گروهی از پژوهشگران امنیتی کشف کرده اند در پردازندههای x86 اینتل، یک پردازنده مخفی وجود دارد. اینتل از پردازنده دوم برای قابلیتهای تحت فناوری Intel Management Engine (ME) بهره میگیرد اما حالا مشخص شده این پردازنده میتواند دروازهای به سوی فروپاشی امنیت کامپیوترها باشد. این پردازنده مستقل از پردازنده اصلی (CPU) کار میکند و قدرت و دسترسی نامحدودی دارد.
در یک دهه اخیر، اینتل فناوری مدیریت از راه دور ویژهای را در بسیاری از پردازندهها و مادربردهای خود تعبیه کرده است. این فناوری که تحت نام Intel Active Management Technology (AMT) شناخته میشود، امکان کنترل کامپیوترها از راه دور را فراهم می کند اما یک تفاوت بنیادین با دیگر روشهای کنترل و مدیریت از راه دور دارد و آن مستقل بودن از هرچیزی شامل سیستم عامل، وضعیت بوت بودن سیستم، هار دیسک و... است، بنابراین در سطح مطلق سخت افزاری تعبیه شده است. حتی این قابلیت هنگام خاموش بودن کامپیوتر نیز قابل دسترسی است. جالبتر اینکه این قابلیت در درون پردازندههای اینتل، هسته اختصاصی خود دارد. حالا پژوهشگران از تهدید بلقوه این قابلیت برای امنیت کامپیوترها میگویند.
با توجه به اینکه قابلیت AMT در سطح سخت افزار تعبیه شده، مهم نیست کامپیوتر خاموش باشد یا روشن، سیستم عامل نصب باشد یا نه، از راه دور میتوان سیستم را به طور کامل مدیریت و کنترل کرد. AMT به طور مستقیم از از هستههای پردازنده یا همان هستههای پردازشی معمولی پردازنده بهره نمیگیرد بلکه هسته 32 بیتی RISC اختصاصی خود را دارد. این میکروکنترلر بخشی از ME است و در تمامی پردازنده اینتل با پشتیبانی از فناوری vPro technology یافت میشود. به عبارتی دیگر، تنها پردازندهها و مادربردهای با قابلیت پشتیبانی از vPro technology را تحت تاثیر قرار میدهد که البته در بر گیرنده بسیاری از پردازندههای معمولی میشود.
در حقیقت ME یک تراشه با برخورداری از یک ریزپردازنده 32 بیتی ARC واقع در چیپ ست است. این قابلیت خود یک کامپیوتر کوچک است که firmware ویژهای را اجرا میکند، این firmware چیزی نیست جز همان ME. هنگامی که شما یک کامپیوتر بر پایه پردازندههای x86 اینتل تهیه میکنید، شما این قابلیت را نیز خریداری کردهاید. این کامپیوتر اضافی کاملاً از پردازنده اصلی سیستم مستقل است، بنابراین میتواند به طور مجزا حتی در مواقع قرار داشتن پردازنده در حالت S3 (تعلیق، نظیر خواب) به فعالیت بپردازد.
در برخی چیپ ستها، firmware مربوط به قابلیت ME بر روی ریز کامپیوتر داخلی AMT اجرا میشود. فعالیت AMT به طور کامل مستقل از سیستم عامل است، بنابراین هیچ اهمیتی ندارد از چه سیستم عاملی استفاده شود، به عبارتی دیگر، این ریزکامپیوتر، مستقل از سیستم عامل نصب شده از سوی کاربر کار میکند. کاربرد قابلیت AMT یا همان ریزکامپیوتر درونی، ارائه امکان مدیریت کامپیوترها از راه دور است، با هدف فراهم کردن این امکان، ME قادر به دسترسی به هر ناحیهای از حافظه حتی بدون اطلاع پردازنده اصلی است و پردازنده اصلی سیستم به هیچ عنوان متوجه این دسترسی نمیشود. AMT همچنین یک سرور TCP/IP اجرا میکند و بستههای داده بر روی برخی درگاه ها خارج از کنترل و نظارت هر دیوار آتش(firewall)ای، از سیستم تبادل میشوند.
در حالی که AMT جالب به نظر میرسد و میتواند برای مدیرهای شبکه بسیار مفید باشد، اما مشکلات و معایبی نیز دارد. پژوهشگران امنیتی، ME را به عنوان حلقه منفی 3 یا Ring -3 شناسایی کردهاند. از نظر امنیتی و دسترسی، این حلقهها (Ring) هرچه که به صفر نزدیک شوند، برنامه بیشتر توانایی دسترسی و کنترل سخت افزار را مییابد اما با عبور از صفر و رسیدن به حلقههای منفی، کُد یا برنامه قادر به تعامل بسیار عمیق با سخت افزار است و این از نظر امنیتی میتواند تهدید بزرگی باشد. برنامههای معمولی مورد استفاده ما در سطح مثبت 3 اجرا میشوند اما ME در سطح منفی 3، بنابراین دسترسی فوق العاده عمیقی به سخت افزار از جمله حافظه و پردازنده دارد. تهدیدهای حلقه صفر در سطح هسته (kernel)، تهدیدهای حلقه منفی 1 در سطح hypervisor (یک سطح پایینتر از هسته و نزدیکتر به سخت افزار مطلق) اجرا میشوند. تهدیدهای حلقه منفی 2 در حالت ویژهای از پردازنده به نام SMM اجرا میشوند. SMM سرواژه System-Management-Mode است، در این حالت میتوان کدها را به طور مستقیم به پردازنده ابلاغ کرد، بنابراین اگر تهدیدی به سطحهای پایینتر از صفر دسترسی داشته باشد، علاوه بر کنترل کامل سیستم، میتواند به طور کامل مخفی بماند. در صورتی که نفوذگر با بهره گیری از رخنههای امنیتی ME بتواند به سطح منفی 2 دست پیدا کند، به آسانی میتواند کُد SMM را تغییر داده و حتی کامپیوتر شما را از حالت خاموشی خارج کرده و کُدهای مخرب خود را با دسترسی نامحدود اجرا کند!
علی رغم اینکه ME firmware با رمزنگاری RSA 2048 محافظت میشود، اما پژوهشگران موفق به بهره گیری از ضعفهای موجود در ME firmware و کنترل نسبی ME در مدلهای اولیه(نسخه ای پیش از 11) شدهاند. بنابراین ME میتواند یک روزنه فوق العاده خطرناک باشد و شاهد ظهور بدافزارهای مخفی و بلقوه قدرتمندی باشیم. با به کنترل گرفتن سیستم از طریق یک rootkit، نفوذگر دسترسی نامحدود در کنار امکان مخفی ماندن خواهد داشت.
در سیستمهای مبتنی بر پردازندههای بعد از سری Core 2، قابلیت ME به هیچ عنوان قابل غیرفعال سازی نیست. در سیستمهای دارای قابلیت ME، در صورتی که ME firmware به هردلیلی وجود نداشته باشد (از جمله غیر فعال کردن) و یا ME firmware خراب شده باشد، به هیچ عنوان سیستم راه اندازی نخواهد شد. در حال حاضر هیچ راهی برای غیر فعال کردن دائمی قابلیت ME در پردازندههای x86 وجود ندارد. بدتر اینکه اینتل هیچ جزئیاتی درباره ME ارائه نمیکند و جزئیات آن سری طلقی میشود. هیچ راهی وجود ندارد که پردازنده سیستم متوجه نفوذ به ME شود و بدتر اینکه در صورت نفوذ به ME، هیچ راهی برای برطرف کردن آن نیز وجود ندارد، بنابراین حتی نمیتوان به نفوذ از طریق ME پی برد. در دنیای امنیت، پژوهشگران امنیتی بدترین دید را نسبت به پروژههای سری که هیچ گونه اطلاعاتی از آنها ارائه نمیشود، دارند و این شامل ME میشود.
با هدف جلوگیری از دستکاری ME firmware، در چیپ ستهای اینتل یک boot ROM مخفی وجود دارد که SHA256 checksum و همچنین امضای دیجیتال را محاسبه و با مقدار آن در firmware مقایسه میکند. از آنجایی که این مقایسه از طریق یک کُد غیر قابل تغییر تعبیه شده در قطعه سیلیکونی چیپ ست صورت میگیرد، روش مشخصی برای دور زدن آن و بارگذاری firmware مخرب وجود ندارد اما احتمال یافتن یک رخنه امنیتی در ROM bootloader و سوء استفاده از آن ناممکن نیست.
اینتل به طور پیوسته ME firmware را بروزرسانی میکند و از طریق بایوس مادربرد ارائه میشود، گروهی از پژوهشگران متوجه شدهاند بخشهای حیاتی از ME firmware به طور امن فشرده سازی و رمزنگاری نشده و میتوان از طریق رمزگشاهای سخت افزاری ویژهای، به محتوای آن دست پیدا کرد. هرچند در ME firmware کُد منبع وجود ندارد، اما اگر بتوان آن را رمزگشایی کرد، امکان مهندسی معکوس کردن آن وجود دارد. در این زمینه موفقیتهایی حاصل شده است، بنابراین رخنه پذیری ME firmware ممکن به نظر میرسد.
هرچند پژوهشگران امیدوار هستند بتوانند راهی بیاند تا ME firmware را با نسخه امن تری و یا حتی یک نسخه خنثی جایگزین کرد، اما در حال حاضر هیچ راهی برای اینکار وجود ندارد و ایجاد هرگونه تغییری در آن، توسط مکانیزمهای امنیتی تعبیه شده در سطح سخت افزار شناسایی میشود.
برای مشاهده لیست پردازنده های دارای قابلیت vPro کلیک کنید.
منبع: boingboing
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت