Когда кто-то представляет себе атаку на свой компьютер, он думает о каком-то удаленно установленном вирусе, который может делать всякие неприятные вещи на программном уровне. Они никогда бы не догадались, что сам процессор может работать самым странным и неприятным образом. Что это значит для людей, у которых есть компьютеры с процессорами Intel, и как это может повлиять на всех нас в будущем? И, что гораздо важнее, что вы можете сделать, чтобы защитить себя?
Как работает атака?
Целью является не ЦП как таковой, а инфраструктура, которая поддерживает его через Intel Management Engine (ME). Процессоры Skylake и Kaby Lake оснащены эксклюзивной системой микросхем, известной как «Platform Controller Hub» (PCH), которая представляет собой своего рода еще одну систему, работающую в тени того, что вы видите перед собой. У него есть собственная (простейшая) операционная система под названием MINIX, собственный небольшой процессор и другие вспомогательные компоненты, которые помогают корпоративным администраторам получать доступ к компьютерам в своих офисах и контролировать их с ограниченными возможностями.
И вот что интересно: MINIX на самом деле не принадлежит и не лицензируется Intel. Они просто помещают его в структуры поддержки своих чипов без ведома его создателя. Первоначальной целью микроядерной операционной системы было ознакомление студентов колледжей с ее внутренней работой, чтобы они могли лучше понять, как создавать собственное низкоуровневое программное обеспечение.
Итак, почему же Intel пошла на все эти трудности и реализовала этот ME, работающий параллельно со всем, что вы используете для запуска своих программ?
PCH особенно полезен для крупных предприятий с тысячами компьютеров, которые могут перестать работать в любой момент и в противном случае потребуется системный администратор для посещения каждого из них и решения каждой проблемы индивидуально. Это просто позволяет администратору вносить радикальные изменения, когда системы даже не загружаются.
Проблема в том, что неадминистраторы (например, хакеры) могут делать то же самое.
Для доступа к интерфейсу Joint Test Action Group (JTAG) для администрирования Intel ME требуется одно простое изменение BIOS, USB-ключ и пара небольших хитростей, чтобы получить низкоуровневый доступ к оборудованию компьютера. Как только вы войдете в него, вы по сути окажетесь в режиме Бога и сможете выполнять код по своему усмотрению, не предупреждая ни одно антивирусное приложение.
Это может обернуться катастрофой для тысяч и тысяч предприятий, использующих продукцию Intel.
Почему меня должен беспокоить взлом процессора?
Все, что работает на вашем компьютере, от операционной системы до браузера, который вы используете для просмотра этой статьи, должно кем-то командовать, чтобы функционировать. Этот «кто-то» — процессор. Чтобы компьютер вообще работал, он должен отправлять инструкции этому большому старому чипу, который отвлекает внимание от любого другого оборудования.
Как только вы получите контроль над периферийной системой, которая управляет чипом, у вас появится карт-бланш делать с этим компьютером все, что вы захотите, включая кражу его наиболее конфиденциальных данных (если они не зашифрованы). Хуже всего то, что вы ничего не сможете с этим поделать, если кто-то получит доступ.
Как защитить себя
Чтобы полностью избавиться от ME, вам придется сделать что-то, что может привести к повреждению вашего компьютера. Если вы пытаетесь защитить свои личные устройства, просто не позволяйте никому неизвестному человеку подключать что-либо к вашим USB-портам.
С другой стороны, если вы пытаетесь защитить свой бизнес, укажите своему ИТ-специалисту на этот исходный репозиторий , где содержится основная утилита удаления, предоставленная группой исследователей, обнаруживших уязвимость в Intel ME. Вам также следует использовать укажите им на это , чтобы удалить как можно большую часть прошивки без поломки компьютера.
Обратите внимание: вы все равно рискуете, используя их, и поэтому мы не можем нести ответственность за любой ущерб, нанесенный вашим компьютерам в результате запуска этого кода.
В обеих ситуациях удобнее всего просто отслеживать, кто имеет доступ к вашему компьютеру через USB-порты. Чтобы правильно воспользоваться этой уязвимостью, кто-то должен иметь физический доступ к вашему компьютеру. Достаточно просто, правда?
Если у вас есть еще идеи по защите ваших систем от этого эксплойта, оставьте комментарий!
