США могут отключить любой компьютер в мире. Одним движением

Российские программисты обнаружили в процессорах Intel тайный модуль, при активизации которого компьютер превращается в бесполезный ящик с проводками и детальками.

Фото: ТАСС/Сергей Коньков

Корпорация Intel — крупнейший в мире производитель микропроцессоров, занимающий примерно три четверти этого рынка. Основными покупателями его продукции выступают ведущие мировые компании по производству компьютеров – Dell, Hewlett-Packard, Lenovo и многие другие. Помимо микропроцессоров, Intel выпускает полупроводниковые компоненты для промышленного и сетевого оборудования.

Секретная технология

Для большинства покупателей компьютеров наличие в нем процессора Intel воспринимается как показатель надежности и эффективной работы. Специалисты, однако, относятся к продукции компании более сдержанно. Для этого есть серьезные основания: в марте этого года компьютерный аналитик из компании Embedi Максим Малютин выяснил, что с 2008 года миллионы рабочих станций и серверных процессоров Intel поставлялись с уязвимостью, позволяющей не только удаленно заражать системы вредоносным ПО, но и фактически брать их под сторонний контроль.

Проблема была связана с технологией Active Management Technology (AMT), которая позволяет системным администраторам в удалённом режиме (через веб-интерфейс) осуществлять различные действия: включать выключенные компьютеры, управлять устройствами ввода и исполняемыми программами, и так далее. Фактически, AMT позволяет в удалённом режиме выполнять все те действия, которые вы можете делать, имея физический доступ к ПК.

Так вот, как выяснил Максим Малютин, для доступа к АМТ можно в поле авторизации набрать любую комбинацию знаков. Мало того, это поле можно вообще оставить пустым. "Аутентификация по-прежнему работает, — не без ехидства отметил Малютин в своем сообщении Intel. — Просто имеется способ ее полного обхода". По просьбе корпорации он не стал открыто сообщать об обнаруженной уязвимости, а 1 мая Intel выпустило официальное сообщение о проблеме.

В компьютерном сообществе оно произвело эффект разорвавшейся бомбы. Нewlett Packard, Dell, Lenovo, Fujitsu выпустили обращения к клиентам с информацией об уязвимости и обещанием в экстренном порядке разработать и предоставить программное обеспечение для ее нейтрализации. Программистские компании наперебой начали выпускать приложения для контроля за дырой в системе – чтобы не прозевать возможную хакерскую атаку.

Сам Intel, разумеется, заявил о ликвидации проблемы в самые короткие сроки. А на первых порах посоветовал пользователям просто отключить AMT на всех системах.

Понятно, что реакция системных администраторов на такие заявления оказалась крайне негативной. С одной стороны, никому не хотелось отключать полезную и удобную функцию. С другой – поверить в скорое решение проблемы трудно, поскольку выявленная уязвимость связана не столько с софтом, сколько с аппаратной частью. Соответственно, для ее ликвидации недостаточно просто загрузить дополнительные файлы или программы – необходимо вручную перепрошивать микрокод чипа. Это сделать можно, но чрезвычайно трудно и долго. Поэтому компьютерное сообщество приготовилось к тому, что уязвимость будет давать знать о себе еще не один месяц.

Кто контролирует выключатель

После 1 мая имидж процессоров Intel как высоконадежных и неуязвимых устройств развеялся, как дым. Команды компьютерных аналитиков во всем мире принялись с утроенной энергией анализировать продукцию корпорации на предмет других уязвимостей. Находки превзошли самые смелые ожидания.

Специалисты российской компании Positive Technologies Дмитрий Скляров, Марк Ермолов и Максим Горячий сосредоточили усилия на анализе внутренней архитектуры микропроцессора Intel Management Engine (ME). В первую очередь такой выбор был обусловлен важностью данной детали - именно этот процессор обеспечивает запуск в работу всех систем компьютера и имеет доступ практически ко всем данным. Так что наличие в нем уязвимости для стороннего проникновения даст хакерам неограниченные возможности для злоупотреблений.

При анализе вшитой программы микропроцессора внимание специалистов Positive Technologies привлек модуль с именем "reserve_hap", так как напротив него имелся комментарий — High Assurance Platform (HAP) enable ("включение Платформы высокой надежности"). Первой мыслью аналитиков было активировать этот модуль, и посмотреть, что будет. Результат оказался неожиданным – микропроцессор перестал реагировать на команды и воздействия из операционной системы.

Как выяснилось, такой эффект связан с тем, что микропроцессора Intel (ME) управляет всей последовательностью запуска компьютера. Сам он активируется еще при включении стационарного компьютера в сеть или при подключении аккумулятора к ноутбуку. Затем, при нажатии на кнопку включения, он инициирует работу центрального процессора и операционной системы.

Именно на этой стадии специалисты и обнаружили воздействие "reserve_hap" – при активации этого модуля микропроцессор не запускает операционную систему, а просто зависает в бесконечном цикле. "Таким образом, мы нашли недокументированный режим, который позволяет перевести микропроцессор Intel ME в режим отключения на ранней стадии, - констатируют исследовали. - C большой долей уверенности можно сказать, что выйти из этого режима Intel ME уже не в состоянии, так как в других модулях не найдено кода, который позволял бы это осуществлять".

Марк Ермолов и Максим Горячий поделились своим открытием с Intel, и получили от корпорации следующий ответ: "В ответ на запросы от клиентов "с особыми требованиями" мы иногда реализуем возможность изменения или отключения некоторых функций. В данном случае изменения были сделаны по просьбе производителей оборудования для выполнения требования правительства США по программе создания “Платформ высокой надежности".

Остается последний вопрос – кто же может активировать модуль "reserve_hap"? Ответ на него легко понять, если посмотреть, кто занимался созданием “Платформ высокой надежности". А инициировало этот проект Агентство национальной безопасности США в 2007 году. В качестве основного исполнителя была выбрана IBM, с которой в четвертом квартале того же года был заключен контракт со сроком действия "свыше 15 месяцев". В программе также участвовали General Dynamics, Trusted Computer Solutions, Harris Corporation и Innovative Security Systems/Argus Systems Group.

В официальном сообщении Агентства национальной безопасности отмечалось, что "в результате реализации этой программы АНБ будет предлагать новые возможности обеспечения информационной безопасности различным правительственным ведомствам федерального уровня, таким, как Министерство обороны, Министерство национальной безопасности и Министерство юстиции, а также широкому разведывательному сообществу".

Понятно, что таким клиентам Intel не мог отказать в просьбе "реализовать возможность изменения или отключения некоторых функций". Так что теперь, судя по открытию специалистов Positive Technologies, американское правительство может вырубить практически любой компьютер в мире.

Рубченко Максим

Материалы по тегам

Яндекс.Метрика