Kihasználása azonban nem triviális, és némileg csökkenthető a kockázat firmware-frissítéssel.
Hirdetés
 

Egy újabb biztonsági rés mutatta meg, milyen problémák adódhatnak abból, ha hardverközeli biztonságra építünk. A Positive Technologies fedezett fel egy súlyos sérülékenységet a Converged Security and Management Engine-ben (CSME) – ráadásul egyik elemét a lapkakészletek dokumentációját olvasva szúrták ki. (A biztonsági cég már korábban is talált hibát Intel csipben.)

Mint a biztonsági cég írja blogjában, a hibát lényegében lehetetlen javítani, mert az a lapkakészletek ROM-jába van beégetve. Mivel hardverszinten teszi sebezhetővé a rendszereket, lényegében az adott platform teljes bizalmi láncát kompromittálja.

Az Intel a szoftveres javítást már kiadta, ami némileg enyhítheti a kockázatokat. A technikai részleteket egyelőre nem hozta nyilvánosságra a Positive Technologies, de egy hamarosan elkészülő white paperben több információt ígértek.

A biztonság alapja sérült

A CSME egy lapkakészlet-alrendszer, amely a főleg üzleti notebookban használt Intel Active Management Technology mögött működik. Meglehetősen szerteágazó feladata van. Biztosítja például a rendszerindításnál a hitelesítést, és ellenőrzi a többi firmware-t betöltődésük közben. A CSME hitelesíti az UEFI BIOS firmware-t éppúgy, mint a tápellátásért felelős Power Management Controller firmware-ét. Valamint kriptográfiai alapot ad az Intel hardveres biztonsági technológiáinak (pl. DRM, fTPM és Intel Identity Protection).

A CSME az EPID (Enhanced Privacy ID) hitelesítési eljárással lehetővé teszi az egyes számítógépek egyértelmű és névtelen azonosítását, ami használható például digitális tartalmak védelmére, pénzügyi tranzakciók biztosítására, IoT tanúsítás végrehajtására stb. Van benne egy ún. TPM-funkció is (Trusted Platform Module), amely lehetővé teszi az alkalmazásoknak és az operációs rendszernek a titkosítási kulcsok tárolását például a fájlrendszer titkosításához.

A titkosítás központi eleme egy olyan lapkakészlet-kulcs, amit egy másik a lapkakészletbe beégetett kulcs titkosít. Ez a szisztéma addig biztonságos, amíg a lapkakészlet-kulcsot nem képes valaki visszafejteni. Ha azonban valaki a beégetett kulcs feltörésével képessé válik erre, a CSME-n keresztül bármilyen kódot le tud futtatni, amivel lényegében lenullázza az Intel teljes biztonsági láncát.

Csak cserével javítható

A biztonsági kutatók szerint a sérülékenység azért problémás, mert nemcsak a firmware-ben, hanem a csak olvasható rendszerindító (boot) ROM-ban (Read-Only-Memory) is megtalálható. Utóbbit azonban csak hardveres módszerrel (cserével-forrasztással) lehet(ne) javítani.

Az EPID hitelesítési eljárás teljes kompromittálása ettől még közel sem triviális. Hozzá kell jutni ugyanis a beégetett kulcshoz. Bár ez nem egyszerű, Mark Ermolov, a Positive Technologyies munkatársa azt mondta a The Registernek, hogy közel sem lehetetlen. Ennek egyik oka, hogy a beégetett titkosítási kulcs nem platformspecifikus, hanem egyet használnak teljes csipkészlet-generációkhoz.

Mivel a ROM-ba égetett kódot nem lehet foltozni, Ermolov szerint csak idő kérdése, mikor jutnak hozzá hekkerek a kulcshoz. És onnantól eluralkodik a teljes káosz: a kiberbűnözők hardverazonosítókat hamisíthatnak, bármilyen védett digitális tartalomhoz hozzáférhetnek, vagy visszafejthetik a titkosított merevlemezek tartalmát. A hiba szinte minden még kapható, a 10. generáció előtt tervezett csipkészletet érint. Az Intel a javítás azonnali telepítését javasolja, valamint a gépek fokozottabb lopás és illetéktelen használat elleni védelmét, ugyanis a biztonsági rés kiaknázásához fizikailag is hozzá kell férni a támadott rendszerhez.

Biztonság

Otthoni kiküldetésben

Az innovatív lehetőségek tárháza, a szemmel is látható költségmegtakarítás lehetősége, a munkavállalók egyre fokozódó igénye ellenére egy globális járvány kellett ahhoz, hogy villámgyorsan elterjedjen a távmunka. Milyen feltételei vannak, és lehet-e legalább olyan hatékonyan dolgozni otthonról, mint az irodából?
 
Az innovatív lehetőségek tárháza, a szemmel is látható költségmegtakarítás lehetősége, a munkavállalók egyre fokozódó igénye ellenére egy globális járvány kellett ahhoz, hogy villámgyorsan elterjedjen a távmunka. Milyen feltételei vannak, és lehet-e legalább olyan hatékonyan dolgozni otthonról, mint az irodából?

a melléklet támogatója a Balasys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.