Corriendo sobre dos núcleos y medio XD

[Trenz]

Me rio por no llorar.

La siguientes diapositivas (presentación de un ingeniero de Google en la ELC de este año) son la mejor muestra de que la seguridad y privacidad de los usuarios de ordenadores personales se han convertido en un acto de fe. Debe de ser frustrante instalar un SO altamente seguro como OpenBSD o Qubes OS y saber que debajo tienes toda esa pila de mierda. Tal como pone en la presentación, dos núcleos y medio funcionando por debajo del núcleo del sistema operativo del usuario.



Al Intel Management Engine (IME) le están metiendo mano y básicamente por eso ha dejado de ser una leyenda urbana para la mayoría, porque en realidad era algo que ya se sabía desde hace tiempo; véase lo que decía Jonna Rutkowska (Qubes OS) hace dos años sobre el estado de la plataforma x86. El IME es un ordenador dentro del ordenador: un procesador con su propio firmware que tiene acceso al equipo y sobre el que el usuario no tiene ningún control. Algo similar a lo que sucede con los procesadores de banda base en los móviles. No había "necesidad" de ello (bueno sí: control remoto), pero en ese sentido han convertido a los PC en pvtos móviles (y yo que tenía miedo de que los convirtieran en consolas, como ya comenté alguna vez en este foro XD). AMD no es ninguna solución, tiene un sistema equivalente al IME: el PSP. Y ARM tiene Trustzone, que no sé hasta que punto es equivalente, pero que como mínimo tiene la funcionalidad de un chip TPM, si no recuerdo mal.

Así que aprovecho para desahogarme y declarar, como radical que soy con estas cosas, que en la actualidad los ordenadores personales (y evidentemente todo el resto de cacharros con capacidad computacional dirigidos al consumidor: tablets, móviles, smartTVs, dispositivos IOT en general) son un cáncer para la seguridad y privacidad de los usuarios (como si a la mayoría le importase). Lo que tiene mucho que ver con que, personalmente, la informática me guste cada vez menos.

En fin, el quiera ordenadores confiables, que conserve bien los que sean anteriores a 2008. Y el que quiera un equipo moderno y tenga mucha pasta que se la gaste en un Talos, de arquitectura POWER. En el futuro puede que haya también equipos RISC-V; que de momento, de esa arquitectura solo hay microcontroladores.

[3XCL4M4t10N]

Parece un tema bastante interesante, pero en algunas cosas me pierdo. ¿Un resumen/articulo relacionado que lo explique todo un poco mas extensamente? Grasias de hantevraso.

[chipan]

En resumen, los ordenadores con IME que son casi todos desde 2015 tienen una especie de "Troyano por hardware" que puede controlar la totalidad del PC independientemente del sistema operativo que tenga instalado. Vamos, que los PCs modernos están construidos para poder ser monitorizados y hackeados a distancia de manera indetectable con total independencia del software que tengas instalado.

[docc]

Y para un profano total en estas cosas como yo, esto afecta a los mac?...

[pakoito]

De uno de ellos se ha sabido hace no mucho, se llama Minix.

Y para un profano total en estas cosas como yo, esto afecta a los mac?...

Los macs usan intel, asi que si.

[chipan]

Y para un profano total en estas cosas como yo, esto afecta a los mac?...

En resumen, los ordenadores con IME que son casi todos desde 2015 tienen una especie de "Troyano por hardware" que puede controlar la totalidad del PC independientemente del sistema operativo que tenga instalado. Vamos, que los PCs modernos están construidos para poder ser monitorizados y hackeados a distancia de manera indetectable con total independencia del software que tengas instalado.

IME = Intel Magnament Engine; los macs llevan Intel asi que si. Aunque si es relativamente viejo, a lo mejor te libras.

[docc]

Mierda...

[_-Caleb-_]

Y los TALOS son ppc o como? Soportado por gnulinux? Gran entrada @Trenz...

Y que hay de los amd?

[3XCL4M4t10N]

Pues si que está bien el patio. Navegadores que te espian, procesadores que te espian, sistemas operativos que te espian, compañias de redes que te espian... Luego se extrañan de las cosas que pasan.

[chipan]

Sabiendo esto creo que voy a llenar mi PC de fotos de ojetes peludos con hemorroides; ya que me van a espiar si o si, por lo menos que se jodan los que me espíen.

[Trenz]

A ver que me enrollo...

Parece un tema bastante interesante, pero en algunas cosas me pierdo. ¿Un resumen/articulo relacionado que lo explique todo un poco mas extensamente? Grasias de hantevraso.

Chipan te hizo un resumen perfecto. Aquí viene la versión extensa...

Lo del IME en concreto tiene mucha tela y no sé si hay algún artículo que lo explique todo detalladamente y con claridad. Lo que sí hay son muchas noticias en inglés que han ido surgiendo últimamente en relación al tema.

En relación a las diapositivas que puse en el post anterior, a Google obviamente tampoco le gusta tener toda esa mierda en sus equipos por lo que en esa presentación lo que se expone es un proyecto llamado NERF para deshabilitar el IME en la medida de lo posible (parece ser que no se puede deshabilitar totalmente porque participa en el proceso de inicialización del hardware y en la gestión de energía) y sustituir el firmware UEFI por un núcleo Linux mínimo.

Aunque todo esto viene de más lejos, lo del IME comienza con la tecnología AMT (Active Management Technology) de Intel, un sistema de gestión remota de equipos "fuera de banda", es decir, al margen del sistema operativo y que funciona aunque el equipo esté hibernando o suspendido. Esa tecnología, que se implementaba inicialmente en los controladores ethernet, apareció en el 2005 junto con otras tecnologías de seguridad denominadas colectivamente Intel vPro Technology. En el 2007 se introdujo el IME con el objeto principal de implementar en él el sistema AMT, pero después se fue ampliando y añadiendo funcionalidades hasta llegar a lo que es hoy. Ahora AMT es sólo uno de los módulos del firmware que corre en el IME. Y precisamente hace unos meses se descubrió una vulnerabilidad en el módulo AMT.

Inicialmente el IME (que va dentro del chip PCH) utilizaba un procesador ARC, pero hace unos años, en el 2015, lo cambiaron por un microcontrolador de arquitectura x86, lo que facilitó el análisis del firmware. En uno de esos análisis, hace unos meses, el hacker Dmitry Sklyarov descubrió que el firmware parecía estar basado en Minix, lo que tiene su "gracia"...

Spoiler: Ver

Minix es un pequeño sistema operativo de tipo Unix desarrollado con fines didácticos por Andrew Tanenbaum. Este profesor holandés es una leyenda en el mundo de la informática: sus libros de texto sobre redes y sistemas operativos son referencias básicas. Precisamente desarrolló Minix porque en un momento dado, por cuestiones legales, el código fuente de Unix dejó de poder utilizarse en las aulas, aunque las licencias de Unix que compraban las universidades lo incluyesen. Y otra anécdota relacionada y muy conocida es que Linus Torvalds anunció el desarrollo de Linux en el grupo de noticias comp.os.minix, lo que le llevó a una pequeña polémica con Tanenbaum, al decir éste que si Linus hubiese sido su alumno no le hubiese puesto una buena nota porque Linux tenía una arquitectura monolítica en lugar de ser un micronúcleo. El caso es que hace unos días Tanenbaum publicó una carta abierta a Intel que dejó a casi todo el mundo ojiplático... Básicamente dice que se enteró del uso de Minix en el IME por la prensa; que ciertamente, hace unos años, desde Intel le preguntaron por Minix y le pidieron que hiciese ciertas modificaciones; que se congratula de que ahora probablemente Minix sea el sistema operativo más utilizado en el mundo en ordenadores de arquitectura x86, pero que hubiese preferido cierto reconocimiento por parte de Intel en lugar de enterarse por la prensa; y para terminar pasa de puntillas sobre lo que es más importante y tiene implicaciones éticas y de seguridad: el uso que Intel está haciendo de su sistema operativo.

Obviamente se ha estado investigando cómo deshabilitar (1, 2) en la medida de lo posible el IME, aunque, que yo sepa, todavía no hay una forma sencilla y segura de hacerlo. Principalmente pasa por borrar la mayor parte del firmware. Pero también se ha descubierto otra cosa "curiosa", y es que en el propio firmware hay una opción para desactivarlo, denominada "HAP", puesta a petición de las agencias de seguridad del gobierno estadounidense, a las que parece que tampoco les hace gracia utilizar equipos con esa mierda funcionando. Copio y pego de aquí, siendo ésta la fuente:

Spoiler: Ver

Positive Technologies researchers Mark Ermolov and Maxim Goryachy discovered that Intel ME can be disabled by setting a 'HAP mode activation bit' found in the ME firmware code. The researchers found a field in ME's firmware files called 'reserve_hap' with a comment next to it stating 'High Assurance Platform enable'.

HAP refers to the US government's High Assurance Platform Program, a secure computing program run by the NSA in collaboration with the tech industry. According to Bleeping Computer, disabling ME requires setting the relevant bit to '1'.

Intel confirmed to Positive Technologies that the undocumented HAP mode activation bit is present to support customers participating in the HAP program.

"In response to requests from customers with specialized requirements we sometimes explore the modification or disabling of certain features," Intel said in a statement.

"In this case, the modifications were made at the request of equipment manufacturers in support of their customer's evaluation of the US government's High Assurance Platform program. These modifications underwent a limited validation cycle and are not an officially supported configuration."

Sobre el tema de deshabilitarlo enlazo también esta página de la empresa norteamericana Purism, dedicada a producir ordenadores y otros dispositivos que sean seguros y respetuosos con la privacidad del usuario (al menos esa es su intención).

Y para finalizar, noticia de hace un par de días: la posibilidad de acceder y modificar el firmware del del IME vía USB.

Y los TALOS son ppc o como? Soportado por gnulinux? Gran entrada @Trenz...

Y que hay de los amd?

Los PowerPC están limpios, pero obviamente son un poco antiguos. Talos usa procesadores POWER 8 y POWER 9 que es una arquitectura relacionada pero mucho más moderna y potente. Claro que tiene soporte Linux; de hecho aparte de Linux ahí no creo que se pueda ejecutar otra cosa, como no sea AIX o algún otro SO de IBM.

Los AMD... nada de nada. Tienen un sistema equivalente: PSP. Precisamente usuarios y fans de la marca estuvieron pidiendo que lo "abriera", pero no hubo suerte

---

PD: hablando de distopías, habéis visto esa noticia de que Facebook pide que subas tus fotos comprometidas... de forma preventiva, para poder borrarlas si alguien más las tiene y las publica XDDD

https://www.genbeta.com/redes-social...-la-red-social

[3XCL4M4t10N]

Puf, que pena que solo le pueda dar a agradecer una vez, muchísimas gracias por toda la información y enlaces. De diez.

Y ya que mas o menos me he enterado del entramado... Que cosa mas triste y oscura de verdad, da bastante rabia. Y digo yo, la intencionalidad de todo esto no queda clara, ¿verdad? Por que no termina de quedarme claro si el objetivo principal era otro al principio y luego se ha usado con otros "fines" o estos "fines" eran precisamente los usos que se les iban a dar y luego, de tapadillo, se ha justificado con las funcionalidades que se decían que debían de cumplir... No se si me he explicado bien .

[Trenz]

Puf, que pena que solo le pueda dar a agradecer una vez, muchísimas gracias por toda la información y enlaces. De diez.

Y ya que mas o menos me he enterado del entramado... Que cosa mas triste y oscura de verdad, da bastante rabia. Y digo yo, la intencionalidad de todo esto no queda clara, ¿verdad? Por que no termina de quedarme claro si el objetivo principal era otro al principio y luego se ha usado con otros "fines" o estos "fines" eran precisamente los usos que se les iban a dar y luego, de tapadillo, se ha justificado con las funcionalidades que se decían que debían de cumplir... No se si me he explicado bien .

De nada

Lo del control remoto es un arma de doble filo evidentemente, y parece ser que para eso estaba inicialmente el IME. Pero al final acabaron metiendo ahí toda una serie de mecanismos de "seguridad", en parte porque lo facilitaba y en parte porque eran mecanismos que, de un modo u otro, estaba previsto implementar o ya se estaban implementando de otro modo. Así que al final eso es casi lo de menos. Todo esto nace a finales de los noventa y comienzos de la década de 2000 con la idea de la "informática fiable"... Fiable para la industria del software y los productores de contenidos, no para los usuarios, aunque se pretendiese vender así. Lo que eso implica obviamente era ir quitándole control sobre el equipo al usuario e ir dándoselo a terceros. Toda medida en ese sentido era positiva para la industria y se promovía en la medida de lo posible. Otra manera de coseguirlo era promover los ordenadores de "propósito específico" frente a los ordenadores personales (la siempre anunciada muerte del PC); Cory Doctorow lo llamaba la guerra civil sobre la informática de propósito general. Pero al final, el quiénes son esos terceros que tienen el control y cuáles son sus propósitos es algo que ha ido cambiando. Desde luego, en los inicios la motivación principal era la implementación eficaz de sistemas DRM, pero hoy en día los motivos son más bien otros, como han ido mostrando Wikileaks y Snowden. Hay que tener en cuenta también que estas cosas se van implementado lentamente, de otro modo resultarían mucho menos digeribles, aparentemente. Lo del arranque seguro era un elemento esencial de la informática fiable y ha tardado más de una década en llegar. Tampoco es fácilmente predecible cómo será la adopción y uso de la tecnología por parte de los usuarios. Apple demostró que la gente aceptaba de buen grado los jardines vallados si éstos eran bonitos y cómodos. O por ejemplo, Internet, que era un medio de comunicación global en el que, en sus inicios, el anonimato era un bien muy valorado, porque permitía un intercambio de ideas global libre de prejuicios. Sin embargo las redes sociales la han covertido en casi lo contrario: un medio de exhibición global, en el que la privacidad tiene muy poco valor y el anonimato ya sólo tiene connotaciones negativas.

[_-Caleb-_]

Joer pues como está el patio.... Gracias por la explicación @Trenz

Saludos!

[futu-block]

me suscribo al tema, me parece interesante