Безопасность прошивок на примере подсистемы Intel Management Engine
В предыдущей статье был описан ход исследования безопасности прошивок промышленных коммутаторов. Мы показали, что обнаруженные архитектурные недостатки позволяют легко подделывать образы прошивок, обновлять ими свитчи и исполнять свой код на них (а в некоторых случаях — и на подключающихся к свитчам клиентах). В дополнение, мы описали возможности закрепления внедряемого кода на устройствах. Подчеркнули низкое качество кода прошивок и отсутствие механизмов защиты от эксплуатации бинарных уязвимостей. Мы обещали привести реальный пример сильной модели безопасности прошивок, где модификация исполнимого кода является очень нетривиальной задачей для потенциального злоумышленника.
Встречайте – подсистема Intel Management Engine, самая загадочная составляющая архитектуры современных x86-платформ.
Введение
Для начала, основательно разберёмся в предметной области. Что это такое, откуда и зачем появилось?
В 2005 году компания Intel представила Active Management Technology (AMT) версии 1.0 — решение для удалённого администрирования (управление, инвентаризация, обновление, диагностика, устранение неполадок и т.д.) и защиты десткопных компьютерных систем, своего рода аналог технологии Intelligent Platform Management Interface (IPMI), использующейся в серверах.
[рисунок взят отсюда]
А ещё этот микроконтроллер начинает работать при подаче питания на материнскую плату компьютерной системы (т.е. при подключении компьютера к электрической сети, ещё до того, как пользователь нажмёт кнопку Power).
Итак, Management Engine всегда включён, но использование возможностей AMT требует активации (подразумевает задание пароля, сетевых параметров,… ) в BIOS setup, а точнее в MEBx setup:
[скриншот взят отсюда]
Похвально, что дефолтный пароль («admin») при первом входе обязательно требуется изменить на новый, удовлетворяющий определённым требованиям: минимум 8 символов, среди которых должны присутствовать хотя бы одна цифра, одна заглавная буква и один спец. символ.
AMT 1.0 была реализована на интегрированном в южный мост чипсета (Input/Output Controller Hub, ICH) сетевом модуле Intel 82573E series Gigabit Ethernet Controller.
Затем, в 2006 году, начиная с AMT версии 2.0, микроконтроллер перенесли в северный мост чипсета (Graphics and Memory Controller Hub, GMCH). Именно тогда подсистему наименовали в Intel Management Engine (ME) версии 2.0.
[рисунок взят отсюда]
Одновременно с этим появился бренд Intel vPro, который обозначал комплекс реализованных на основе Intel ME технологий: AMT, Trusted Execution Technology (TXT) и Virtualization Technology (VT). Позже в этот список вошли Identity Protection Technology (IPT) и Anti-Theft (AT).
Тогда же Intel ME наделили ещё большим количеством впечатляющих возможностей, среди которых — полный доступ ко всему содержимому оперативной памяти компьютера через внутренний DMA-контроллер, а в дальнейшем появилась возможность мониторинга видеопотока, выводящегося на монитор (правда, только в случае использования встроенного графического ядра).
AMT тоже не стояла на месте и активно развивалась: изменялся состав используемых протоколов (например, добавилась поддержка HTTPS через порт 16993), в версии 6.0 для удалённого администратора появилась фича Remote Desktop, она же KVM (Keyboard Video Mouse), и прочее.
Подробнее про развитие Intel AMT можно почитать здесь.
Тем не менее, из-за высокой стоимости реализации, эта подсистема присутствовала, за несколькими исключениями, только на материнских платах с чипсетами Intel линейки Q:
GMCH
ICH
ME/AMT version
Q965
ICH8
ME 2.x (AMT 2.x)
GM965 / GME965 / GL960 / GLE960 / PM965
ICH8M
ME 2.5.x (AMT 2.5.x)
Список литературы
1. A. Kumar, «Active Platform Management Demystified: Unleashing the Power of Intel VPro (TM) Technology», 2009, Intel Press.
2. Xiaoyu Ruan, «Platform Embedded Security Technology Revealed: Safeguarding the Future of Computing with Intel Embedded Security and Management Engine», 2014, APress.
Ошарашенный присутствием такого компонента в компьютере, пользователь (получается, что именно «пользователь», а не «владелец») наверняка задавался вопросом: можно ли выключить Intel ME?
Эта статья целиком посвящена этому вопросу.
Введение
Начиная с 6-й версии, ME-контроллер встраивают во все чипсеты Intel.
[рисунок взят отсюда]
Загрузчик его прошивки хранится во внутренней ROM и недоступен для анализа. Сама прошивка располагается в регионе ME во внешней SPI флэш-памяти (т.е. в той же памяти, где хранится BIOS). Структура этой прошивки такова, что весь исполнимый код разбит на модули, которые хранятся в сжатом виде (либо кастомной реализацией алгоритма Хаффмана, либо LZMA). Эти кодовые модули криптографически защищены от модификаций.
Если есть желание поревёрсить прошивку, рекомендуем воспользоваться этими двумя инструментами для изучения её структуры и распаковки кодовых модулей.
Итак, рассматриваемая подсистема является аппаратно-программной основой для различных системных функций (некоторые раньше реализовывали в BIOS) и технологий Intel. Их имплементация включается в состав прошивки Intel ME. Одной из таких технологий, использующих несколько особых привилегий Intel ME, является Active Management Technology (AMT).
Контроль за состоянием AMT
AMT – технология удалённого администрирования компьютерных систем, для которых заявлена официальная поддержка Intel vPro (это бренд, объединяющий несколько технологий, в том числе, AMT). Речь идёт о системах с чипсетами линейки Q (например, Q57 или Q170).
Учитывая высокую стоимость таких платформ, вряд ли кто-то случайно приобретёт компьютер с AMT для того, чтобы принципиально этой технологией не пользоваться. Тем не менее, если под рукой именно такой продукт, и есть необходимость убедиться, что AMT на текущий момент выключена, следует воспользоваться утилитой ACUwizard:
[рисунок взят отсюда]
или средством Intel Management and Security Status (входит в состав ПО Intel ME для vPro-платформ, можно обнаружить в трее):
В продуктах, не относящихся к разряду vPro-платформ AMT включить нельзя, однако в состав прошивки Intel ME входят сетевые драйверы:
Это означает, что ME-контроллер (не будем забывать, что он всегда включен) имеет техническую возможность использования сетевого интерфейса.
Поэтому проблему стоит решать основательно – пытаться выключить подсистему Intel ME.
Выключение Intel ME при помощи утилит из Intel System Tool Kit
Несмотря на то, что этот комплект распространяется по NDA (судя по меткам «Intel Confidential» в прилагаемых документах), многие вендоры забывают его вырезать из архива с ПО Intel ME, который передаётся пользователям. А ещё не закрывают свои ftp-серверы от внешнего доступа. В результате, утекших версий STK очень много. Здесь можно слить комплект для любой версии Intel ME.
Важно, чтобы major и minor version (первая и вторая цифры) используемого STK совпадала с версией Intel ME целевой системы, информацию о которой можно получить, например, воспользовавшись ME analyzer:
Проверять текущее состояние Intel ME можно при помощи утилиты MEinfo, которая через Management Engine Interface (MEI) получает информацию о работе этой подсистемы:
Напомним, что MEI является интерфейсом для связи основного CPU с подсистемой Intel ME и представляет собой набор регистров в конфигурационном пространстве PCI и в MMIO. Команды этого интерфейса не документированы, как и сам протокол.
Flash Image Tool
На старых платформах (Intel ME версии 5.x и ниже) выключить данную подсистему можно, воспользовавшись Flash Image Tool (утилита из STK, предназначенная для сборки образов SPI флэш-памяти из отдельно взятых регионов BIOS, ME, GbE). При сборке задаются параметры, которые прописываются в этих регионах и в регионе Flash Descriptors. В последнем есть один очень интересный флаг, «ME disable»:
Таким образом, для выключения Intel ME на целевой компьютерной системе, в её SPI флэш-память следует записать (программатором) новый образ с выставленным флагом «ME disable».
Работает ли этот способ, нам неизвестно. Но звучит правдоподобно, учитывая, что ME-контроллер в тех версиях интегрировался только в чипсеты линейки Q, т.е. был не обязательным компонентом для всех платформ.
Flash Programming Tool
Начиная с Intel ME 9 версии, в утилиту Flash Programming Tool, предназначенную для программирования SPI флэш-памяти компьютерных платформ, была добавлена возможность временно выключать Intel ME:
Выключение выполняется отправкой команды в MEI. После отработки Intel ME не подаёт «признаков жизни», не отвечает даже MEI:
Согласно документации, в таком состоянии подсистема Intel ME находится до следующего запуска компьютера или перезагрузки.
На vPro-платформах возможность отправки этой команды есть и в более ранних версиях. Для этого необходимо воспользоваться разделом конфигурирования ME/AMT в BIOS, где должна быть опция «Intel ME disable»:
[рисунок взят отсюда]
Нельзя говорить о том, что этот способ позволяет полностью отключить Intel ME, хотя бы потому, что до момента принятия команды на отключение ME-контроллер успеет загрузиться, а значит, выполнить некоторую часть кода прошивки. Несмотря на то, что Intel ME не подаёт «признаков жизни» после этой операции, неизвестно, может ли эту подсистему заново включить какой-нибудь сигнал извне. Также неясно, насколько Intel ME выключена.
Принудительное выключение Intel ME
В интересах исключения возможности исполнения ME-контроллером кода прошивки, логично попробовать ограничить ему доступ к ней. А что? Нет кода – нет проблемы.
Проанализировав документацию, которая прилагается к STK, и, немного подумав, мы предположили, что это можно сделать следующими способами.
1. Вырезать (обнулить) ME регион из SPI флэш-памяти.
Те, кто пробовал так делать сообщают о том, что их платформа либо не загружалась без наличия подлинной прошивки ME, либо выключалась ровно после 30 минут работы.
Отказ компьютерной системы грузиться без прошивки Intel ME можно объяснить важностью ME-контроллера в процессе инициализации аппаратной составляющей. А 30-минутный таймаут наводит на мысль о WDT (Watch Dog Timer).
Таким образом, ME-контроллер не получит доступ к своему региону, и, следовательно, не будет исполнять прошивку.
С одной стороны, ME-контроллер так же, как и в предыдущем случае, может препятствовать нормальной работе компьютерной системы. С другой стороны, не дескрипторный режим включает т.н. manufacturing mode, который используется вендорами в отладочных целях, и есть шанс, что система запустится.
3. Известно, что прошивка Intel ME распаковывается в выделенную и скрытую от основного CPU область оперативной памяти – ME UMA. Выделение и блокировку этой области осуществляет BIOS во время конфигурирования карты памяти. Тогда почему бы не вырезать эти фрагменты кода из BIOS, чтобы данная область не выделялась. Тогда прошивка ME не будет распаковываться и исполняться.
Проведённые эксперименты показали, что такой способ тоже не годится, и система не запускается. К тому же, у ME-контроллера есть внутренняя SRAM, которая используется при недоступности ME UMA. Поэтому часть прошивки всё равно будет исполняться.
Вывод
Очевидно, что некоторые предложенные решения влекут за собой неработоспособность компьютерной системы, остальные не дают никакой гарантии того, что подсистема Intel ME действительно выключена. В связи с этим, мы пришли к выводу, что полностью выключить Intel ME крайне сложно.
Вероятно, это связано с тем, что, отключая Intel ME, мы нейтрализуем важный компонент в архитектуре компьютерной системы. Например, без ME некому будет решать важные системные задачи вроде ACPI или ICC (которые когда-то реализовывались в BIOS). Чтобы заставить платформу стабильно работать без ME, как минимум, необходимо вернуть реализацию этих технологий в BIOS.
Так или иначе, вопрос о том, как отключить Intel ME без потери работоспособности компьютерной системы, остаётся открытым.
Желаемой характеристикой алгоритма криптографического хеширования является то, что (для всех практических целей) результат хеширования (называемый хеш-дайджестом или хешем) любых двух модулей будет давать одно и то же значение хеш-функции только в том случае, если модули идентичны.
Измерения
Цепочка доверия
Измерения модулей кода ACM и BIOS расширены до PCR0, который, как говорят, содержит статический корень измерения доверия (CRTM), а также измерения доверенной вычислительной базы BIOS (TCB). BIOS измеряет дополнительные компоненты в PCR следующим образом:
Динамическая цепочка доверия начинается, когда операционная система вызывает специальную инструкцию безопасности, которая сбрасывает динамические PCR (PCR17–22) до значений по умолчанию и запускает измеряемый запуск. Первое динамическое измерение выполняется аппаратными средствами (то есть процессором) для измерения другого модуля с цифровой подписью (называемого SINIT ACM), который также предоставляется производителем набора микросхем и чья подпись и целостность проверяются процессором. Это называется динамическим корнем измерения доверия (DRTM).
Целостность LCP и ее списки заведомо исправных измерений защищены путем хранения хеш-измерения политики в TPM в защищенном энергонезависимом месте, которое может быть изменено только владельцем платформы.
Выполнить как надежная ОС
Как только LCP удовлетворяется, SINIT ACM позволяет MLE работать в качестве доверенной ОС, разрешая доступ к специальным регистрам безопасности и разрешая доступ TPM Locality 2 на уровне 2. Теперь MLE может выполнять дополнительные измерения динамических PCR. Динамические ПЦР содержат измерения:
Заявление
Значения ПЦР доступны как локально, так и удаленно. Кроме того, TPM имеет возможность поставить цифровую подпись для значений PCR (т. Е. Котировки PCR), чтобы любой объект мог проверить, что измерения исходят от TPM и защищены им, что позволяет удаленной аттестации обнаруживать фальсификацию, повреждение и т. Д. и вредоносное ПО. Кроме того, эти значения можно использовать для определения среды выполнения (конкретная версия BIOS, уровень ОС, конфигурация и т. Д.) И сравнения их с собственными списками заведомо исправных значений для дальнейшей категоризации платформы. Эта возможность оценивать и назначать уровни доверия платформам известна как Trusted Compute Pools.
Некоторые примеры использования доверенных вычислительных пулов:
Модель Prestigio Multipad Visconte Quad Размер экрана 8″ Разрешение экрана 1280×800 Защитное покрытие экрана нет Технология изготовления экрана IPS Тип сенсорного экрана емкостный Мультитач-экран есть
Операционная система Windows 8.1 Процессор/чипсет Intel Atom Z3735G Количество ядер процессора 4 Частота процессора 1830 МГц Видеопроцессор Intel HD Graphics Размер оперативной памяти 1024 Мб Размер встроенной памяти 16 Гб Слот для карты памяти есть Тип карты памяти micro SD, micro SDHC Максимальный размер карты памяти 32 Гб (у меня встала на 64)
Поддержка Wi-Fi есть Стандарт Wi-Fi 802.11b/g/n, Intel WiDi Поддержка Bluetooth да Модуль беспроводной связи (Мобильный интернет) нет Работа в режиме сотового телефона нет
Тыловая камера есть Количество мегапикселей тыловой камеры 2.0 Фронтальная камера есть Количество мегапикселей фронтальной камеры 1.3
Встроенный динамик есть Звук стерео Встроенный микрофон есть
Поддержка навигационной системы ГЛОНАСС нет GPS-приемник нет Поддержка A-GPS нет Автоматическая ориентация экрана есть Датчики акселерометр (G-сенсор) Qwerty клавиатура виртуальная
Подключение внешних устройств по USB (OTG) есть Тип USB разъёмов micro USB Аудио интерфейсы выход аудио/наушники Тип разъема под наушники mini-jack 3.5 мм Подключение гарнитуры есть
Ширина 130.3 мм Высота 208.5 мм Толщина 9.4 мм Вес 370 г
ˇДля этого нужно сделать свайп по экрану справа-налево,нажать Параметры > Экран, появится ползунок яркости. Так же над ползунком расположена кнопка блокировки автоориентации экрана.
ˇBluetooth есть. Поддерживает все распространенные форматы связи. Можно подключить и телефон,и мышку, и клавиатуру и т.д. и т.п. По поводу MHL: У кого то работает, у кого то нет. Закономерность ищется. Как только будет ясно точнее, информация обновится в шапке.
ˇНельзя. В данном планшете нет BIOS, стоит UEFI, при том поддерживаются только 32-битные загрузчики. Режим Legacy отсутствует(точнее он есть в настройках, но на самом деле не включает данной функции). Так что поставить ХРюшу не получится. Да и смысла в этом не вижу.
ˇНет, передвижение только с клавиатурой. И только с USB клавиатурой, Bluetooth-клавиатура работать не будет, так как она подключается только после загрузки системы. Чтобы попасть в режим UEFI нужно после включения нажать на клавиатуре Esc
ˇ2,4,8,16,32,64,128 GB. Большим объёмом карты не проверялись.
ˇПамять реализована чипом eMMC. Поменять ее не удастся.
ˇИменно так он и заряжается. Отдельного гнезда для зарядки нет.
ˇ Для закрытия приложения нужно провести по экрану сверху-вниз. Чтобы переключится на следующее приложение, нужно сделать свай слева-направо. Чтобы посмотреть список запущенных приложений, нужно потянуть слева-направо, и не отпуская вернуть обратно.
ˇТеоретически да, возможно. Даже была собрана сборка, которая запустилась. Но на ней практически ничего не работает, так как нужны драйвера. Если интересно, и есть возможность помочь, то Вам сюда
ˇСделайте сброс настроек UEFI
ˇВаш винчестер требует дополнительное питание, используйте USB-HUB с дополнительным питанием.
ˇ Проверьте, установлены ли у вас DirectX,vscredits и другие необходимые компоненты. Так же,многие игры требуют подключенных клавиатуру и мышку, без них просто закрываются. Можно обойти с помощью этого драйвера
ˇНе были найдены. Как найдутся, информация здесь появится.
ˇЧем выше емкость и выше класс, тем лучше. Низкоскоростные лучше не испольовать, во избежание траты нервов.
ˇВ пуске наберите cmd, на нем пкм, запустить из-под Администратора, в командной строке ввести команду dism.exe /Online /Cleanup-Image /StartComponentCleanup /ResetBase/ Если хотите знать что делается с помощью этой команды более подробно, то вам сюда
ˇ Панель управления>Экран>Выбираем масштаб и применяем.
ˇВозможно у вас полностью закончилось место на диске С, из которого наш планшет черпает файл подкачки. Освободите хотя бы 2 Гб для комфортной работы.
В теме нет куратора. Если в теме есть пользователь, желающий стать Куратором и соответствующий Объявление: Требования для кандидатов в Кураторы, он может подать заявку в теме Хочу стать куратором (предварительно изучив шапку темы и все материалы для кураторов). До назначения куратора по вопросам наполнения шапки обращайтесь к модераторам раздела через кнопку под сообщениями, на которые необходимо добавить ссылки.
Описание взящность и удобство в использовании
Новый Prestigio Visconte Quad оснащён 8-дюймовым IPS-дисплеем с разрешением 1280х800 пикселей с отличным качеством изображения и повышенной чувствительностью сенсора. Ультратонкий корпус нового планшета Visconte Quad представляет собой сочетание алюминия и термопластика, которое обеспечивает надёжность, теплоустойчивость и эластичность. Несомненно, этот планшет отлично подойдёт тем, кому часто приходится работать в поездках и просто на ходу.
Мощный процессор и ёмкая батарея
Новая модель Prestigio MultiPad Visconte Quad — это компактный и мощный персональный компьютер в виде планшета. Его отличает феноменальная продуктивность. Планшет работает на базе 4-ядерного процессора Intel с тактовой частотой до 1,83 ГГц (плюс 1 ГБ оперативной памяти), а его конфигурация специально оптимизирована под ОС Windows 8.1. Благодаря более мощной батарее (4000 мАч) длительность работы планшета без подзарядки увеличена и составляет около 170 часов в режиме ожидания или 6 часов в режиме просмотра видео.
Преимущества ОС Windows 8.1
Пользователи планшета Prestigio Visconte Quad получают доступ к последним версиям сервисов Windows 8.1, предустановленным в новом планшете:
— Office 365 Personal: известные приложения Word, Excel, PowerPoint, OneNote, Outlook, Publisher и Access (бесплатно на 1 год) для полноценной работы с документами;
— OneDrive: 1ТБ дискового пространства для хранения данных и быстрого доступа к ним из любой точки планеты;
— Бесплатные звонки по Skype: 60 минут международной связи в месяц;
— Windows Store: более 150 000 образовательных и бизнес-приложений;
— Live Tiles: все важные функции и обновления непосредственно на экране планшета;
— Action Center: мгновенная демонстрация новых событий и сообщений;
— People Hub: синхронизация контактов из адресной и телефонной книг, а также социальных сетей и Skype для того, чтобы связываться с ними из одного приложения;
— Senses: набор сервисов для управления данными, дисковым пространством и работой батареи;
— поисковая система Bing: поиск нужной информации и призы для самых активных пользователей за использование системы в рамках «программы вознаграждений».
Высокий уровень совместимости
Планшет оснащён двумя камерами: фронтальной веб камерой 1.3 МП и 2-мегапиксельной камерой на задней панели для создания качественных фото и видео, а также для проведения конференций и видео звонков.
Новый планшет Prestigio MultiPad Quad будет доступен в продаже с декабря 2014 года его стоимость составит около 6 000 руб.
Инструкция на русском языке PMP880TD_MANUAL_RU.pdf ( 4.42 МБ )
под сообщениями, на которые необходимо добавить ссылки. 
PMP880TD_MANUAL_RU.pdf ( 4.42 МБ )