本文講的是<b>實戰:如何徹底禁用英特爾管理引擎(Intel ME)</b>,
近日,俄羅斯安全公司Positive Technologies的專家們發現了徹底禁用英特爾管理引擎(Intel ME)的方法。
何為Intel ME?
Intel ME是一個獨立于x86 CPU、BIOS/UEFI固件的一個架構。這個架構分為硬體和軟體兩個部分,硬體部分根據ME版本不同分别對應ARC4/5、SPARC和x86(=>MEv11)的處理器,而軟體的部分則是在flash中和BIOS、GBE以及其他固件子產品打包在一起。
在ME這個架構以及獨立的小型計算機下可以運作很多底層的應用,包括永遠處于運作狀态的遠端管理工具包AMT是ME第一個的基于ME架構的應用,現在也有作為ME實作的TPM: PTT,用于remote attestion的信任鍊條的EPIDhe Boot Guard、PAVP( Protected Audio and Video Path)和SGX。
ME也被稱為Ring -3,和BIOS/EFI的啟動是并行的,Bootguard的驗簽OK的話SEC/PEI會有序進行,但問題是在于ME幾乎無法被關掉,為什麼是幾乎呢,因為一旦啟動(甚至關機狀态)ME就會一直運作着,沒有辦法可以關掉,是以長期以來,很多人都懷疑Intel ME有後門嫌疑。
被認為有後門嫌疑的Intel ME
在很長一段時間裡,黑客和專家們找了各種辦法關掉ME,但都沒有成功,這是為什麼呢?
從硬體角度來看,ME就是平台控制單元(PCH)晶片上的微控制器,負責處理處理器和外部裝置之間的通信,由于所有這些資料流都要經過ME進行處理,是以系統管理者可以遠端操控電腦。
之是以被稱為後門,是因為這些遠端處理資訊并未被PCH晶片記錄,而且有些資訊還會被可以隐藏,有人懷疑這是英特爾官方有意留的後門,不過英特爾拒絕承認此事。
徹底禁用Intel ME有多難?
許多人(包括安全專家和黑客)試圖禁用Intel ME卻以失敗告終
因為這個ME是嵌入在啟動程序中的,如果直接禁用ME通路統一記憶體架構(Unified Memory Architeture,UMA)的路徑會導緻計算機在1分鐘内關機,而如果禁用鏡像裡的所有section會導緻計算機在30分鐘左右重新開機。
是以,美國國家标準與技術委員會(NIST)的國家漏洞資料庫(NVD)曾在今年五月披露過AMT技術中存在漏洞。同時,電子前沿基金會将這個漏洞評為安全隐患,基金會還要求使用者禁用PCH晶片中的主要制器,并詳細介紹了該技術的運作方式。
雖然,非官方工具ME Cleaner可在一定程度上禁用,但也僅限特定範圍。
如何徹底禁用英特爾管理引擎?
Positive Technologies研究人員在固件代碼中發現了隐藏的位元組,當将該位元組設定為“1”時,即可禁用ME,而且是徹底的禁用。
這個位元組被标記為“reserve_hap”,旁邊标注“High Assurance Platform,HAP”,HAP是美國NSA制定的IT安全架構。
研究人員認為英特爾是在NSA的這個規則下添加了這個ME禁用位元組。至于原因嗎?我想,可能是NSA也需要徹底禁用ME的方法,進而在極度安全的環境中運作他們的業務。不難排除,ME或其中存在的任何固件漏洞可能會洩露高度敏感的資訊。
英特爾發言人近日也表示,為了特定客戶的需求,可以讓他們修改或禁用ME。這樣,英特爾應裝置制造商的請求進行了配置修改,以支援HAP計劃。不過這些修改隻是個暫時的計劃,還并被英特爾正式的大規模放置到配置中。
Positive Technologies指出,目前尚不清楚HAP是否會對Boot Guard構成影響。
不過為了保險起見,我建議以下4類使用者要特别注意ME的潛在威脅:
1.注重軟體自由和隐私的使用者。 2.非美國以及“五隻眼”情報聯盟成員國以外的組織。 3.放置企業核心業務以及重要資料資産的裝置。 4.管理關鍵性基礎公共設施的機構。
譯者注:“五隻眼”情報聯盟是在英美情報共享的基礎上發展起來的。在二戰結束後的1946年,英美簽署了英美通信協定,将情報共享機制化。1948年,加拿大加入該協定。1956年,澳洲和紐西蘭加入。
原文釋出時間為:2017年8月31日
本文作者:luochicun
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/7478.html" target="_blank">原文連結</a>