Me rio por no llorar.

La siguientes diapositivas (presentación (https://osseu17.sched.com/event/ByYt/replace-your-exploit-ridden-firmware-with-linux-ronald-minnich-google?iframe=no&w=100%&sidebar=yes&bg=no) de un ingeniero de Google en la ELC de este año) son la mejor muestra de que la seguridad y privacidad de los usuarios de ordenadores personales se han convertido en un acto de fe. Debe de ser frustrante instalar un SO altamente seguro como OpenBSD o Qubes OS y saber que debajo tienes toda esa pila de mierda. Tal como pone en la presentación, dos núcleos y medio funcionando por debajo del núcleo del sistema operativo del usuario.

https://i.imgur.com/MyXlnz9.png

Al Intel Management Engine (IME) le están metiendo mano (https://www.meneame.net/story/como-desactivar-intel-management-engine-ime-eng) y básicamente por eso ha dejado de ser una leyenda urbana para la mayoría, porque en realidad era algo que ya se sabía desde hace tiempo; véase lo que decía (https://blog.invisiblethings.org/2015/10/27/x86_harmful.html) Jonna Rutkowska (Qubes OS) hace dos años sobre el estado de la plataforma x86. El IME es un ordenador dentro del ordenador: un procesador con su propio firmware que tiene acceso al equipo y sobre el que el usuario no tiene ningún control. Algo similar a lo que sucede con los procesadores de banda base en los móviles. No había "necesidad" de ello (bueno sí: control remoto), pero en ese sentido han convertido a los PC en pvtos móviles (y yo que tenía miedo de que los convirtieran en consolas, como ya comenté alguna vez en este foro XD). AMD no es ninguna solución, tiene un sistema equivalente al IME: el PSP. Y ARM tiene Trustzone, que no sé hasta que punto es equivalente, pero que como mínimo tiene la funcionalidad de un chip TPM, si no recuerdo mal.

Así que aprovecho para desahogarme y declarar, como radical que soy con estas cosas, que en la actualidad los ordenadores personales (y evidentemente todo el resto de cacharros con capacidad computacional dirigidos al consumidor: tablets, móviles, smartTVs, dispositivos IOT en general) son un cáncer para la seguridad y privacidad de los usuarios (como si a la mayoría le importase). Lo que tiene mucho que ver con que, personalmente, la informática me guste cada vez menos.

En fin, el quiera ordenadores confiables, que conserve bien los que sean anteriores a 2008. Y el que quiera un equipo moderno y tenga mucha pasta que se la gaste en un Talos (https://raptorcs.com/TALOSII/), de arquitectura POWER. En el futuro puede que haya también equipos RISC-V; que de momento, de esa arquitectura solo hay microcontroladores.

Parece un tema bastante interesante, pero en algunas cosas me pierdo. ¿Un resumen/articulo relacionado que lo explique todo un poco mas extensamente? Grasias de hantevraso.

En resumen, los ordenadores con IME que son casi todos desde 2015 tienen una especie de "Troyano por hardware" que puede controlar la totalidad del PC independientemente del sistema operativo que tenga instalado. Vamos, que los PCs modernos están construidos para poder ser monitorizados y hackeados a distancia de manera indetectable con total independencia del software que tengas instalado.

Y para un profano total en estas cosas como yo, esto afecta a los mac?...

De uno de ellos se ha sabido hace no mucho, se llama Minix (https://www.networkworld.com/article/3236064/servers/minix-the-most-popular-os-in-the-world-thanks-to-intel.html).


Y para un profano total en estas cosas como yo, esto afecta a los mac?...Los macs usan intel, asi que si.

Y para un profano total en estas cosas como yo, esto afecta a los mac?...


En resumen, los ordenadores con IME que son casi todos desde 2015 tienen una especie de "Troyano por hardware" que puede controlar la totalidad del PC independientemente del sistema operativo que tenga instalado. Vamos, que los PCs modernos están construidos para poder ser monitorizados y hackeados a distancia de manera indetectable con total independencia del software que tengas instalado.

IME = Intel Magnament Engine; los macs llevan Intel asi que si. Aunque si es relativamente viejo, a lo mejor te libras.

Mierda...

Y los TALOS son ppc o como? Soportado por gnulinux? Gran entrada Trenz...

Y que hay de los amd?

Pues si que está bien el patio. Navegadores que te espian, procesadores que te espian, sistemas operativos que te espian, compañias de redes que te espian... Luego se extrañan de las cosas que pasan.

Sabiendo esto creo que voy a llenar mi PC de fotos de ojetes peludos con hemorroides; ya que me van a espiar si o si, por lo menos que se jodan los que me espíen.

A ver que me enrollo...


Parece un tema bastante interesante, pero en algunas cosas me pierdo. ¿Un resumen/articulo relacionado que lo explique todo un poco mas extensamente? Grasias de hantevraso.

Chipan te hizo un resumen perfecto. Aquí viene la versión extensa...

Lo del IME en concreto tiene mucha tela y no sé si hay algún artículo que lo explique todo detalladamente y con claridad. Lo que sí hay son muchas noticias en inglés que han ido surgiendo últimamente en relación al tema.

En relación a las diapositivas que puse en el post anterior, a Google obviamente tampoco le gusta tener toda esa mierda en sus equipos por lo que en esa presentación lo que se expone es un proyecto llamado NERF (https://www.phoronix.com/scan.php?page=news_item&px=Google-NERF-UEFI-Linux) para deshabilitar el IME en la medida de lo posible (parece ser que no se puede deshabilitar totalmente porque participa en el proceso de inicialización del hardware y en la gestión de energía) y sustituir el firmware UEFI por un núcleo Linux mínimo.

Aunque todo esto viene de más lejos, lo del IME comienza con la tecnología AMT (https://en.wikipedia.org/wiki/Intel_Active_Management_Technology) (Active Management Technology) de Intel, un sistema de gestión remota de equipos "fuera de banda", es decir, al margen del sistema operativo y que funciona aunque el equipo esté hibernando o suspendido. Esa tecnología, que se implementaba inicialmente en los controladores ethernet, apareció en el 2005 junto con otras tecnologías de seguridad denominadas colectivamente Intel vPro Technology. En el 2007 se introdujo el IME con el objeto principal de implementar en él el sistema AMT, pero después se fue ampliando y añadiendo funcionalidades hasta llegar a lo que es hoy. Ahora AMT es sólo uno de los módulos del firmware que corre en el IME. Y precisamente hace unos meses se descubrió una vulnerabilidad (https://www.theregister.co.uk/2017/05/01/intel_amt_me_vulnerability/) en el módulo AMT.

Inicialmente el IME (que va dentro del chip PCH) utilizaba un procesador ARC, pero hace unos años, en el 2015, lo cambiaron por un microcontrolador de arquitectura x86, lo que facilitó el análisis del firmware. En uno de esos análisis, hace unos meses, el hacker Dmitry Sklyarov descubrió (http://blog.ptsecurity.com/2017/04/intel-me-way-of-static-analysis.html) que el firmware parecía estar basado en Minix, lo que tiene su "gracia"...


Minix es un pequeño sistema operativo de tipo Unix desarrollado con fines didácticos por Andrew Tanenbaum. Este profesor holandés es una leyenda en el mundo de la informática: sus libros de texto sobre redes y sistemas operativos son referencias básicas. Precisamente desarrolló Minix porque en un momento dado, por cuestiones legales, el código fuente de Unix dejó de poder utilizarse en las aulas, aunque las licencias de Unix que compraban las universidades lo incluyesen. Y otra anécdota relacionada y muy conocida es que Linus Torvalds anunció el desarrollo de Linux en el grupo de noticias comp.os.minix, lo que le llevó a una pequeña polémica con Tanenbaum, al decir éste que si Linus hubiese sido su alumno no le hubiese puesto una buena nota porque Linux tenía una arquitectura monolítica en lugar de ser un micronúcleo. El caso es que hace unos días Tanenbaum publicó una carta abierta a Intel (http://www.cs.vu.nl/~ast/intel/) que dejó a casi todo el mundo ojiplático... Básicamente dice que se enteró del uso de Minix en el IME por la prensa; que ciertamente, hace unos años, desde Intel le preguntaron por Minix y le pidieron que hiciese ciertas modificaciones; que se congratula de que ahora probablemente Minix sea el sistema operativo más utilizado en el mundo en ordenadores de arquitectura x86, pero que hubiese preferido cierto reconocimiento por parte de Intel en lugar de enterarse por la prensa; y para terminar pasa de puntillas sobre lo que es más importante y tiene implicaciones éticas y de seguridad: el uso que Intel está haciendo de su sistema operativo.


Obviamente se ha estado investigando cómo deshabilitar (1 (https://wiki.gentoo.org/wiki/Sakaki%27s_EFI_Install_Guide/Disabling_the_Intel_Management_Engine), 2 (https://github.com/corna/me_cleaner)) en la medida de lo posible el IME, aunque, que yo sepa, todavía no hay una forma sencilla y segura de hacerlo. Principalmente pasa por borrar la mayor parte del firmware. Pero también se ha descubierto otra cosa "curiosa", y es que en el propio firmware hay una opción para desactivarlo, denominada "HAP", puesta a petición de las agencias de seguridad del gobierno estadounidense, a las que parece que tampoco les hace gracia utilizar equipos con esa mierda funcionando. Copio y pego de aquí (http://www.zdnet.com/article/researchers-say-intels-management-engine-feature-can-be-switched-off/), siendo ésta (http://blog.ptsecurity.com/2017/08/disabling-intel-me.html) la fuente:




Positive Technologies researchers Mark Ermolov and Maxim Goryachy discovered that Intel ME can be disabled by setting a 'HAP mode activation bit' found in the ME firmware code. The researchers found a field in ME's firmware files called 'reserve_hap' with a comment next to it stating 'High Assurance Platform enable'.

HAP refers to the US government's High Assurance Platform Program, a secure computing program run by the NSA in collaboration with the tech industry. According to Bleeping Computer, disabling ME requires setting the relevant bit to '1'.

Intel confirmed to Positive Technologies that the undocumented HAP mode activation bit is present to support customers participating in the HAP program.

"In response to requests from customers with specialized requirements we sometimes explore the modification or disabling of certain features," Intel said in a statement.

"In this case, the modifications were made at the request of equipment manufacturers in support of their customer's evaluation of the US government's High Assurance Platform program. These modifications underwent a limited validation cycle and are not an officially supported configuration."



Sobre el tema de deshabilitarlo enlazo también esta página (https://puri.sm/posts/deep-dive-into-intel-me-disablement/) de la empresa norteamericana Purism (https://en.wikipedia.org/wiki/Purism,_SPC), dedicada a producir ordenadores y otros dispositivos que sean seguros y respetuosos con la privacidad del usuario (al menos esa es su intención).

Y para finalizar, noticia (https://www.meneame.net/story/firmware-super-secreto-intel-management-engine-accedido-traves) de hace un par de días: la posibilidad de acceder y modificar el firmware del del IME vía USB.


Y los TALOS son ppc o como? Soportado por gnulinux? Gran entrada Trenz...

Y que hay de los amd?


Los PowerPC están limpios, pero obviamente son un poco antiguos. Talos usa procesadores POWER 8 y POWER 9 que es una arquitectura relacionada pero mucho más moderna y potente. Claro que tiene soporte Linux; de hecho aparte de Linux ahí no creo que se pueda ejecutar otra cosa, como no sea AIX o algún otro SO de IBM.

Los AMD... nada de nada. Tienen un sistema equivalente: PSP. Precisamente usuarios y fans de la marca estuvieron pidiendo (https://www.change.org/p/advanced-micro-devices-amd-release-the-source-code-for-the-secure-processor-psp) que lo "abriera", pero no hubo suerte (https://www.reddit.com/r/Amd/comments/6o2e6t/amd_is_not_opensourcing_their_psp_code_anytime/) :(

---

PD: hablando de distopías, habéis visto esa noticia de que Facebook pide que subas tus fotos comprometidas... de forma preventiva, para poder borrarlas si alguien más las tiene y las publica XDDD

https://www.genbeta.com/redes-sociales-y-comunidades/el-plan-de-facebook-para-proteger-tu-intimidad-sube-tus-fotos-desnudo-a-la-red-social

Puf, que pena que solo le pueda dar a agradecer una vez, muchísimas gracias por toda la información y enlaces. De diez.

Y ya que mas o menos me he enterado del entramado... Que cosa mas triste y oscura de verdad, da bastante rabia. Y digo yo, la intencionalidad de todo esto no queda clara, ¿verdad? Por que no termina de quedarme claro si el objetivo principal era otro al principio y luego se ha usado con otros "fines" o estos "fines" eran precisamente los usos que se les iban a dar y luego, de tapadillo, se ha justificado con las funcionalidades que se decían que debían de cumplir... No se si me he explicado bien :quepalmo:.

Puf, que pena que solo le pueda dar a agradecer una vez, muchísimas gracias por toda la información y enlaces. De diez.

Y ya que mas o menos me he enterado del entramado... Que cosa mas triste y oscura de verdad, da bastante rabia. Y digo yo, la intencionalidad de todo esto no queda clara, ¿verdad? Por que no termina de quedarme claro si el objetivo principal era otro al principio y luego se ha usado con otros "fines" o estos "fines" eran precisamente los usos que se les iban a dar y luego, de tapadillo, se ha justificado con las funcionalidades que se decían que debían de cumplir... No se si me he explicado bien :quepalmo:.

De nada :)

Lo del control remoto es un arma de doble filo evidentemente, y parece ser que para eso estaba inicialmente el IME. Pero al final acabaron metiendo ahí toda una serie de mecanismos de "seguridad", en parte porque lo facilitaba y en parte porque eran mecanismos que, de un modo u otro, estaba previsto implementar o ya se estaban implementando de otro modo. Así que al final eso es casi lo de menos. Todo esto nace a finales de los noventa y comienzos de la década de 2000 con la idea de la "informática fiable (http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html)"... Fiable para la industria del software y los productores de contenidos, no para los usuarios, aunque se pretendiese vender así. Lo que eso implica obviamente era ir quitándole control sobre el equipo al usuario e ir dándoselo a terceros. Toda medida en ese sentido era positiva para la industria y se promovía en la medida de lo posible. Otra manera de coseguirlo era promover los ordenadores de "propósito específico" frente a los ordenadores personales (la siempre anunciada muerte del PC); Cory Doctorow lo llamaba (https://boingboing.net/2012/08/23/civilwar.html) la guerra civil sobre la informática de propósito general. Pero al final, el quiénes son esos terceros que tienen el control y cuáles son sus propósitos es algo que ha ido cambiando. Desde luego, en los inicios la motivación principal era la implementación eficaz de sistemas DRM, pero hoy en día los motivos son más bien otros, como han ido mostrando Wikileaks y Snowden. Hay que tener en cuenta también que estas cosas se van implementado lentamente, de otro modo resultarían mucho menos digeribles, aparentemente. Lo del arranque seguro era un elemento esencial de la informática fiable y ha tardado más de una década en llegar. Tampoco es fácilmente predecible cómo será la adopción y uso de la tecnología por parte de los usuarios. Apple demostró que la gente aceptaba de buen grado los jardines vallados si éstos eran bonitos y cómodos. O por ejemplo, Internet, que era un medio de comunicación global en el que, en sus inicios, el anonimato era un bien muy valorado, porque permitía un intercambio de ideas global libre de prejuicios. Sin embargo las redes sociales la han covertido en casi lo contrario: un medio de exhibición global, en el que la privacidad tiene muy poco valor y el anonimato ya sólo tiene connotaciones negativas.

Joer pues como está el patio.... Gracias por la explicación Trenz

Saludos!

me suscribo al tema, me parece interesante

Desde mi ignorancia, una placa base con coreboot instalado, en lugar de la bios-efi del fabricante instalada, está a salvo, o tampoco?

Desde mi ignorancia, una placa base con coreboot instalado, en lugar de la bios-efi del fabricante instalada, está a salvo, o tampoco?

Entiendo que si no has sobreescrito por completo el software del IME (o su equivalente en AMD), seguirías siendo vulnerable.

Desde mi ignorancia, una placa base con coreboot instalado, en lugar de la bios-efi del fabricante instalada, está a salvo, o tampoco?

Es lo que dice chipan. En las placas y equipos soportados por Coreboot que llevan IME, al instalar Coreboot el firmware del IME no se toca, por lo que sigues estando a su merced. Es por ese motivo que Libreboot (un proyecto paralelo que tiene como objetivo que el firmware de reemplazo sea totalmente libre, sin blobs binarios) sólo soporta sistemas Intel que sean anteriores a 2008. Es posible que esto cambie a medida que se va avanzando en las técnicas para desahabilitar el IME; de ahí también el proyecto de Google de la presentación.

Y mientras esos ordenadores en todas las empresas de este pais y otros. A saber para que se habran estado usando esos 'mecanismos de seguridad' y 'monitorización remota' y después les cortan las compras a Huawei y a Karpesky en USA porque las acusan de espiar para los chinos y los rusos. Les debia de meter una multa a Intel la comunidad europea que se le quitaran las ganas de una vez por todas de intentar consoliza/mobilizar al PC y ademas de financiar opciones propias de pcs abiertos y para poder retirarlos de las administraciones publicas. Y para nosotros con un poco de suerte que la comunidad encuentre una manera de arreglarlo.. porque de Intel no espero nada.

Con la que estaba cayendo y dado que el mes que viene en una de las conferencias (https://www.blackhat.com/eu-17/briefings.html#mark-ermolov) de la Black Hat se va a revelar un agujero de seguridad descubierto en el firmware del IME con su correspondiente exploit, parece que en Intel se han puesto un poco nerviosos y han hecho una auditoría de seguridad del firmware. Resultado: anteayer anunció (https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr) que se han descubierto varios agujeros de seguridad. El alcance de esto está por ver. Matthew Garrett (https://en.wikipedia.org/wiki/Matthew_Garrett) tuiteaba lo siguiente (https://twitter.com/mjg59/status/932730696614813696):


Thoughts on the latest Intel ME vulnerabilities: based on public information, we have no real idea how serious this is yet. It could be fairly harmless, it could be a giant deal.

Intel ha dejado una utilidad (https://www.intel.com/content/www/us/en/support/articles/000025619/software.html) para que los usuarios puedan comprobar si sus equipos están afectados. De ahí remite a los fabricantes para obtener las correspondientes actualizaciones de seguridad. Ya veremos hasta qué punto los fabricantes se ponen las pilas, porque menuda papeleta. ¿Va a sacar Asrock las correspondientes actualizaciones del firmware para todas las placas afectadas de los últimos 5 años?, por decir algo. El mismo marrón de seguridad de los dispositivos IoT: firmwares vulnerables en dispositivos que a veces tienen poco soporte o dejan de tenerlo por antigüedad, parece que también lo vamos a disfrutar en los PC; quién lo iba a decir. Por cierto, algunos usuarios en Hacker News sugieren no aplicar las actualizaciones de momento por si esos agujeros pudieran ser aprovechados para deshabilitar el IME más fácilmente.

La noticia comentada en distintos sitios: meneame (https://www.meneame.net/story/comprueba-tu-ordenador-no-sea-vulnerable-fallo-seguridad-intel), Hacker News (https://news.ycombinator.com/item?id=15742287) y Slashdot (https://it.slashdot.org/story/17/11/21/1435223/intel-weve-found-severe-bugs-in-secretive-management-engine-affecting-millions).

Robert Cringely, el realizador del documental Triumph of the Nerds, decía (https://www.cringely.com/2017/10/30/weve-reached-cloud-computing-tipping-point/) recientemente que se había alcanzado el punto de inflexión de la informática personal en favor de la computación en la nube (lo relacionaba con un hecho concreto, que VMware había llegado a un acuerdo con una startup especializada en ejecutar aplicaciones de Windows en la nube). Pero vamos, esto es de lo que se lleva hablando desde hace tiempo, la segunda era del mainframe: aplicaciones y datos centralizados en la nube y los PC convertidos en terminales tontos (Cringely salva a los PC dedicados a juegos, pero me parece recordar que ya había una empresa que estaba ensayando lo de ejecutar los juegos en sus servidores y hacer streamming):


If I am correct, your PC three years from now won’t be a PC at all but a PC-shaped chunk of cloud accessed through many types of devices. The desktop PC itself is almost dead except for gamers.

Y por último, parece que en Estados Unidos la suerte está echada (https://www.meneame.net/story/estados-unidos-pondra-fin-neutralidad-red-14-diciembre) para la neutralidad en la red.

Si estuviésemos en Francia, diría que vuelven los tiempos del Minitel.

Ahora que recuerdo, hace cinco años ya insinué (https://www.gp32spain.com/foros/showthread.php?90946-Windows-8-en-consolas-android&p=1419336#post1419336) algo parecido XD (lo de la foto era un picturephone).

Lo he visto tmbien en Techpowerup:
https://www.techpowerup.com/239016/researchers-find-glaring-intel-me-security-flaws-company-outs-detection-tool

Un pequeño UP al tema:

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

A mi hay algo que no me ha quedado claro..el bug realmente está en la cpu o en la placa base o ambos?

Está claro, en el micro (CPU). Parece que Intel la ha cagado a base de bien y está intentado que la mierda le salpique por igual a AMD, aunque los procesadores de esta última no estén (a priori) afectados.

Solo afecta a x86-64bits y en algunas tareas en las que tengan llamadas intensivamente del kernel muy perjudicialmente en I/O

Pruebas de virtualización , big data y en la nube son los sectores más afectado y se pierde transferencia en los disco duro obviamente tanto en escritura como en lectura.

Este bug va traer cola en empresas dedicadas a eso en costes incalculables..

Solo afecta a x86-64bits y en algunas tareas en las que tengan llamadas intensivamente del kernel muy perjudicialmente en I/O

Pruebas de virtualización , big data y en la nube son los sectores más afectado y se pierde transferencia en los disco duro obviamente tanto en escritura como en lectura.

Este bug va traer cola en empresas dedicadas a eso en costes incalculables..

A micros Intel en modo x86-64, a los micros AMD no les afecta.

Sí solo a Intel aunque el parche de Linux los amd epyc salen como inseguros imagino por un error o bug y el parche no funciona como debería .

Y en el caso que en cpus amd detecte como error cpu inseguro hay que aplicar este parche manualmente ya que todavía no está aplicado al código mainline.

https://lkml.org/lkml/2017/12/27/2

Edit : vale ya lo han metido https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?h=x86/pti&id=694d99d40972f12e59a3696effee8a376b79d7c8&utm_source=anzwix

en este commit.

O añades a la línea de comandos del kernel, al cargarlo, "nopti"