Intel UEFI

Data: 2017-12-08, autor: Michał Misztal

Przyznaję - ten wpis trochę poleżakował. Zaczęło się od datowanego na miesiąc do tyłu artykułu. Inżynier Google odkrył, że płyty głowne z chipsetem Intela korzystają z systemu Minix 3 który działa na poziomie tzw ring -3. Dla porównania UEFI działa na wartstwie -2 a system operacyjny na ring 3.

Nie chcę tutaj nikogo oskarżać o inwigilację. Bardziej adekwatnym wyrażniem będzie "tępota". Na pewno znacie uczucie gdy kupujecie jakiś fajny bajer. Powiedzmy żarówkę która świeci i gra największe przeboje. Niestety po tygodniu odkrywacie, że zapuściła brodę i odgrywa największe przeboje Krzysztofa Krawczyka z jego przygody z disco-polo. Tak mniej więcej dzieje się z każdym sprzętem (a przynajmniej z tym co ja kupuję).

Z Intelem sytuacja wygląda podobnie - odpalacie komputer nad którym tylko Wam się wydaje, że macie kontrolę. Minix działający na ring -3 ma sterowniki do karty sieciowej i pełną kontrolę na sprzętem. A, że zapewne istnieje tam tylko konto roota wszechmogącego to w przypadku ataku "hulaj dusza". A, że będzie atak to wiadomo - nikt, powtarzam - nikt, nie oleje faktu milionów (jeśli nie miliardów) urządzeń które można połączyć w botnet i sterować by przeprowadzać przeróżne ataki od DDOS po kopanie kryptowaluty ("ojej, czemu rachunek za prąd zwiększył się czterdziestokrotnie"). Co najśmieszniejsze system na ring -3 jest aktywny przez cały czas i przez cały czas kontroluje sprzęt. To znaczy, że nawet w momencie wyłączenia komputera on działa. I nieważne z jakiego systemu korzysta użytkownik bo system działa na ring 3 czyli nad Minixem.

Intel niedawno ogłosił, że szykuje nowe UEFI. Niby bezpieczniejsze. Problem jest taki, że takie projekty zawsze tworzone są po macoszemu tylko po to by wypchać na świat nową ideologię. To tak jakby dać wieśniakom z Birmy dwadzieścia desek i kazać zbudować z tego samochód a potem zrobić zdjęcie do gazety, wszystkim wybielić w Photoshopie zęby i napisać, że panuje u nas dobrobyt bo każdy ma samochód i zdrowe zęby. To się nie trzyma nawet kupy. Jedyne o co chodzi we wprowadzeniu nowego UEFI to pozbycie się trybu legacy. Tryb legacy daje możliwość startowana systemów nie-UEFI.

Oto przykładowy opis luki AMT przez Intela. A tam mamy taki kwiatek

Do czasu uaktualnienia oprogramowania zachęcamy użytkowników i firmy, które używają komputerów i urządzeń firmowych korzystających z technologii AMT, ISM lub SBT, do podjęcia odpowiednich kroków w celu utrzymania bezpieczeństwa swoich systemów i informacji.

Problem w tym, że tych funkcjonalności nie można wyłączyć do czasu ukazania się patchu. Co gorsze - patch nigdy się nie ukaże. Lifetime płyty głownej to około trzy lata - czyli przez tyle czasu od produkcji producent może zapewnić wsparcie - sterowniki, aktualizacje biosu itp. Tutaj mniej lakoniczny opis luki. Jest się czego bać.

Droga Intela dzisiaj wygląda jak fabuła "Wolności" Suareza - bez sensu. Dodam tylko, że oprócz podatności dostajecie jeszcze w prezencie niższą wydajność i dłuższy czas startu. Google sugeruje zastąpić UEFI Linuksem który już działa na sprzęcie Google.

Skomentuj lub zgłoś błąd

© Michał Misztal 2018

Czytasz właśnie

Intel UEFI
Autor: Michał Misztal
Data: 2017-12-08

Podobne wpisy