web-dev-qa-db-ja.com

(インテル)チップセットは私たちをスパイしていますか?

私は昨日、2006年より前の(Intel)コンピュータのみを使用する必要があると誰かが主張した会話をしました。これは、この後、ソフトウェアをチップセットに組み込んだため、「自宅に電話をかける」または「電話をかける」ことができます「さまざまな方法で。どのようにそして何がさらに詳しく説明されなかったの正確な詳細。

これは暴走パラノイアのように聞こえますが、リモートでコンピュータをオフにできる 秘密の3Gチップ のような話は、完全なサイエンスフィクションのようには見えません私にとって、深く心配しています。

だから私はそれを床に置くと思いました:そのような主張を裏付けることができる信頼できる情報源は何ですか?

10
lash

彼は何について話しているのですか?

彼はIntel Manageability/Management Engine(ME)について言及しています。これは、チップセットのPCHに埋め込まれたプロセッサであり、通常、ARC、ARCCompact、またはi486/i586ハイブリッドマイクロプロセッサで構成されています。特に、リモート管理を容易にするように設計されています。 AMT(Intel Active Management Technology)をサポートするサーバーおよび特定のビジネスラップトップでは、特定のネットワークカードを使用してシステムをリモートで制御できます。これには、BIOS/UEFIで有効にし、パスワードを設定する必要があります。 3Gカードがインストールされている場合、理論上はそのカードをリモート管理に使用できますが、おそらくそうではありません。

エクスプロイトの危険性

ネットワークスタックを実装するすべてのものと同様に、ネットワークプロトコルに脆弱性のリスクがあり、過去にそれらに関連するバグがありました。通常、リモート管理を脆弱にするために実際に有効にする必要があります。全体として、ME全体の恐怖は少しやり過ぎです。リストされているすべての恐ろしい機能はオプトインであるか、存在していません。

ルートキットの危険性

また、低レベルのルートキットを隠すためにMEが使用される恐れがある。コンピューターへの非常に特権的なアクセス、またはマザーボードを物理的に変更する機能(BIOSチップの交換など)が必要なため、これはほとんどの場合問題ではありません。 MEがなくても、そのレベルのアクセスで非常にステルスなルートキットをインストールできます。

新しいプロセッサの利点

古いCPUモデルの使用はお勧めしません。新しいモデルでは、セキュリティが大幅に向上しています。現在の最新のプロセッサは、以下の多くをサポートしています。

  • NX-最も古いセキュリティ機能の1つで、ページを実行不可としてマークできるため、NXデータを上書きするバッファオーバーフローは実行できません。
  • SMEP-低い特権のユーザースペースコードが高い特権のカーネルスペース環境で実行されるのを防ぎます。これにより、攻撃者はシェルコードをカーネルに直接挿入する必要があり、カーネルははるかに困難であり、クラッシュする傾向があります。
  • SMAP-SMEPと同じですが、実行だけでなく、すべてのアクセスを禁止します。
  • UMIP-低い特権でアクセスされる可能性がある特定の潜在的な機密情報を非表示にします。
  • VT-x(仮想化)-通常はセキュリティに使用されませんが、サンドボックス化に使用できます。
  • VT-d(IOMMU)-デバイスを相互に分離し、残りのメモリからデバイスを分離して、DMA攻撃を防ぎます。
  • IRとx2apic-それらの機能はセキュリティとは関係ありませんが、VT-dが悪意のある攻撃者に対して機能するために必要です。
  • MPX-デバッグ用に設計されていますが、これらの命令を使用するプログラムでのバッファオーバーフローを防止するために使用できます。
  • SGX-高い特権のコードでさえアクセスできない安全で暗号化された「エンクレーブ」を作成します。
  • RDRAND/RDSEED-高品質のランダムデータをシステムに追加します。これは、パスワードの生成などを行うときに役立ちます。ランダム性の唯一のソースとしてそれを使用することに懐疑的である理由がありますが、システムの他のソースを増強するために使用された場合、それは無害です。
  • AES-NI-専用のハードウェア命令でAES暗号化を高速化しますが、プロセッサのキャッシュが使用されないため、サイドチャネル攻撃を防ぐことでセキュリティにも役立ちます。
  • CET-ROP攻撃(メモリ上で実行可能な任意のコードを実行できるようにする攻撃ですが、順不同で命令を実行して書き込むことはできません)。
  • MPK-特に、メモリのアクセス許可をよりきめ細かく制御できるようにすることで、コードを実行可能にすることはできますが、読み取りはできなくなります。
  • BootGuard-BIOSに署名し、起動ごとに署名を検証することにより、BIOSの不正な変更を防止します。
  • TPM-機能は制限されていますが、安全な証明、キーの保存、悪魔の攻撃の検出に役立ちます(Joanna Rutkowskaの「反悪のメイド」プログラムを参照)。
  • fTPM-ハードウェアTPMに似ていますが、ME自体に統合されています。これには欠点もありますが、通常のTPMに対する従来のMITM攻撃に対しても無防備です。
  • TRR/pTRR-行が頻繁にアクセスされていることを検出し、強制的に行を更新することにより、サポートされているメモリモジュールに対する行ハンマー攻撃に強く抵抗します。

これらすべてのセキュリティ機能のうち、古いプロセッサでは通常NXのみがサポートされており、それでもバグがある可能性があります。

古いプロセッサの問題

さらに、古いプロセッサには、マイクロコードの更新を取得できないために修正されない深刻なバグが含まれていることがよくあります。多くの32ビットCore2duoプロセッサには、NXが2つのコアのいずれかでのみアクティブになる原因となるバグがあります。新しいシステムでは、主にLegbacoreによって行われた作業が原因で、より安全なBIOSを備えていることもよくあります。これらの新しいシステムはBIOSをロックするため、変更できません。古いシステムにはこれがなく、BIOSの書き込み保護が提供されていないため、BIOSルートキットに感染するのは非常に簡単です。

さらに悪いことに、一部の古いプロセッサ(特にAtomプロセッサ)は、キャッシュエクスプロイトに対して非常に脆弱です。これは、JavaScriptを実行するWebページがCPU自体をハイジャックすることを許可し、他の古いプロセッサは、MEルートキットのようにオペレーティングシステムで検出できないSMMルートキットに対して脆弱です。「シンクホール」攻撃は、古いプロセッサのSMMを悪用する1つの例です。

古いプロセッサはおそらく32ビットになるでしょう。これにより、読み込まれたライブラリの場所をランダム化する手法であるASLRの品質が低下します。たとえばLinuxでは、これらのプロセッサではASLRの強度が16ビット(デフォルトでは8)に制限されていますが、64ビットシステムで実行すると32(デフォルトでは16)に制限されます。このため、特定のサイドチャネル攻撃は、32ビットシステムでASLRをはるかに簡単に破ることができます。

しかし、実際のリスクは何ですか?

IfシステムのMEがリモート管理をサポートし、ifサポートされているネットワークカードとifBIOSで有効にし、ifネットワークスタックにリモートから悪用可能なバグがあり、if着信を許可する接続すると、コンピュータがBIOSルートキットに相当するものに感染する可能性があります(結局、MEコードはBIOSに存在します)。 MEを回避するために古いシステムを使用する場合、多数の重要なセキュリティ機能を放棄し、既知の、しばしば深刻なバグに対処する必要があります。

緩和策

それでもMEを心配している場合、または脅威モデルによってほとんどの人よりもリスクが大きい場合(たとえば、3Gカードを使用する必要がある場合)、MEの能力を制限する方法は2つありますが、 AMTをオフにするだけです。 最初の方法 は、SandybridgeおよびIvybridgeプロセッサーで動作します。 MEの最初のページを上書きすると、ページが機能しなくなる可能性があるため、コア機能のみが有効になります。 2番目の方法 を使用すると、実行時に完全に無効にすることができます。必要なハードウェア初期化ルーチンを実行した後、MEが自分自身をロックする原因となる文書化されていないスイッチが見つかりました。

類推で終了するには、Webブラウザーを想像してみてください。確かに、古いブラウザはよりシンプルで、WebGLやWebRTCのような潜在的に悪用可能な機能はありませんが、既知のバグのある古いWebブラウザを使用するように勧められれば、本当に信頼できますか?問題の?

12
forgetful

私の予想では、これはその時期にあったIntel Management Engine(IME)の導入を指します。このサービスのセキュリティと、サービスの誤用によるユーザーのスパイの危険性については、多くの懸念がありました。1つの例がこれです EFFページ

IMEは、埋め込まれたコンピュータのリモート管理を可能にし、完全に無効にすることは非常に困難です。

今年の5月に脆弱性 Intelによって発表されました これにより、このサービスで認証がバイパスされ、状況によってはデバイスへの不正アクセスが可能になる可能性があります。

最近(2017年10月)Purismが公開 ガイド IMEに関係するものとそれを無効にする方法についての情報その記事には、IMEを無効にする方法の詳細が記載された このページ へのリンクがありました。

11
Rory McCune