|
|
Пишет Русскоязычное Linux-сообщество (![[info]](http://lj.rossia.org/img/syndicated.gif){kind=small} lj_ru_linux)@ 2013-10-06 13:27:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Intel's mega-backdoor
Intel's mega-backdoor
воскрестный пост
Последнее время цитируют 'разоблачения Сноудена' про тотальное западное шпионство по всему миру. Однако реальная история может быть еще интереснее.
С год назад я наткнулся на интересную историю на Интернете: инженер обнаружил в Интеловских процессорах закладки, которые он решил сделали китайцы:
Дальше идет рассказ о том, как (тщетно) инженер пытался донести свое открытие до самых серьезных российских структур, ответственных за компьютерную безопасность, и как его не понимали, потом игнорировали -- и одновременно производители чипов тоже не реагировали.
(а) Для администрирования серверов люди давно стали пользоваться иным каналом связи - например, телефонной линией. К серверу, стоящему в большой компании с кучей серверов в клетках (colocation), приделывалась некая штука (плата), в которую входил телефонный провод. Если надо было сервер остановить, перезапустить и т.д., то вы не оставались отрезаны от управления и могли отдавать команды через удаленный терминал неотключаемо соединенный с вашей включаемой, выключаемой, перезагружаемой машиной
(б) Интел сегодня на новые процессоры (i5, i3) ставит (внутрь, на тот же самый чип) ОДНОВРЕМЕННО - 1 или2 радиопередатчика/приемника, поддержку виртуализации, ПЛЮС интеловскую систему удаленного контроля посредством виртуальной машины (они используют VNC) - которая позволяет запускать, останавливать, перезагружать вашу клиентскую часть с ОС и всеми программами и никогда не отключается)
Рекламную информацию "как мы позаботились о вашем удобстве" легко найти на сайте Интела.
Называется vPro (on Sandy Bridge and Ivy Bridge architectures
Т.е. когда вы включаете компьютер на i3, i5 с "vPro", вы получаете доступ не к "железу", а к виртуальной машине, где сам гипервайзор на железе не ваш, он встроен и запускается при вклюэении питания.
Он поднимет сетевые интерфейсы (со включением питания), и это будут ethernet, если присоединен, и WiFi/Bluetooth всегда.
ДРУГИМИ СЛОВАМИ, все современные процессоры в более-менее новых компьютерах МОГУТ БЫТЬ УДАЛЕННО УПРАВЛЯЕМЫ РАДИОСИГНАЛОМ, если они такую закладку туда заложили.
Интересно отметить, что и WiFi, и Bluetooth используют S-band, пригодную для связи со спутниками. И хотя сами приемопередатчики на чипе слишком слабы для передачи, они вполне будут способны принять более сильный сигнал извне (тут надо разбираться с деталями). Потенциально если "черный ход" заложен в такой чип, он мог бы получать команды со спутника.
ПОНЯТНО, что это - прямая угроза любой экономике, помимо вынесения хранилок данных на сервера в другом конце мира, которые контролируют недружественные люди, помимо того, что программы ходят на Интернет стучать на владельцев машин и их лицензии и т.д. и т.д. и т.д. - механизмов согласованно внедренных в компьютерный мир всеми ведущими корпорациями США.
ИНТЕЛ СДЕЛАЛ ВСЕ МАШИНЫ потенциально УДАЛЕННО ОТКЛЮЧАЕМЫМИ - и я более чем уверен, что такая закладка там есть. Ибо иначе незачем было городить такую функциональность на чипе - домашним машинам это попросту не надо, а в сервера всегда можно было вставить дешевую плату для удаленного администрирования.
P.S. Две строчки из Википедии:
Sandy and Ivy Bridge processors with vPro capability have security features that can remotely disable a PC or erase information from hard drives. This can be useful in the case of a lost or stolen PC. The commands can be received through 3G signals, Ethernet, or Internet connections. AES encryption acceleration will be available, which can be useful for video conferencing and VoIP applications.
Эта мега-дыра, понятно, еще и продается как "система безопасности" и "в помощь администратору удаленных серверов", ага.
Intel's mega-backdoor
воскрестный пост
Последнее время цитируют 'разоблачения Сноудена' про тотальное западное шпионство по всему миру. Однако реальная история может быть еще интереснее.
С год назад я наткнулся на интересную историю на Интернете: инженер обнаружил в Интеловских процессорах закладки, которые он решил сделали китайцы:
- Еще до официального анонса новых процессоров Intel с поддержкой аппаратной виртуализации (в начале 2007 года) я задумал использовать эти чипы для создания единой вычислительной системы на базе нескольких серверов,........
Макет был собран, гипердрайвер написан, все заработало, .......
Я начал разбираться и понял, что моя система виснет при выполнении команд аппаратной виртуализации. Создавалось такое впечатление, что они или совсем не работают, или работают как-то нестандартно...........
То есть во флеш-памяти блока ВМС серверных плат из Китая, выпускаемых под лейблом Intel, имелся установленный на этапе производства недекларированный программный модуль, работающий как хост гипервизора.
Дальше идет рассказ о том, как (тщетно) инженер пытался донести свое открытие до самых серьезных российских структур, ответственных за компьютерную безопасность, и как его не понимали, потом игнорировали -- и одновременно производители чипов тоже не реагировали.
(а) Для администрирования серверов люди давно стали пользоваться иным каналом связи - например, телефонной линией. К серверу, стоящему в большой компании с кучей серверов в клетках (colocation), приделывалась некая штука (плата), в которую входил телефонный провод. Если надо было сервер остановить, перезапустить и т.д., то вы не оставались отрезаны от управления и могли отдавать команды через удаленный терминал неотключаемо соединенный с вашей включаемой, выключаемой, перезагружаемой машиной
(б) Интел сегодня на новые процессоры (i5, i3) ставит (внутрь, на тот же самый чип) ОДНОВРЕМЕННО - 1 или2 радиопередатчика/приемника, поддержку виртуализации, ПЛЮС интеловскую систему удаленного контроля посредством виртуальной машины (они используют VNC) - которая позволяет запускать, останавливать, перезагружать вашу клиентскую часть с ОС и всеми программами и никогда не отключается)
Рекламную информацию "как мы позаботились о вашем удобстве" легко найти на сайте Интела.
Называется vPro (on Sandy Bridge and Ivy Bridge architectures
Т.е. когда вы включаете компьютер на i3, i5 с "vPro", вы получаете доступ не к "железу", а к виртуальной машине, где сам гипервайзор на железе не ваш, он встроен и запускается при вклюэении питания.
Он поднимет сетевые интерфейсы (со включением питания), и это будут ethernet, если присоединен, и WiFi/Bluetooth всегда.
ДРУГИМИ СЛОВАМИ, все современные процессоры в более-менее новых компьютерах МОГУТ БЫТЬ УДАЛЕННО УПРАВЛЯЕМЫ РАДИОСИГНАЛОМ, если они такую закладку туда заложили.
Интересно отметить, что и WiFi, и Bluetooth используют S-band, пригодную для связи со спутниками. И хотя сами приемопередатчики на чипе слишком слабы для передачи, они вполне будут способны принять более сильный сигнал извне (тут надо разбираться с деталями). Потенциально если "черный ход" заложен в такой чип, он мог бы получать команды со спутника.
ПОНЯТНО, что это - прямая угроза любой экономике, помимо вынесения хранилок данных на сервера в другом конце мира, которые контролируют недружественные люди, помимо того, что программы ходят на Интернет стучать на владельцев машин и их лицензии и т.д. и т.д. и т.д. - механизмов согласованно внедренных в компьютерный мир всеми ведущими корпорациями США.
ИНТЕЛ СДЕЛАЛ ВСЕ МАШИНЫ потенциально УДАЛЕННО ОТКЛЮЧАЕМЫМИ - и я более чем уверен, что такая закладка там есть. Ибо иначе незачем было городить такую функциональность на чипе - домашним машинам это попросту не надо, а в сервера всегда можно было вставить дешевую плату для удаленного администрирования.
P.S. Две строчки из Википедии:
Sandy and Ivy Bridge processors with vPro capability have security features that can remotely disable a PC or erase information from hard drives. This can be useful in the case of a lost or stolen PC. The commands can be received through 3G signals, Ethernet, or Internet connections. AES encryption acceleration will be available, which can be useful for video conferencing and VoIP applications.
Эта мега-дыра, понятно, еще и продается как "система безопасности" и "в помощь администратору удаленных серверов", ага.
