Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

CPU Intel s Management Engine provozují OS MINIX a vzbuzují obavy

6.11.2017, Jan Vítek, aktualita
CPU Intel s Management Engine provozují OS MINIX a vzbuzují obavy
Servery upozorňují na skutečnost, že moderní procesory využívající pro svou správu Intel Management Engine v sobě obsahují celý miniaturní počítač s vlastním systémem, a to s upraveným MINIX. Proč by to měl být problém? 
MINIX je tak v podstatě díky Intelu jedním z nejrozšířenějších operačních systémů na světě, ačkoliv my jako uživatelé k němu vůbec nemáme přístup. Běží v rámci Intel Management Engine přímo v samotném procesoru, a to s minimálními prostředky. Intel si jej poupravil na základě původního operačního systému, který byl z Unixu vyvinutý Andrewem Tanenbaumem. V procesorech Intel je provozován na úrovni Ring -3, takže my k němu nemáme žádný přístup. V rámci této hierarchie se můžeme dostat maximálně na Ring 0, a sice k jádru hlavního operačního systému. Většina uživatelských aplikací pak běží na Ring 3. 
 
 
Specificky můžeme mluvit o upravené verzi systému MINIX 3, která má v podstatě kompletní přístup k celému našemu počítači a sama pro sebe má v rámci procesoru zabudované vlastní CPU, ROM i RAM, v čemž tak někteří mohou vidět vedle prostého bezpečnostního rizika rovnou celou konspiraci. Je ale pravda, že taková věc může zajistit vcelku bezproblémové sledování cílových počítačů, přístup k jejich datům a v podstatě celkovou kontrolu. 
 
Všiml si toho rovněž Google (pdf), který už aktuálně hledá cesty, jak se intelovského Management Engine zbavit, neboť ten běží na mnoha firemních interních serverech, kde očividně představuje bezpečnostní riziko. Nemusí jít pouze o CIA/FBI/NSA či jiné služby, které by mohly takovou věc zneužít, jde o všeobecné riziko pro bezpečnost, které pramení z toho, že nikdy nevíme, kdo může k Management Enginu získat přístup. Však přístup Intelu k řešení chyb v jeho procesorech není zrovna příkladný, jak jsme mohli letos zjistit v případě problému s vPro, který přetrvával dlouhá léta. 
 
A to vše je zvláště závažné, když MINIX v procesoru může komunikovat s pomocí TCP/IP a jiných protokolů, je kompatibilní s různými souborovými systémy, má k dispozici ovladače pro USB, síťové kontrolery a jiné a také dokonce může provozovat i svůj webový server. Takže náš procesor může provozovat webový server, ke kterému nemáme přístup a jehož funkci nemůžeme ovlivnit. Můžeme se jen ptát, proč Intel něco takového potřebuje?
 
Pokud by však někdo chtěl ihned vyzdvihovat AMD, pak v jeho případě také není vše v pořádku. Procesory Ryzen také provozují bezpečnostní čip založený na architektuře ARM, který využívá neprůhledný firmware.