Alfonso Maruccia

Intel, patch per il chip segreto

Il colosso statunitense annuncia nuovi firmware per i suoi chip Management Engine, una tecnologia controversa e da più parti contestata portatrice di bug di sicurezza molto pericolosi. Le patch? Dovranno rilasciarle gli OEM

Roma - La "black box" di Intel che risponde al nome di Management Engine (ME o IME) è fallata, al punto che, in assenza di patch correttive, un malintenzionato bene informato potrebbe compromettere il sistema da remoto; senza alcun intervento da parte dell'utente e in maniera del tutto trasparente rispetto al sistema operativo installato su disco.


Come oramai noto alle cronache degli ultimi mesi, IME è un vero e proprio processore indipendente che Intel ha "nascosto" all'interno del Platform Controller Hub (PCH, ex-Northbridge) dei suoi chipset di ultima generazione, una CPU incaricata di gestire operazioni basilari per l'inizializzazione della macchina (boot, consumi ecc.) e l'avvio del processore centrale propriamente detto.

Il firmware di IME è equipaggiato con un sistema operativo del tutto indipendente (MINIX 3) e trasparente rispetto a quello usato dall'utente, ed è proprio all'interno di questo firmware che ora Intel dice di aver scoperto vulnerabilità di sicurezza particolarmente gravi.
Il bollettino di Chipzilla riguarda infatti una serie di falle di sicurezza individuate nei componenti IME, Server Platform Services (SPS) e Trusted Execution Engine (basato sull'uso del chip Trusted Platform Module o TPM), con in totale dieci bug potenzialmente sfruttabili per eseguire codice malevolo da remoto, compromettere i dati dell'utente e più in generale "giocare" con una macchina totalmente alla mercé di un hardware trasparente a qualsiasi software antivirale.

Le falle interessano i chip Core di sesta, settima e ottava generazione, dice Intel, le CPU Xeon, i SoC Atom C3000 e Apollo Lake (Atom E3900, Pentium), i Celeron delle serie N e J; i potenziali scenari descritti dalla corporation includono la possibilità di "impersonare" la black box segreta (ME/SPS/TXE), con conseguente "impatto" sulla sicurezza locale, il caricamento ed esecuzione di codice al di fuori della visibilità dell'utente o dell'OS, il crash del sistema e altro ancora.

Si tratta insomma di un problema di una gravità notevole, ulteriormente esacerbato dall'assenza quasi totale di documentazione sull'hardware segreto di Intel; peggio ancora è la situazione delle patch, con i firmware aggiornati che dovranno essere distribuiti dai singoli produttori OEM per i rispettivi sistemi vulnerabili. Lenovo è già della partita, gli altri seguiranno (augurabilmente) a breve.

Non è la prima volta che la piattaforma segreta di Intel dimostra di essere tanto sfuggente ai controlli quanto insicura per l'utente finale, e di certo il rinnovato interesse per IME e tecnologie correlate minaccia di rendere le suddette insicurezze ancora più rilevanti nel prossimo futuro.

Per quanto riguarda il futuro tecnologico e commerciale di Intel, invece, pare che l'interesse di Chipzilla sia più che altro quello di incrementare il fatturato piuttosto che difendere l'utenza da un hardware nascosto improvvisamente trasformatosi in un nemico interno impossibile da silenziare. La corporation ha intatti recentemente presentato i nuovi modem 5G per i gadget mobile prossimo venturo, con Apple che sarebbe già della partita per il debutto dei primi terminali previsto nel 2019-2020.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • SicurezzaIntel, 9 anni di bug nelle CPUI chip Core di Santa Clara prodotti dal 2008 ad oggi presentano una vulnerabilità che consentirebbe attacchi remoti. Occorre un nuovo firmware, ma trattandosi anche di sistemi datati per alcuni il fix non arriverà mai
  • SicurezzaIl chip segreto di Intel nasconde un OS open sourceIntel usa MINIX sul suo microcontroller "segreto" ME 11: la rivelazione è stata ufficialmente confermata dal creatore del sistema operativo, mentre Google è impegnata a sostituire il firmware "bacato" della corporation con Linux nei suoi data center
16 Commenti alla Notizia Intel, patch per il chip segreto
Ordina
  • ma intel con gli utili che fa e il budget che ha , e i programmatori, perche si affida aminix e non ha sviluppato un suo sistema operativo?
    non vorrei che sta storia fosse solo un diversivo e la vera backdoor sta da una altra parte
    non+autenticato
  • - Scritto da: sveglion
    > ma intel con gli utili che fa e il budget che ha
    > , e i programmatori, perche si affida aminix e
    > non ha sviluppato un suo sistema
    > operativo?

    Il problema non è l'errore tecnico, il problema è la scelta di mettere un backdoor di questo livello. Un bug può sempre capitare, la probabilità che una backdoor diventasse una vulnerabilità era forte.
    non+autenticato
  • Questa è la backdoor del progetto Palladium del 2000/2002. SIcuramente ce l'avranno anche gli AMD.
    non+autenticato
  • - Scritto da: prova123
    > Questa è la backdoor del progetto
    > Palladium del 2000/2002. SIcuramente ce l'avranno
    > anche gli
    > AMD.

    Eccome se ce l'ha anche AMD e si chiama Platform Security Processor (o PSP in breve), fa più o meno le stesse cose che Intel IME e rimuovendolo rendi inavviabile la macchina perchè si occupa anche dell'inizializzazione dell'hardware (come la controparte intel del resto).
    mura
    1773
  • Perché Intel non fa un OS in casa? Semplice perché lo sviluppo sotto guida manageriale risulta in software ipercomplessi, superbuggati, supercostosi, immantenibili. La sola via quando si fa sul serio è:
    - far solo cose MOLTO semplici e note
    - far sviluppare ad una community/singoli ricercatori liberi dalla schizofrenia del managerismo/dirigismo/fordismo.

    Ah, qualcuno potrebbe chiedere "e allora Microsoft?" Guardate QUANDO è nato Windows, ovvero in un'epoca in cui non c'era ancora il managerismo. Guardate quanto costa lo sviluppo di Windows e dove Microsoft stà andando a parare per sopravvivere (giochi & servizi, l'OS è in secondo piano, da un po' di anni). Oracle? Idem. Iniziò molti anni fa, prima del managerismo, e da allora avanza su quel che han sviluppato allora e tanto marketing. E questo vale per quasi ogni altra azienda moderna.
    non+autenticato
  • - Scritto da: sveglion
    > ma intel con gli utili che fa e il budget che ha
    > , e i programmatori, perche si affida aminix e
    > non ha sviluppato un suo sistema
    > operativo?

    perchè creare un sistema operativo anche elementare costa centinaia di milioni di dollari?

    giusto per inquadrare la faccenda, il kernel Linux è stimato in oltre 10 miliardi di dollari

    Minix esiste già, è BSD, è un microkernel avanzato con capacità di autorestart dei servizi crashati e altre chicce

    perchè reinventare la ruota? tanto non è che se ne scrivi uno da zero diventa inattaccabile o bug free ( anzi è il contrario )

    > non vorrei che sta storia fosse solo un diversivo
    > e la vera backdoor sta da una altra
    > parte

    SMM, ME, ACPI, ce n'è di backdoor in quei chip
    non+autenticato
  • Se la Germania ha proibito gli smartwatch che spiano i bambini potrebbe pure proibire la vendita di questi processori finche Intel non ripulisce i firmwares. In fondo qui non è solo questione di privacy, in caso di cyberwar con certi buchi si può buttere giù l'infrastruttura di un paese.
    non+autenticato
  • - Scritto da: 2d397f65ac7
    > potrebbe pure proibire la
    > vendita di questi processori finche Intel non
    > ripulisce i firmwares.

    poi alla Merkel arriva un omino in completo nero da Fort Meade ( o peggio da Langley ) con in valigetta una "poposcia che non s può rrrifiutare"
    non+autenticato
  • Devono essere briccati tutti con attacchi da remoto e (una volta dentro) da locale a tutte le macchine commesse in LAN

    E' l'unica soluzione: brick totale, danno d'immagine colossale, Intel che corre ai ripari e, quantomeno, lascia di default disabilitato tutto ciò che non serve davvero (oppure si sogna di avere nuovi clienti).

    Altre soluzioni non ce ne sono, l'unico modo per rendere consapevole l'utente a sbattergli in faccia un PC nuovo da usare come soprammobile.
    non+autenticato
  • - Scritto da: albicocco al curaro
    > Devono essere briccati tutti con attacchi da
    > remoto e (una volta dentro) da locale a tutte le
    > macchine commesse in
    > LAN
    >
    > E' l'unica soluzione: brick totale, danno
    > d'immagine colossale, Intel che corre ai ripari
    > e, quantomeno, lascia di default disabilitato
    > tutto ciò che non serve davvero (oppure si sogna
    > di avere nuovi
    > clienti).
    >
    > Altre soluzioni non ce ne sono, l'unico modo per
    > rendere consapevole l'utente a sbattergli in
    > faccia un PC nuovo da usare come
    > soprammobile.

    Hai letto la lista di processori? Ci sono tutti, server, deskto e laptop. Briccare tutto significa che se vuoi scaldarti devi andare al parco e raccogliere un po di ciocci di legna da bruciare in una stufetta (se non hai il camino in casa). Il resto te lo puoi immaginare.
    non+autenticato
  • - Scritto da: 2d397f65ac7

    > Hai letto la lista di processori? Ci sono tutti,
    > server, deskto e laptop.

    più sono meglio è se lo scopo è educare.
    non+autenticato
  • dai non esagerare

    le utility sono gestite da sistemi SCADA, notoriamente feudo di ARM e non di certo di Intel/AMD/Via
    non+autenticato
  • chi continua a comprare intel. si pure io in passato ho comperato intello, ma per il futuro intello vattene a fanculo!
    non+autenticato
  • i dati degli utenti devono rimanere in mano loro. tutti i culud, e simili vanno sfanculati, compresi tali utenti minchioni che difendono tale schifezza.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)