Başlıktaki soru olayı biraz daraltıyor. Aslında sormak istediğiniz şu: "Satın aldığım işlemciye güvenmiyorum çünkü içindeki sistemler şeffaf değil. Bunu çözmenin bir yolu var mı?"
Açıkcası bu haksız bir soru değil. Örneğin her Intel işlemcinin içinde bulunan Intel Management Engine (Intel ME)'in bellekteki veriye ve network'e erişimi mevcut.
Eki Görüntüle 92949
Eki Görüntüle 92948
Kaynak:
http://me.bios.io/images/c/ca/Rootkit_in_your_laptop.pdf
Dolayısıyla evet, teknik olarak kötü niyetli olarak kullanılabilir. Ancak Intel ME aracının iki amacı vardı:
- Cihazlara güvenlik çözümlerini sağlamak
- IT ekiplerine cihazlara yetkili uzaktan erişim imkanları sunmak
Bunları yapabilmek için zaten bellek ve network erişimine ihtiyacınız var. Ayrıca zaman içinde Intel ME'nin özellikleri gelişti:
Eki Görüntüle 92950
Konuya yazdığınız ilk mesaj doğru ama eksiği var. Intel ME'nin ilk halleri Minix tabanlı değildi. 2015'ten sonra gelen ME 11 sürümünden itibaren Minix tabanlı bir hale geldi. Bu noktadan itibaren AMT/vPro'dan başka özellikler kazanmaya başladı, bazılarını aşağı yazayım:
- TPM (Trusted Platform Module)
- QST (fan control)
- ICC (Integrated Clock Control)
- TDT (Anti-Theft)
- DAL (IPT/OTP)
- SWC (Silicon Workaround Capability)
Eğer işlemci tasarımı ve güvenlik hakkında tecrübeniz varsa buradaki özelliklerin işletim sistemi tarafından değil de, işlemci üzerinde izole bir şekilde yapılması kulağa gayet mantıklı gelecektir. Intel işlemci içine daha fazla modül eklemek yerine ME'yi daha işlevsel hale getirdi.
Aslına bakarsanız Intel ME sisteminin oldukça güvenilir olduğunu düşünmek için bir sebebimiz var. Bu sistem o kadar güvenliydi ki, Amerika'daki bir istihbarat kurumu olan NSA'in High Assurance Platform programı kapsamında Intel, ME'yi tamamen kapatmak için bir kısayol eklemesi gerekti. Eğer bu kurumlar Intel üzerinde doğrudan kontrol sahibi olsaydı böyle bir kısayola ihtiyaç duymazlardı, böyle düşünüyorum.
Our team of researchers has delved deep into the internal architecture of Intel Management Engine (ME) 11, revealing a mechanism that can disable Intel ME after hardware is initialized and the main processor starts. In this analytical article, the experts describe how they discovered this...
Intel ME kapalı kaynak koduna sahip bir program olsa da birçok kez RE gibi analiz yöntemleriyle birçok kez kurcalanmıştır.
Hatta bu özelliği tamamen kapatmak için keşfedilmiş metotlar ve araçlar mevcut.
me_cleaner aracı eski işlemciler için oldukça işlevli. Ek olarak bu konuda
Intel ME: Myths and reality sunumunu beğeniyorum, ilgileniyorsanız hoşunuza gidecektir. Igor Skochinsky ve me_cleaner aracının geliştiricisi olan Nicola Corna tarafından yapılan 1 saatlik bir sunum.
AMD'nin de aynı şekilde kapalı kaynak olan Platform Security Processor (PSP) aracı bütün işlemcilerin içinde mevcut. 2018'de İsrailli bir güvenlik firması olan CTS, AMD PSP'deki
güvenlik açıklarını bildirmişti ve bunlar çözülmüştü.
Benzer hikayeler Intel ME için de mevcut.
Sonuç olarak çözüm nedir? Eğer gerçekten bağımsız bir sistem istiyorsanız bunu kapalı kaynak firmware ile yapamazsınız. Ya me_cleaner ve eski nesil Intel işlemci kullanarak ME'yi tamamen temizlemeniz gerekiyor. Veya açık kaynak firmware olan Libreboot, Coreboot gibi alternatifleri kullanmak gerekiyor. Örneğin Libreboot'un kurucularından birisi olan Leah Rowe'un
Minifree projesi bunu amaçlıyordu.