处理器/DSP
听说英特尔处理器上“隐藏”的一个秘密,据了解原来英特尔现代处理器都会有一个小型的MINIX系统。不看不知道,一看吓一跳,MINIX现在可能是世界上使用最广泛的x86电脑操作系统了,可以堪称是名副其实的全球第一系统。
可能你从未听过说过MINIX,但只要你有一颗Intel近些年出的CPU处理器,其中就有它。
Intel现代处理器都有一个ME(Management Engine)管理引擎,相当于一个小型、低功耗的电脑系统,它由一个或者多个内核、内存、系统时钟、总线及用于加密引擎的保留内存组成,还有自己的独立操作系统及程序,可以读取系统主内存,可以通过Intel网络控制器连接网络。
MINIX正是ME管理引擎当中的这个独立操作系统,用来管理协调内部的诸多模块,尤其是众多芯片组整合在一起之后,处理器已经差不多成了SoC单芯片系统,更需要一个“总管”。
MINIX是一个类似Unix的超迷你系统,开发者是行业大牛Andrew Tanenbaum(ast),本来是个教育工具,用来展示操作系统编程,Intel将它拿过来整合在了每一块处理器中。
随后开发者Andrew在个人网站上发布了公开信,澄清了自己和这事没什么关系。
Andrew强调自己没有直接参与这个项目,如果这个系统有后门的话,这与他无关。
Andrew称,MINIX 3在2000年决定采用BSD授权,原因是企业不喜欢GPL许可证,认为GPL会让他们花费许多时间精力金钱去修改代码,然后免费提供竞争对手。
Andrew说Intel的一个工程师团队几年前接触了他,询问了关于MINIX的大量技术问题,Andrew很高兴对此进行作答。
Intel工程师团队要求他对MINIX 3进行修改调整,例如为了减少内存占用,选择性的禁用一些并不总是需要的功能(如浮点支持)等。
不过随后双方就没有再产生什么交集,直到现在媒体报道所有Intel处理器都运行了MINIX 3。
Andrew对此感到吃惊,但并不在意,因为操作系统是BSD授权,Intel不需要付钱给他。
对Andrew来说,唯一感觉不错的一点是,MINIX现在可能是世界上使用最广泛的x86电脑操作系统了。
MINIX可以运行Intel的各种技术,包括AMT主动管理技术、启动防护(Boot Guard)、音频/视频数字版权管理等。虽然有些技术是为了保护及方便用户,但ME程序要求用户放弃电脑控制权,这些控制是有利于Intel、商业伙伴或者大型媒体公司的。
MINIX在处理器内部拥有自己的CPU内核和专属固件,完全独立于其他部分,而且完全隐形,操作系统和用户均不可见,运行权限更是达到了Ring -3。正是这种超级权限也使得MINIX的存在成了巨大的安全隐患。
要知道,我们日常的程序权限级别都是Ring 3,操作系统内核运行在Ring 0,这也是一般用户能够接触到的最低权限,MINIX则竟然深入到了Ring -3。
MINIX可以完全控制用户的电脑,它可以控制开机、关机,读取所有开放文件、检查所有已运行的程序、追踪用户的键盘、鼠标动作,甚至还能截屏。此外,它还有个被证明不那么安全的网络接口,攻击者可以通过它植入Rootkit程序或者入侵电脑。
事实上,即便是在休眠乃至关机状态下,MINIX可能都在不间断运行,因为ME管理引擎要在处理器启动的同时就开始执行管理工作,还要负责芯片级的安全功能。
这就使得MINIX拥有至高无上的地位,而且不管你的电脑里装的是Windows、Linux、macOS,都有一个它在默默运行,使之成为名副其实的全球第一系统。
Google研究后也发现,MINIX Ring -3权限级别拥有完整的网络堆栈、文件系统、USB/网络等大量驱动程序、Web服务器。
这就意味着,MINIX本身就是个独立于计算机系统之外的完整小王国,想干什么都行,甚至是在你关机状态下架设一个联网服务器!也就是说,每一款Intel处理器当中都有可能会存在后门!
不难预见,如果这样的系统被外部攻击,或者比如植入Rootkit恶意软件什么的,用户是百分之百没有任何办法的,因为谁都没有途径去访问它。
据称,Google就正在努力从自家内部服务器上移除MINIX,但尚未成功。
其实早在2016年6月,美国自由软件基金会FSF就曾刊文讨伐Intel ME引擎会完全控制用户电脑,而且用户很可能完全不知情。
当时,Intel安全部门的首席技术员Steve Grobman回应称,所谓的“后门”子虚乌有。这只是Intel借助推送固件升级的接口而已。此外,Steve Grobman还表示,及时推送固件升级有助于Intel和OEM厂商为处理器增强防护,这样反而更安全了。
至于AMD处理器是否也有类似功能,尤其是最新的Zen架构产品,目前还不得而知。
全部0条评论
快来发表一下你的评论吧 !