Vo všetkých Intel CPU beží unixový OS, jeho tvorca to nevedel

Značky: IntelCPUUnix, 9.11.2017

Vo všetkých moderných procesoroch od Intelu, zrejme počnúc generáciou Skylake uvedenou pred viac ako dvomi rokmi v lete 2015, beží nezávisle na štandardne bežiacom operačnom systéme aj operačný systém Minix.

Informáciu o prítomnosti Minixu avizoval na prelome mesiacov vo svojom vystúpení na konferencii Embedded Linux Ronald Minnich z Google.

Minix beží na problematickom a dlho kritizovanom procesore Management Engine, ME, zahrnutom v Intel procesoroch. Samozrejme dlhodobo sa vie, že na tomto procesore beží firmvér mimo dosahu kódu spúšťaného na hlavnom procesore. K dlhoročným kritikom ME ako potenciálnej bezpečnostnej hrozbe patrí napríklad Joanna Rutkowska, pôvodná tvorkyňa a zakladateľka bezpečného Qubes OS.

Doteraz nebolo jasné aký firmvér na ME beží. Na použitie Minixu v skutočnosti ako prvá verejne už pred dvomi mesiacmi upozornila spoločnosť Positive Technologies, podľa ktorej Intel prešiel na plnohodnotný operačný systém Minix s Intel ME-11 použitým od Skylake zároveň s výmenou mikrokontrolera použitého ako ME, z ARCompact za x86 Minute IA.

Predtým mal na ME bežať limitovaný ThreadX RTOS. Podľa Google je teraz konkrétne použitá verzia Minix 3.

Minix je operačný systém unixového typu, ktorý pred 30 rokmi napísal a vydal ako open source Andrew Tanenbaum. Minix mal slúžiť na vzdelávacie účely študentov informatiky, pri písaní Linuxu sa ním inšpiroval aj Linus Torvalds a na Minixe aj vyvíjal prvotné verzie linuxového jadra.

Ronald Minnich z Google prezentuje riešenie nachádzajúce proprietárne firmvéry v Intel CPU a doskách (video: Linux Foundation)

Linux sa ale od Minixu v podstatnej miere odlišuje, keď používa veľké monolitické jadro na rozdiel od mikrojadra Minixu.

Použitím Minixu bol prekvapený aj jeho autor, ktorý v otvorenom liste šéfovi Intelu teraz avizuje, že nečaká za použitie Minixu platbu, bolo by ale pekné, keby ho o tom Intel aspoň informoval. Intel s ním podľa Tanenbauma pred rokmi konzultoval a chcel nejaké zmeny v Minixe, nepovedal ale na aký účel. Minix je od roku 2000 vydaný s BSD licenciou a Intel ho môže použiť ľubovoľne a bez akejkoľvek kompenzácie pre autora.

ME s jeho firmvérom je mnohými považovaný za bezpečnostnú hrozbu, keď jeho firmvér nie je otvorený, zdokumentovaný a nepochybne sa tam nachádzajú bezpečnostné chyby proti ktorým sa užívatelia počítačov prakticky nemajú ako brániť. To sa v plnej miere potvrdilo v tomto máji, kedy bola v technológii AMT na ME objavená závažná zraniteľnosť umožňujúca útočníkovi prístup bez znalosti prihlasovacích údajov.

Viacerí experti sa snažia ME eliminovať, k dispozícii je napríklad nástroj ME_Cleaner vypínajúci niektoré komponenty a Positive Technologies o svojich zisteniach informovala pri oznámení spôsobu ako ME deaktivovať po nabootovaní. Ide ale o neoficiálne spôsoby s istou mierou rizika, keď ME je minimálne vo fázach zapínania potrebný pre funkčnosť hlavného CPU.

Intel evidentne nie je ochotný ME odstrániť ani pre tak veľkého zákazníka ako je Google a ten práve pracuje na riešení ako eliminovať ME ale tiež ďalšie firmvéry UEFI a SMM z procesorov a dosiek napríklad pre Chromebooky a jeho servery. Minnich informoval o použití Minixu práve pri predstavovaní projektu Google, ktorý eliminuje podstatnú časť týchto komponentov a nahrádza ich Linuxom.

Niekto ziskal JTAG pristup do Intel ME. status/928269320064450560
JTAG je standart na debugovanie CPU a teda vam umoznuje citat obsah pamete registrov CPU a vsetkeho.
velmi hrozny veca, hlavne pokym vsetkych platenych duchotienov samotneho velkeho nacelnika, Šiška, vediet do toho nahrat svojho dychu tmaveho aj z widli, a potom dokazat predvidat nepredvidatelny veca obete samotneho
a nevie pan nacelnik poradit, ako sa zbavit zleho dychu Šiškou plateneho duchotiena vo veci mnou vlastnenou?
Ten screen akurat tak ukazuje tap network jtagu pre cpu na ktorom bezi, cpu je haltnute a je tam dissassemblovanych par instrukcii. Nic viac, alebo ktora informacia tam ma dokazovat ze sa jedna o hacknuty me?
Predpokladal by som ze po takom otvorenom liste by sa akcie Intelu mohli celkom prepadnut:
1) Intel nieco nacpal do vsetkych CPU, tvorca o tom nevedel
2) Tvorca je prekvapeny a hlasi ze to snad vylepsili, lebo on to rozhodne na military-grade ucely nemyslel :D
kedze intel tuto informaciu zatajoval ze tam bezi unixovy OS. Znamena to vy viete co... Ze ten OS monitoruje a analyzuje co ten procesor spracovava, potom si za urcitych podmienok mozu poslat nejake data do tajnych sluzieb. Preto zacali zrejme aj spajat wifi cip s porcesorom a podobne. Vsetko chcu dat do jedneho cipu ktory bude moct nezavisle odosielat data do centraly kde vas budu zionisticki zidia sledovat pretoze ste ich otroci goyimovia.
Sledujú či sa náhodou nechceme dostať k okraju našej plochej Zeme :O
Jašteričáci jedni!
Príspevok bol zmazaný pre nevhodný a/alebo vulgárny obsah.
takze na jednej strane sa vie dlho ze tam bezi aj iny firmware, ale akosi az teraz sa prislo na to, ze od 2015 je to minix, zaujimave...
Cítim povinný kontaktovať pre pomoc a nádej na vaše usmernenie k jej obsahu.

Teším sa na rokovaní od vás prediskutuje. Ďakujem vám za vašu pomoc v tejto veci.

Vy s pozdravom,

Slečna Lucy Akanki
moct vy poslat vaša fotka predtým ?
nejlíp viacero fotkov vašej postavy aj tváre, pre účely zaradenia do takého domáceho ratki žuvanja, picá ei dobrotvori
Obdobu ME maju aj AMD CPU, tiez s uzavretym kodom.
Nanutene zadne vratka - USAMRY/NSA...
A ja žijem v šľahačkových oblakoch a prdím cukrovú vatu.
A všetci milujeme jednorožca, takže nám nehrozí žiadne nepriateľstvo.

A po com tam idu byty?
po cestach, po kolajniciach.. ako ktore.
Jeden za sedem bitov. Vraj je tam dost stabilny trh.
tesim sa na novu spravu za 5 rokov, ako sa bude pisat, ze v procakoch bezi javovy os a za 15 rokov javascriptovy os
preklep : "javovy"->"jalovy"
Minx system je operacny system ako napriklad Wndows alebo Windows 10 alebo Windows 8.1. Ma teda vela moznosti ako by sa dal vyuzit. Mat takyto funkcny system a nevediet co robi je ako keby niekto na dialku ovladal vas pocitac. Do urcitej miery ako napriklad sledovanie markizy je to v poriadku ale v pripade ze by zacal sledovat co robite, to v poriadku uz byt nemusi.
Čo robím už aj tak vedia všetci. A dokonca aj to, čo nerobím.
Sledovanie markizy rozhodne nie je v poriadku
Tak by mohli byt aj lacnejsie tie CPUcka, uz ked tam toho tak vela nekodia:D
Mam taky pocit ze redakcia tam dala zle video
Pohoda, chceli nam tym povedat, ze to bezi aj v GPU nielen v CPU :D
video je dobré, len popis nesedí... :-)
Co na to Ondrej Macko?
čo na to Macko , no nič hodi procák na káblofku a bude povinne platit zato
Predstave si že využívate systém TOR a spustite ho na Intel s Minix ME. Predstavte si že nabotujete OS Tails od Edward Snowden. Veškeré šifrovanie a anonymita je preč lebo všetko čo sa vám zobrazuje v GPU je priamo prepojene s CPU intel v jednom čipe a Minix a ME to pošle rovno k NSA.
no hej, ale ak nemáš na tom OS osobné info, tak to ME pošle cez Tail OS, ktorý smeruje všetku komunikáciu (či už chcenú - tvoju, alebo nechcenú - napr. spomínané ME) cez TOR, takže akékoľvek dáta odošle, tak sa odošlú anonymne. Keď tam budeš mať odfotený občiansky a holú cicinu k tomu, to už je problém medzi stoličkou a obrazovkou
ty had, nekradni mi nick a zamysli sa čo si napísal... ME má vlastný OS, z ktorého to odosiela, takže to odosiela z reálnej IP ty ... čorker
Odosielat moze. Pokial mas nakonfigurovany firewall a neposiela to cez 3g prip.susedovu wifinu tak si ok..
Ale ved firewall moze byt nakonfigurovany aj tri krat, len pri vypnutom os to velku ulohu nehra.
HW firewall ofc
O Tannenbaum, O Tannenbaum
Wie treu sind deine Blatter!
O Tannenbaum, O Tannenbaum
Wie treu sind deine Blatter!
Du grunst nicht nur zur Sommerzeit,
Nein, auch im Winter, wenn es schneit.
O Tannenbaum, O Tannenbaum
Wie treu sind deine Blatter!
