Intel chce hardwarově uzamknout systém ME, nebude možné se vrátit na starší firmware

15
Zabezpečení (Ilustrační foto)
Zabezpečení (Ilustrační foto)

Intel Management Engine se dostává v poslední době hodně „do řečí“ a po dvou závažných zranitelnostech (viz zdezde) se také čím dál hlasitěji ozývají hlasy volající po tom, aby Intel umožnil tento systém deaktivovat. Respektive aspoň vypnout jeho části, jelikož pro chod PC je nezbytný. Na tomto poli existují různé pokusy opírající se o nedokumentovaný režim High Assurance Platform, ale cestou odstavení Intel ME mohou být právě i různé chyby a díry. Ovšem zdá se, že jejich využívání Intel do budoucna zkomplikuje.

 

Intel Management Engine 12

Na Github se nedávno dostal důvěrný dokument týkající se příští verze subsystému Intel ME s pořadovým číslem 12, podle nějž by na této platformě měla být použita technologie zamezující downgrade firmwaru ME na starší verze. Účel takového opatření je bezpečnostní, má posílit obranyschopnost počítače v momentě, kdy se k němu útočník fyzicky dostane. Dnes je možné nahrát do PC starší verzi firmwaru a tím obnovit existenci již dříve opravených bezpečnostních děr. Ty pak lze použít pro instalaci rootkitů nebo jinou manipulaci, například se pokusit ukrást šifrovací klíče uložené v rámci ME. Intel chce proto riziko škodlivého downgradování firmwaru ME odbourat.

Implementováno to bude zvláštním registrem, jenž bude trvaleuchovávat číslo aktuální verze firmwaru. Ta do něj bude zapsána při každé aktualizaci, přičemž toto uložené číslo verze bude možné jen zvyšovat (implementováno bude pomocí Field Programmable Fuses, což je read-only paměť, do níž se dá zapisovat jen jednou). Intel ME díky tomuto bude moci odmítnout starší verzi firmwaru, jelikož vždy, když se k němu dostane nová aktualizace, bude si její existenci „pamatovat“, a poté bude moci poznat, že podstrčený starší firmware je již neaktuální. V případě, že útočník přeflashuje čip s BIOSem na starší verzi ručně, se počítač patrně odmítne spustit, aby se ochránil. Dosavadní verze ME byly proti ručnímu přepsání paměti Flash bezbranné.

Toto opatření tedy zavře slabé místo, které downgrade firmwaru představuje. Týká se zřejmě čipových sad řady 300 pro procesory Coffee Lake a Cannon Lake, jejichž součástí Intel ME 12 bude. A tím tedy i na nich založených počítačů a notebooků s procesory generace 8000. Současné čipové sady pro Skylake a Kaby Lake (a Z370 pro Coffee Lake, což je přeznačený čipset Z270) obsahují Intel ME verze 11.

intel-cipset-x299-ilustrace-1600Zákaz downgradování (či také „rollbacku“) uplatněný na firmware systému Intel ME zdá se nebude ve výchozím stavu zapnutý, Intel jej ale důrazně doporučuje aktivovat, takže by zámek mohl být použit u počítačů a notebooků patřících do „byznys třídy“ pro korporátní sféru a velké instituce. Ovšem někdy v budoucnosti by již zámek asi mohl být aktivní ve výchozím nastavení.

Toto opatření je jak již bylo řečeno motivováno bezpečnostními riziky, nejde tedy o nějaký zákeřný pokus zarazit hackování Intel ME s bohulibými záměry a jeho odstraňování, jak to dělají třeba firmy Purism nebo System76. V některých případech ale těmto snahám může zabránit jako vedlejší efekt, pokud se pro deaktivování ME budou používat díry ve starších verzích firmwaru a Intel je poté opraví. Podobně jako třeba u hackování Linuxu do herních konzolí tedy možná uživatelé s těmito preferencemi budou muset hlídat, aby měli v PC starší BIOS a neaktualizovali ho.

Ohodnoťte tento článek!

15 KOMENTÁŘE

  1. Nechci rýpat, ale může mi někdo vysvětlit, proč se stále používá výraz BIOS, i když jde už o UEFI? Nejde mi konkrétně jen o tento článek, výrobci základních desek mají na stránkách také stále BIOS, jejich aplikace pro aktualizaci iniciovanou z Windows též nazývají jako BIOS update apod.
    Řekl bych, že je zde UEFI už dost dlouho na to, aby se upustilo od užívání výrazu BIOS.