben de qué le están hablando. Ahre Risa

Ya en serio: la cagaron mal, es como un rootkit por hardware. Un amigo. ¿AMD tiene algo similar en sus chipsets? Creo que no, por todo lo que leí al respecto hasta ahora... aunque quien sabe si no hay algo ahí escondido que todavía no sabemos.

Por suerte no se usan computadoras en la emisión de votos... ah, pará!!


En AMD también tenés soporte total para UEFI, o tendrá la tercer capa pero sí tiene esa otra bosta totalmente "rootkiteable" y todo lo demás que no podés conocer porque, claro, no todo está debidamente documentado. En la charla de Minnich aclara esto justamente.

  • Citar »

Lo peor de todo es que ademas le pedian modificaciones a Minix sobre performance sin decirle para qué eran:

"The only thing that would have been nice is that after the project had been finished and the chip deployed, that someone from Intel would have told me, just as a courtesy, that MINIX was now probably the most widely used operating system in the world on x86 computers."

Pasa en las mejores familias o acaso Bill no se robo el DOS?

  • Citar »

El amigo Richard Stallman viene comentando este tema hace rato: https://stallman.org/intel.html pero claro, lo tratan de loco paranoide.

  • Citar »

Diego dijo:
Lo peor de todo es que ademas le pedian modificaciones a Minix sobre performance sin decirle para qué eran:

"The only thing that would have been nice is that after the project had been finished and the chip deployed, that someone from Intel would have told me, just as a courtesy, that MINIX was now probably the most widely used operating system in the world on x86 computers."

Pasa en las mejores familias o acaso Bill no se robo el DOS?


No, Bill pagó por el DOS, pagó poco pero pagó al menos


Pablitox dijo:
El amigo Richard Stallman viene comentando este tema hace rato: https://stallman.org/intel.html pero claro, lo tratan de loco paranoide.

Stallman es el loco paranoide que todos necesitamos, sin él no estaríamos completos

  • Citar »

Mí gran curiosidad sobre esta bosta del ME es que pasa si al equipo le instalo una interfaz ethernet y uso esa en lugar de la integrada. ¿Lo dejo fuera de la red?

  • Citar »

En otras palabras cualquier porqueria electronica te espia, estoy empezando a sospechar de la planchita del pelo de mi esposa, del control remoto y de alguna otra cosa mas

  • Citar »

Mmmm, si mal no recuerdo, creo que minix 3 tiene la capacidad de auto regenerarse, o algo parecido en su implementación, self healing features. Debe corregir errores térmicos a altas frecuencias seguramente, pero es una hipótesis mía nomás. No tengo mucho tiempo para leer sobre esto, otro en algún momento lo hice. Alguno que quiera tomar la posta?

  • Citar »

IT´S NOT A BUG, IT´S A FEATURE! Risa

  • Citar »

Deje su comentario:

(comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador sin previo aviso)

Security Image

Negrita Cursiva Imagen Enlace