CleanPress

Intel x86 – Sackgasse ohne Ausweg

Verfasst von

sla

in

Intel x86 Bild: Hacker | Quelle: The Preiser Project | Lizenz: CC BY 2.0[/caption]

Intels CPU-Sparte hat viele Probleme und es werden nicht weniger. Neben den Prozessorlücken Meltdown und Spectre, die tief im Silizium der Chips sitzen und fast im Wochentakt neue Angriffsvektoren offenbaren, entdecken Forscher auch immer wieder neue Sicherheitslücken in der Management Engine (ME) und der Active Management Technology (AMT). Aus Anwendersicht ist Intels x86-Schiene nichts weniger als eine Sackgasse.

Volle Kontrolle

Genauso wenig wie Meltdown und Spectre aus den derzeit verkauften Prozessorgenerationen entfernt werden kann, genauso wenig wird Intel jemals die Kontrolle über den ausgeführten Code in der ME aufgeben. Die Management Engine (ME), die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist, wird über die permanente 5-V-Versorgung aus dem Netzteil gespeist und ist ein zusätzlicher Mikroprozessor, der in moderne Intel x86 CPUs eingebettet ist. Darin läuft ein Intel-signierter proprietärer Binär-Blob, der unter anderem über ein eigenes Betriebssystem und einen eigenen Webserver verfügt.Die ME hat direkten Zugriff auf das RAM, das Display, die Tastatur und das Netzwerk. Aufgrund der von der Hardware erzwungenen Code-Signing-Beschränkungen kann sie vom Benutzer nicht verändert oder ersetzt werden. AMD x86 CPUs haben übrigens einen ähnlichen Mikroprozessor, der auf den unverfänglichen Namen »Platform Security Processor«. Er ist auf genau die gleiche Weise abgeschottet.

Löchriger Käse

Die Sicherheitslücken in der ME sind ein Leckerbissen für jeden kriminellen Hacker, denn ein Eindringen in einen Rechner über die ME kann über lange Zeit unbemerkt bleiben. So wird zum Ausnutzen der aktuellen Lücke in der AMT nicht einmal mehr ein Admin-Account benötigt. Der Angriff kann nach Aussagen der Forscher von Positive Technologies ohne jede Autorisierung durchgeführt werden, wenn sich der Angreifer im gleichen Subnetz befindet.

Besorgniserregende Technologie

Als Anwender haben wir wenig bis keine Möglichkeiten, dem Bermudadreick Management Engine zu entkommen. Das hat die polnische Sicherheitsforscherin Joanna Rutkowska, die auch das Betriebssystem Qubes OS entwickelt, bereits 2015 in ihrem Essay Intel x86 considered harmful (PDF) als Fazit dargelegt.

»Wir haben gesehen, dass Intel ME potenziell eine sehr besorgniserregende Technologie ist. Wir können nicht wissen, was alles wirklich in diesem Co-Prozessor ausgeführt wird, der immer eingeschaltet ist und der vollen Zugriff auf den Speicher unseres Hostsystems hat. Wir können ihn auch nicht deaktivieren. Wenn Du denkst, dass dies wie ein schlechter Witz klingt oder wie eine Szene, die von George Orwells Arbeit inspiriert ist, lieber Leser, dann bist Du nicht allein mit diesem Gedanken…« Joanna Rutkowska, Invisible Things Lab

Ohne ME kein Booten

In den letzten zwei Jahren haben einige Notebook-Hersteller wie Purism, System 76, Dell oder Tuxedo Computers daran gearbeitet, Intels ME zu neutralisieren und – einen Schritt weiter – zu deaktivieren.  Das ist ein sehr arbeit-intensives Unterfangen, an dem auch bei Google gearbeitet wird. Grundlegende Arbeit hat hier auch das Team von Positive Technologies geleistet. Die Entfernung gelingt bestenfalls zu rund 90 Prozent und Purism ist mit seinen Librem-Notebooks hier am weitesten fortgeschritten. Wird die ME völlig ausgeschaltet, hindert das den Rechner am Hochfahren. Also müssen einige Module der frühen Bootphase aktiv sein, um den Rechner überhaupt zu starten.

Google gegen ME

Google-Sicherheitsforscher Robert Minnich, der unter anderem auch an Linux Boot arbeitet,  geht davon aus, dass es viele Jahre dauern wird, bis die ME völlig unschädlich gemacht werden kann. Da man, ohne Aluhutträger zu sein, davon ausgehen kann, dass ME durch die NSA infiltriert ist, sind das keine rosigen Aussichten. Außerdem ist da noch das in Coreboot vorhandene Intel Firmware Support Package (FSP), das der Entschärfung bedarf.

Träge Masse

Dank der Trägheit der großen Masse der Computeranwender gibt es zu diesem Szenario wenig Alternativen. Genausowenig wie sich die Masse darum schert, welches Betriebssystem auf dem PC läuft, kümmert sie sich darum, wie sehr der Hersteller der CPU sie kontrollieren kann. AMD ist kein Ausweg und ist quasi durch Marktmacht gezwungen, diesen Weg mitzugehen.

Kaum Alternativen zu Intel x86

Alternative Plattformen wie ARM am Desktop existieren quasi nicht, Systeme, die dem Anwender die Kontrolle geben, sind in Preislagen angesiedelt, die sie für den Massenmarkt ungeeignet machen. Dazu gehören etwa Hersteller wie Raptor mit seinen Talos-Mainboards. Hier kommen Power9-CPUs zum Einsatz, die Preise für eine Workstation beginnen bei rund 3.000 Euro. Bleibt eigentlich nur, auf offene Plattformen wie RISC-V zu hoffen, die aber vom Erreichen des Massenmarkts noch viele Jahre entfernt sind. Keine rosigen Aussichten, oder?

Kommentare

8 Antworten zu „Intel x86 – Sackgasse ohne Ausweg“

  1. Avatar von chris_blues
    chris_blues

    Erschütternd! Was Marktmacht aus einst innovativen Herstellern so machen kann…

    Vielen Dank für diesen, wieder mal, sehr gelungenen Artikel!

    Jruß

    Antworten
  2. Avatar von Nick
    Nick

    In der Tat traurig diese Entwicklung. Auch wenn ich hier AMD mehr vertrauen würde als Intel, nicht zuletzt aufgrund der Produktion in China. Die AMD-CPUs haben auch hinsichtlich der veröffentlichten Sicherheitslücken bislang, eine erheblich bessere Figur gemacht. Auch AMD-PSP ist via BIOS in Teilen abschaltbar, insbesondere der Netzwerk-Support der am wichtigsten wäre. Nichtsdestotrotz läuft natürlich eine Hardware-Firewall mit, die großflächig und auch geo-basierend sperrt, damit sich zu keiner Zeit etwas unbemerkt bewegen kann. Und zumindest anhand meiner Erfahrungen mit einem AMD Ryzen 1800X samt MSI-Mainboard, gab es bislang noch keine dubiose Kommunikation, die von der regulären Nutzung abgewichen ist.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      AMD ist in der Tat eine abgemilderte Variante von Intel, was die Blobs angeht, auf die wir keinen Zugriff haben. Auch bei Meltdown&Spectre hat es AMD nicht ganz so schlimm erwischt. Allerdings bleibt die Tatsache, dass die Fehler nicht mit Software oder Microcode aus der Welt zu schaffen sind. Das Konzept der Chips ist seit Jahren verfehlt, und daran sind wir natürlich mit unserer Nachfrage nach immer schnelleren fähigeren Chips in kürzerer Zeit keinesfalls unschuldig.

      Antworten
  3. Avatar von tuxnix
    tuxnix

    Ich hoffe sehr, dass sich Hersteller wie Purism weiter etablieren können. Für Forschung und Management sollte es sich letztlich auch finanziell lohnen in ein sicheres System zu investieren. Industriespionage ist nicht gerade selten.

    Antworten
  4. Avatar von Bruddel
    Bruddel

    Naja, es ist ja nicht so, dass es in der Sache anderen keine Ansätze gäbe:

    https://m.heise.de/ix/meldung/Vollstaendig-quelloffen-Linux-mit-einem-OpenPOWER-Server-einsetzen-3875980.html

    https://www.golem.de/1102/81389.html

    https://www.heise.de/newsticker/meldung/RISC-V-Entwickler-Board-mit-64-Bit-Chip-und-Linux-ab-Juni-3960308.html

    Ok, letzteres gäbe dann wieder einen x86 aber ohne Intel und AMD. Open Power ist aber schon ein anderer Ansatz.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      OpenPOWER ist auf server beschränkt, Risc-V könnte mal eine Alternative werden. Das wird aber noch ein paar Jahre dauern und wird meiner Meinung nach eine Nische bleiben. Nische bedeutet oft teuer und wenig Support mangels Masse.

      Antworten
  5. Avatar von Bachsau
    Bachsau

    Ich wüsste ja mal gerne wie man sich das mit HTTP und dem Webserver vorzustellen hat. Analysiert dieser Code grundsätzlich jedes Netzwerkpaket das reinkommt, bevor es die Informationen an das eigentliche Betriebssystem weiter gibt? Wenn ja, zu welchem grundsätzlichen Zweck und was erwartet es zu finden, das eine besonderes Reaktion auslöst?

    Abgesehen von Bugs glaube ich aber auch, dass es dennoch für jeden Angreifer einfacher ist, Schadcode in ein Paket einer beliebigen Linux-Distribution zu schmuggeln, als es auf eine Backdoor in der IME anzulegen. Auch wenn heute so gut wie jede Distribution ihre Pakete signiert: Wer weiß schon, wie vertrauenswürdig die oft unüberschaubar vielen Paket-Verwalter wirklich sind? Wie sicher ihre Computer sind und wie gewissenhaft sie mit ihren privaten Schlüsseln umgehen? Selbst EFI ist vermutlich eher ein Schlupfloch als die IME. Ohne selbst ein Geheimdienst zu sein, bleibt uns einfach nichts anderes übrig als an irgendeinem Punkt darauf zu vertrauen, dass es dir mehrheit unserer Mitmenschen doch irgendwie gut mit uns meint. Eins aber wissen wir sicher: Wir sind die Kunden, die für die CPUs bezahlen. Intel & co. selbst hätten wenig davon uns bewusst zu schaden. Die Gefahr dass es raus kommt ist immer gegeben und eine Firma, die Geld verdienen will, verdient durch Betrug am eigenen Kunden gar nichts. Bevor wir uns also um eine mögliche Infiltration der IME sorgen machen, ist es besser diese Energie in politische Aktivitäten zu investieren, die dazu führen könnten, dass Geheimdienste entmachtet werden und ihnen das Recht und die Möglichkeiten genommen werden, derarte Manipulationen zu erzwingen.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Ich hab gerade gesehen, dass der Artikel durch Änderungen beim WoprdPress Editor möglicherwseise verstümmelt war. Nur so nebenbei.
      Was Intel angeht, so gehe ich nicht davon aus, dass sie bewußt schaden wollen, wär jakontraproduktiv. Ich sehe es eher als billigend in Kauf nehmend, was immer die ME anrichtet. Bugs gabs ja schon genug. Wir müssen uns für Coreboot und Linux Boot stark machen und alternativen wie Risc-V unterstützen.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge