Alfonso Maruccia

Il chip segreto di Intel nasconde un OS open source

Intel usa MINIX sul suo microcontroller "segreto" ME 11: la rivelazione è stata ufficialmente confermata dal creatore del sistema operativo, mentre Google è impegnata a sostituire il firmware "bacato" della corporation con Linux nei suoi data center

Roma - Ennesima rivelazione a sorpresa in merito al Management Engine (ME) 11 di Intel, processore "segreto" integrato dalla corporation su tutte le sue piattaforme x86 che in questi giorni ha diradato ulteriormente la nebbia che lo circonda con la scoperta del sistema operativo implementato nel firmware.

ME 11 è un coprocessore protetto che Intel ha posizionato all'interno del Platform Controller Hub (PCH) delle più recenti architetture di processore x86, un meccanismo che la corporation "vende" come ideale per il monitoraggio e la gestione da remoto e che i ricercatori hanno da tempo classificato come una vera e propria backdoor alla mercé di malintenzionati, cyber-criminali o agenzie di intelligence poco avvezze al rispetto della privacy dell'utente.

Gli esperti sono da tempo impegnati nel tentativo di disabilitare o rimuovere quasi completamente le funzionalità di ME dai sistemi affetti dal problema, e anche un colosso come Google è al lavoro per l'implementazione di soluzioni alternative basate sul Linux per i chip Intel adottati nei suoi enormi data center.

Ma l'impresa di rimozione della logica software di ME si è rivelata piuttosto ardua, e il motivo principale di tale difficoltà arriva proprio grazie agli ingegneri di Mountain View: oltre ad agire come una CPU totalmente indipendente, Intel ME 11 ha a disposizione un sistema operativo completo basato sul progetto MINIX.

MINIX è un OS modulare nato per opera di Andrew S. Tanenbaum, professore olandese intenzonato a dimostrare che non occorreva scrivere milioni di linee di codice per realizzare un sistema operativo completo. Nel caso del chip di Intel, MINIX 3 gestisce le operazioni di boot, l'inizializzazione e l'approvvigionamento energetico necessari a mettere in funzione la CPU vera e propria.

Grazie a Intel, ha confermato lo stesso Tanenbaum, MINIX 3 è forse il sistema operativo più popolare al mondo ancorché segretamente installato sui chip x86 dei computer di tutto il mondo; la corporation lo aveva in effetti contattato in passato per suggerire modifiche al codice dell'OS, anche se all'autore non era mai stata rivelata l'intenzione di usare - o forse abusare? - la sua creazione per l'integrazione di una backdoor all'interno della piattaforma informatica per eccellenza.

Alfonso Maruccia
Notizie collegate
  • SicurezzaIntel, 9 anni di bug nelle CPUI chip Core di Santa Clara prodotti dal 2008 ad oggi presentano una vulnerabilità che consentirebbe attacchi remoti. Occorre un nuovo firmware, ma trattandosi anche di sistemi datati per alcuni il fix non arriverà mai
  • AttualitàIntel ME si può disabilitareFinalmente identificato un metodo per disabilitare il discusso microcontroller "protetto" delle piattaforme Intel, una tecnologia per la gestione remota da tempo accusata di essere una vera e propria backdoor
71 Commenti alla Notizia Il chip segreto di Intel nasconde un OS open source
Ordina
  • E' una clistere permanente ufficiale e inamovibile (non a caso).

    Mi ricorda quando zio Bill sosteneva di non poter separare l'Exploder da winzozz (mi pare win95) facendo vedere che c'era del codice in comune con il sistema e quindi non si poteva proprio.


    Speriamo che AMD prenda bene la palla al balzo per spingere i Ryzen. La concorrenza e i calci nel culo delle aziende è l'unica risposta per queste "features".
    non+autenticato
  • > Speriamo che AMD prenda bene la palla al balzo
    > per spingere i Ryzen. La concorrenza e i calci
    > nel culo delle aziende è l'unica risposta per
    > queste "features".

    Con Ryzen è la stessa storia.
    non+autenticato
  • - Scritto da: fb5df5f7422
    > > Speriamo che AMD prenda bene la palla al
    > balzo
    > > per spingere i Ryzen. La concorrenza e i
    > calci
    > > nel culo delle aziende è l'unica risposta per
    > > queste "features".
    >
    > Con Ryzen è la stessa storia.

    Fonti?

    Se fosse la stessa assurda storia, perpetrata a tradimento e inamovibile come su X86 Intel, non avrei difficoltà ad ammettere che anche AMD fa schifo!
  • - Scritto da: rockroll
    > - Scritto da: fb5df5f7422
    > > > Speriamo che AMD prenda bene la palla al
    > > balzo
    > > > per spingere i Ryzen. La concorrenza e i
    > > calci
    > > > nel culo delle aziende è l'unica risposta
    > per
    > > > queste "features".
    > >
    > > Con Ryzen è la stessa storia.
    >
    > Fonti?

    fatti una ricerca su google per "AMD Platform Security Processor"

    > Se fosse la stessa assurda storia, perpetrata a
    > tradimento e inamovibile come su X86 Intel, non
    > avrei difficoltà ad ammettere che anche AMD fa
    > schifo!

    Puoi tranquillamente già dirlo anche se sembra che siano stati richiesti i sorgenti di questa roba, ovviamente ancora non si è visto nulla di concreto e dubito che ci sarà mai.
    mura
    1768
  • MINIX 3 è forse il sistema operativo più popolare al mondo ancorché segretamente installato sui chip x86 dei computer di tutto il mondo

    cpu intel, sony playstation, apple mac, switch, router juniper e cisco, server vari... BSD è ovunque
    non+autenticato
  • > cpu intel, sony playstation, apple mac, switch,
    > router juniper e cisco, server vari... BSD è
    > ovunque

    Sei amico di panda rossa?
    non+autenticato
  • - Scritto da: nome e cognome
    > > cpu intel, sony playstation, apple mac,
    > switch,
    > > router juniper e cisco, server vari... BSD è
    > > ovunque
    >
    > Sei amico di panda rossa?

    solo nei giorni pari quando Android è linux A bocca aperta allora è al 50% l'anno di linux A bocca aperta
    non+autenticato
  • - Scritto da: Passa Ronda
    > Clicca per vedere le dimensioni originali

    10/10
    non+autenticato
  • Interessante, ma UEFI non è solo una questione Google, Microsoft, Intel.
    Ci sono di mezzo tutti i produttori, a loro fa comodo un sistema che rende difficile rimuovere il loro bloatware.
    non+autenticato
  • - Scritto da: 5f7d7415269
    > Interessante, ma UEFI non è solo una questione
    > Google, Microsoft,
    > Intel.
    la 'questione' e' che alcuni di google assieme ad altri han provato ad eradicare o bypassare tutto... e' interessante il PDF anche come 'riassunto sugli strati di crapware a cui siamo arrivati'
    non+autenticato
  • > la 'questione' e' che alcuni di google assieme ad
    > altri han provato ad eradicare o bypassare
    > tutto...

    Cioè giocare col BIOS. Se va bene OK, se va male bricki il dispositivo. Non sono cose che proverei con un portatile nuovo e non credo che siano tanti disposti a rischiare il PC.

    > e' interessante il PDF anche come
    > 'riassunto sugli strati di crapware a cui siamo
    > arrivati'

    E' interessante ed è interessante sapere che l'hardware attuale puo funzionare senza tutte quelle schifezze, ma purtroppo non sembra qualcosa che i produttori adotterebbero e i privati non possono certo applicarla su larga scala.

    Ultimo dettaglio complottista. Se pubblicano un articolo ben fatto con istruzioni dettagliate i produttori possono anche introdurre qualche modifica sui nuovi prodotti tale che seguendo quelle istruzioni si brucia tutto, in questo modo scoraggerebbero ulteriori tentativi. E' un problema politico non solo tecnico e non si risolve solo con qualche procedura tecnica.
    non+autenticato
  • - Scritto da: bubba
    > https://schd.ws/hosted_files/osseu17/84/Replace%20
    >
    > eradicare/addomesticare Intel ME,SMM,UEFI .. glaz

    E' completamente fuori dalla portata della massa, ovvero dell'obiettivo degli spioni.

    comunque visto che si dice che c'è un web server abilitato di defualt, si può sapere in che porta, così si può vedere subito se è vero oppure una panzana?
    non+autenticato
  • - Scritto da: albicocco al curaro
    > - Scritto da: bubba
    > >
    > https://schd.ws/hosted_files/osseu17/84/Replace%20
    > >
    > > eradicare/addomesticare Intel ME,SMM,UEFI ..
    > glaz
    >
    > E' completamente fuori dalla portata della massa,
    > ovvero dell'obiettivo degli
    > spioni.
    ovvio. piu' il crapware e' profondo piu' e' difficile.

    > comunque visto che si dice che c'è un web server
    > abilitato di defualt, si può sapere in che porta,
    > così si può vedere subito se è vero oppure una
    > panzana?
    panzana? no di certo... del resto AMT sta' per 'active management technology'.. difficile managgiare senza rete...
    un comodo elenco c'e' pure qui https://en.wikipedia.org/wiki/Intel_AMT_versions#V...
    non+autenticato
  • - Scritto da: bubba

    > > comunque visto che si dice che c'è un web server
    > > abilitato di defualt, si può sapere in che
    > porta,
    > > così si può vedere subito se è vero oppure una
    > > panzana?
    > panzana? no di certo... del resto AMT sta' per
    > 'active management technology'.. difficile
    > managgiare senza
    > rete...
    > un comodo elenco c'e' pure qui
    > https://en.wikipedia.org/wiki/Intel_AMT_versions#V

    sì ok, ma io parlo del webserver che si dice sempre attivo, non del ME in generale che è assoldato che ci sia (se no Google perchè vorrebe rimuoverlo?)
    Se il web server è davvero sempre è attivo deve rispondere alle GET/POST e così via, e deve rispondere da un IP della LAN, altrimenti non è raggiungibile da nessuno.
    Quindi richiedo, come mi ci connetto (tutti parlano di sto server, nessuno dice a che porta risponde)?
    In secondo luogo, ammesso che sia davvero sempre attivo, come lo raggiungono dall'esterno visto che ormai siamo praticamente tutti nattati (aspettando ipv6 che cambierà un po' di cose, vabbè)?

    riassumendo, sta cosa è chiaro che aumenta la superficie di attacco e lo fa praticamente di nascosto, con pochissime possibilità di reagire, ma per essere una backdoor efficace dovrebbe agire come client non come server (e connettersi a server di controllo). Così com'è è più che altro un pericolo all'interno della LAN (parlo solo dall'aspetto di rete, ho letto che qualcuno è già riuscito a creare una penna USB in grado di modificare il codice interno, quindi in quel caso le backdoor vere tele possono inserire facile).
    non+autenticato
  • - Scritto da: albicocco al curaro
    > - Scritto da: bubba
    >
    > > > comunque visto che si dice che c'è un
    > web
    > server
    > > > abilitato di defualt, si può sapere in
    > che
    > > porta,
    > > > così si può vedere subito se è vero
    > oppure
    > una
    > > > panzana?
    > > panzana? no di certo... del resto AMT sta'
    > per
    > > 'active management technology'.. difficile
    > > managgiare senza
    > > rete...
    > > un comodo elenco c'e' pure qui
    > >
    > https://en.wikipedia.org/wiki/Intel_AMT_versions#V
    >
    > sì ok, ma io parlo del webserver che si dice
    > sempre attivo, non del ME in generale che è
    > assoldato che ci sia (se no Google perchè vorrebe
    > rimuoverlo?)
    > Se il web server è davvero sempre è attivo deve
    > rispondere alle GET/POST e così via, e deve
    > rispondere da un IP della LAN, altrimenti non è
    > raggiungibile da
    > nessuno.
    > Quindi richiedo, come mi ci connetto (tutti
    > parlano di sto server, nessuno dice a che porta
    > risponde)?
    perche' e' cosa documentata.. googolabile facilmenteSorride
    visto che sei pigro ti becchi direttamente la pagina del cert con una vuln (ovviamente micidiale) che e' rimasta li' per anni .. https://www.kb.cert.org/vuls/id/491375Sorride

    > In secondo luogo, ammesso che sia davvero sempre
    > attivo, come lo raggiungono dall'esterno visto
    > che ormai siamo praticamente tutti nattati
    > (aspettando ipv6 che cambierà un po' di cose,
    > vabbè)?
    nel tuo notebook di casa sei nattato... visto che questa e' roba tipicamente "da server" ('questa' intendo l'AMT attivo.. ma non e' l'unica roba... il intel ME e' un maledetto framework modulare, gia' uscito in uno sbrego di release.. ) non e' affatto detto che sia cosi..
    non+autenticato
  • Purtroppo nelle recenti ore panda rossa è stato colto da gravissimo malore e quindi, come minimo per oggi, non potrà più apportare il suo preziosissimo e significativo contributo alle sempre interessantissime discussioni del forum.

    Lui sa che qui lo seguono in molti e ci teneva a fare sapere che spera di essere presto tra di voi anche se, per il momento, il medico gli ha consigliato un periodo di riposo di lunghezza da valutare e l'ha messo sotto sedativi.

    Presto, dopo il ricovero, il suo portavoce farà sapere l'indirizzo per tutti quelli che volessero inviare fiori, bigliettini di auguri, cioccolatini ma soprattutto mp3 aggratisse.

    Buona giornata a tutti.
    non+autenticato
  • - Scritto da: portavoce
    > Purtroppo nelle recenti ore panda rossa è stato
    > colto da gravissimo malore e quindi, come minimo
    > per oggi, non potrà più apportare il suo
    > preziosissimo e significativo contributo alle
    > sempre interessantissime discussioni del
    > forum.


    Clicca per vedere le dimensioni originali
    non+autenticato
  • fossi stato il lui avrei messo l'iban per le donazioni
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)