Мишка Квакин (kwakin_misha) wrote,
Мишка Квакин
kwakin_misha

Categories:
  • Location:

Таинственный бит

Человеческая цивилизация крайне несовершенна, и из всех возможных путей развития событий всегда выбирает худшие. Причём каждый конкретный человек в каждый конкретный момент времени, быть может, и не хочет ничего такого плохого, но в совокупности маленькие действия складываются в одну большую беду, которую с некоторого момента уже не остановить. И кто-то оказывается в тюрьме, из которой выдачи нет, где-то открывают стрельбу, в ответ на которую открывается другая стрельба, а где-то ломается какая-нибудь ерундовина, и цепная реакция на поломку обесточивает или лишает связи огромные мегаполисы. Это всё реальные примеры ситуаций, произошедших за последние недели. И поэтому ожидать какого-то положительного развития любой из ситуаций адекватному этому миру человеку никак не приходится. Наоборот — надо бдить.

Вот уже несколько лет известно о наличии в чипсете производства компании Intel таинственного Management Engine.

intel-chipset-logo

Чипсет Intel — это набор микросхем, из которых строится практически любой компьютер на нашей планете. И на каждом из этих компьютеров присутствует этот самый Management Engine.


Долгое время о том, как устроена эта штука, было практически ничего не известно. Но было известно, что она имеет доступ ко всему оборудованию компьютера в обход ограничений операционной системы. Ну, то есть вы можете настраивать разные уровни доступа в своей Windows сколько хотите, но в компьютере есть устройство, доступное из сети (!), которого никакие эти уровни доступа не касаются.

На днях группа русских программистов опубликовала статью об исследовании исполняемого кода Management Engine, который им удалось расшифровать. И выяснились удивительные вещи. Во-первых, он основан на аппаратном ядре старого доброго процессора Intel 486, работающего под управлением доработанной операционной системы MINIX. Для тех, кто не сразу воспринимает все эти слова, поясню: в вашем компьютере есть встроенная в материнскую плату операционная система, работающая на отдельном процессоре. Которая начинает работать не только до того, как загрузится операционная система, в которой вы работаете, но ещё даже до того, как будет запущен основной процессор. Теоретически она может работать на плате вообще без процессора, а прямо при подаче напряжения. И это совершенно не зависит от того, какая у вас основная операционная система — Windows, Mac OS или Linux.

А во-вторых, русские программисты обнаружили, что функциональностью Management Engine можно управлять с помощью флага, называемого reserve_hap. Возле этого флага было обнаружено пояснение High Assurance Platform (HAP) enable. Оказалось, что High Assurance Platform — это программа Агентства национальной безопасности США по созданию компьютерной платформы, способной выполнять строгие требования по секретности. Создание платформы, которой можно доверять. Установка флага HAP вводит Management Engine в режим, при котором он перестаёт работать.

Теперь объясняю помедленнее и на пальцах. В вашем компьютере существует ещё один встроенный компьютер, имеющий полный доступ к любому оборудованию и всей памяти в обход вашей основной операционной системы. Агентство национальной безопасности США имеет возможность отключить этот механизм на произвольном компьютере.

Программисты, которые всё это раскопали, написали письмо в Intel. И в Intel им ответили, что режим HAP был введён «по просьбе производителей оборудования для поддержки требований их клиентов по соответствию программе правительства США High Assurance Platform». И Intel официально не поддерживает этот режим работы (то есть неработы) Management Engine.

Программисты написали, что, по их мнению, введение режима HAP — «удовлетворение обычной просьбы любой правительственной службы, которая хочет уменьшить вероятность утечки по побочным каналам». И я бы с готовностью с ними согласился.

Но в мире всё всегда развивается по худшему из сценариев. Мы знаем о том, как АНБ следило за гражданами США и лидерами других стран, включая своих союзников. Нам очень многое рассказал Сноуден. А теперь мы видим реальный механизм воздействия на функциональность любого (!) компьютера на чипсете Intel, добавленный производителем чипсета по просьбе Агентства национальной безопасности. Это — «обычная просьба»? Да как бы не так.

Management Engine может позволить себе очень многое. Его возможности по управлению компьютером неограниченны. И когда ты имеешь возможность отключать его на одних компьютерах и не отключать на других, ты получаешь в своё распоряжение мощнейший инструмент, способный радикальным образом изменить расклад сил в будущей кибервойне.

И вот когда узнаёшь что-нибудь подобное, то вся эта истерия с «русскими хакерами» начинает приобретать совсем другой смысл. Охота за нашими программистами по всему миру, судя по всему, имеет простой утилитарный смысл — чтобы они не совали свой нос куда не надо. Умные слишком. И слишком многое знают.

Кстати, один из тех, кто приложил руку к расшифровке исходного кода Management Engine, — Дмитрий Скляров, которого 16 лет назад ФБР арестовала на конференции DEFCON после того, как он продемонстрировал полную незащищённость популярного формата PDF. Тогда поднялся большой скандал, Склярова пришлось отпустить и впоследствии признать невиновным во взломе защиты PDF. Увы, теперь никаких больших скандалов при похищениях американцами наших программистов уже не происходит. И как бы нам не остаться совсем без тех, кто способен прояснять некоторые тёмные стороны техники, которую мы используем повседневно. И которой слишком многое доверяем.

© Максим Кононенко

[ важные ссылки и кнопки ]
Фото © shutterstock.com
Tags: Максим Кононенко, истории из жизни, как жить дальше?, осторожно, плохие слова
Subscribe

Posts from This Journal “Максим Кононенко” Tag

promo kwakin_misha март 24, 2019 23:01 186
Buy for 20 tokens
Во время Универсиады в Красноярске и окрестностях было необычайно тепло. Хотя, надо отметить, многие зарубежные гости жаловались на холод.. А…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments