Intel Management Engine

Bild: Bill Bradford Licence: CC-by-2.0

 

Jeder moderne Intel-Prozessor bringt eine Management Engine (IME) mit, die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist. Da IME über die permanente 5-V-Versorgung aus dem Netzteil gespeist wird, muss der Rechner nicht einmal eingeschaltet sein. Sie besteht aus einem Microcontroller und einer passenden proprietären Firmware, die sich je nach CPU und OEM unterscheiden kann. Die Firmware ist eine von Intel kryptografisch signierte Binärdatei. ME ist von Intel nicht durchgängig dokumentiert. Somit führt die CPU im Rahmen der ME unbekannten und nicht nachprüfbaren Code aus, auf die der Käufer von Intels CPUs keinerlei Einfluss hat. Betroffen sind die Intel-Core-i-Serien i3, i5, i7 und die Intel Xeon Prozessorfamilien.

Sicherheitstechnisch bedenklich

In frühen Versionen saß der Microcontroller im Netzwerkchip, dann in der Northbridge des Chipsatzes, um bei Intels i7-Architektur Teil der CPU zu werden. Der Controller der ME ist dabei völlig unabhängig von der CPU und stellt einen Computer im Computer dar. Die ME hat ihr eigenes Betriebssystem und verfügt über Flashspeicher, einen internen Bus, einen Web-Server und eine Kryptographie-Engine. ME hat Zugriff auf den Hauptspeicher des Systems und über den Intel Gigabit Ethernet Controller auch auf das Netzwerk. Die FSF bemängelt, dass Anwender keinerlei Kontrolle über die Management Engine haben. Wäre dies, wie bei freier Software der Fall, wäre sie ein mächtiges Subsystem, das zur Sicherheit und Administration des Systems beitragen könnte.

Soviel war bereits seit längerem bekannt. Bekannt war auch, dass IME ein großes Sicherheitsrisiko darstellt. Nicht nur die Free Software Foundation (FSF) hat sich gegen dieses zusätzliche proprietäre Sub-Betriebssystem gewandt, sondern auch die Electronic Frontier Foundation (EFF) und Sicherheitsexperten wie Matthew Garrett. Erst im Mai hatte Intel eine seit neun Jahren bestehende kritische Sicherheitslücke in seiner Active Management Technology (AMT), einer der Komponenten der IME, bekannt gegeben. Da das Schließen dieser Lücke eines Firmware-Updates bedarf, werden viele PCs, bei denen AMT aktiv ist, vermutlich nie einen Fix sehen. Ob AMT passiv oder aktiv eingeschaltet oder aus ist, hängt vom BIOS des jeweiligen Rechners ab.

Minix entdeckt

In letzter Zeit beschäftigte sich ein Team von Google-Sicherheitsexperten mit der IME. Dabei entdeckten sie zu ihrem Erstaunen, dass das versteckte Betriebssystem, das die ME steuert, auf den Namen Minix hört. Dabei handelt es sich um ein frühes unixoides Betriebssystem, das von Andrew S. Tanenbaum 1987 zu Lehrzwecken entwickelt wurde. Seine größte Bedeutung heute ist vermutlich, dass es Linus Torvalds zur Entwicklung von Linux inspirierte.  Dank Googles Ronald Minnich wissen wir nun, dass Minix dank Intel das am weitesten verbreitete Unix und möglicherweise sogar das am weitesten »benutzte« Betriebssystem überhaupt ist.

Das enthüllte Minnich vor zwei Wochen auf einem Vortrag auf der Embedded Linux Conference Europe in Prag. Dabei handelt es sich um eine proprietäre Variante von Minix 3. Welche Änderungen hier vorgenommen wurden ist dank des Closed-Source-Status bisher nicht bekannt. Das System hat Zugriff auf die TCP/IP-Netzwerk-Schicht, das Dateisystem, auf Treiber und Web-Server. Es kann zudem die Firmware des Rechners selbst im ausgeschalteten Zustand ändern. Auch kann es selbst-modifizierenden Code einfügen, der selbst in einem stromlosen Rechner erhalten bleibt.

Auf unterster Ebene

Das IME erlangt diesen Zugriff dadurch, dass es im x86-Ring-Modell im niedrigsten Ring -3 läuft und somit noch eine Ebene unter UEFI angesiedelt ist. Um hier mehr Sicherheit zu ermöglichen ruft Minnich Intel dazu auf, anstelle seines proprietären Minix-Derivats ein offenes Linux-System einzusetzen. Im Besonderen sollten zudem der Web-Server und der IP-Stack aus der ME verschwinden. Auch AMD ist keine sichere Bank in dieser Hinsicht. Die neuen Ryzen-Chips enthalten mit dem AMD Platform Security Process ebenfalls »ein schwarzes Loch«. Minnich machte eindrücklich klar, dass er es Ernst meint, wenn er sagte: »Wenn ihr jetzt noch keine Angst habt, dann hab ich das schlecht erklärt. Ich jedenfalls habe Angst.«

Erst kürzlich konnten die Entwickler bei Purism, die auch das freie Smartphone Librem 5 entwickeln, vermelden, dass es ihnen gelungen sei, die IME völlig zu deaktivieren. Wie im hauseigenen Blog nachzulesen ist, hat es Jahre gedauert, bis eine vollständige Lösung gefunden war,  die den Start des Systems auf den Notebooks Librem 13 und Librem 15 ohne aktivierte Management Engine erlaubt.

Inzwischen hat sich Andew Tanenbaum, völlig unreflektiert die Tatsache ignorierend, das Minix als Backdoor eingesetzt wird, bei Intel für die Verwendung von Minix bedankt.

 

[embedyt] https://www.youtube.com/watch?v=iffTJ1vPCSo[/embedyt]

Beitrag kommentieren

Alle Kommentare
  • tuxnix

    07.11.2017, 13:36 Uhr

    Das ist eine recht sonderbare Ehre für Andrew S. Tanenbaum und Minix.
    Wie pervers und arrogant ist es eigentlich, wenn Hersteller ihr geheimes und obskures low level Betriebssystem in jede CPU schon ab Werk ein löten? Und wie bescheuert und abhängig sind wir, dass wir uns das auch noch gefallen lassen?

    • Ferdinand Thommes

      07.11.2017, 13:45 Uhr

      Minix kann sich nicht wehren und Tanenbaum scheint es tatsächlich als Ehre zu empfinden. Der Mann scheint seine frühere Streitbarkeit aufgegeben zu haben. Ich bin enttäuscht.

  • tuxnix

    07.11.2017, 14:55 Uhr

    Denke, Tanenbaum ist ein Rechthaber.
    Da lehrt er (nicht ohne Relevanz), dass die Zukunft der modulare Betriebssystem-Kernel ist und muss miterleben wie Linus T. mit Linux einen monolithischen Kernel zum Erfolg bringt. So etwas muss schon weh tun.
    Von dieser Warte aus gesehen, gönne ich ihm die späte Genugtuung.
    Was er nie verstanden hat, ich habe den damaligen Disput aufmerksam nachgelesen, für was FOSS gut ist und weshalb man freie Lizenzen braucht.
    Tanenbaum gleicht jemanden der eine Maschine perfekt zum laufen bringt, aber völlig ignoriert was diese Maschine bewirken kann wenn sie einmal in Fahrt ist.
    Er weiß zu entwerfen wie ein Computer am besten arbeitet, hat aber letztlich keine Ahnung davon, zu was ein Computer da ist. Linus ignorierte die Schönheit des modulare Kernels zu Gunsten eines praktischen Ansatzes der Selbstbestimmung. Ich denke Intel hat nicht ohne Grund den stabileren modularen Kernel für die IME gewählt. Auch denke ich, dass hier der Ersatz durch ein monolithisches Linux, rein technisch gesehen, nicht der Punkt ist, über den man streiten sollte. Es passt aber zu Tanenbaum, dass er bis heute nicht dazugelernt hat und völlig ignoriert, was obskure Systeme in der IT alles anrichten können.

  • tuxnix

    07.11.2017, 15:28 Uhr

    P.S.:
    Lieber Ferdinand Thommes,
    an dieser Stelle mal ein dickes Lob für deine tolle Berichterstattung und für die sorgfältige Verlinkung die es erlaubt auch die Quellen nachzulesen. Das macht immer wieder Freude.

  • Freiheit

    07.01.2018, 15:40 Uhr

    Was die letzten Jahre im Grunde passiert ist, ist das die PC Architektur kompromittiert wurde. Ohne das wir es wirklich bemerkt haben, hat man in jeden PC ein vorinstalliertes Betriebssystem eingebaut, das unabhängig von all dem läuft was der PC Anwender auf dem Rechner tun kann.

    Später wundert man sich immer wie das passieren konnte. Auch nach Hitler hat man sich gewundert. Vor vielen Jahren dachten viele auch der ganze Überwachungs Kram würde einen gewissen Maß nicht überschreiten und das niemand die Rechner offensichtlich überwachen und kontrollieren könnte weil man das ja schnell erkennen könne.
    Nun wurden ganz offiziell alle dafür notwendigen Mechanismen eingebaut und man verlangt von uns das wir blind vertrauen dass diese Mechanismen nicht für Manipulationen und Überwachung benutzt werden.

    Alle Kritik wird nichts nützen. Die PC Architektur von heute ist für sicherheitskritische Umgebungen ungeeignet. Neue Hardware wird benötigt. Es gibt einige kleine Hoffnungsschimmer. Es gibt immer mehr Hardware mit einer freien Architektur. Es werden erste Prozessoren und Mikrocontroller entwickelt deren Design vollständig frei ist.
    In Zukunft benötigt man solche Hardware für sicherheitskritische Bereiche. Im Alltag werden die meisten wohl kompromittierte Hardware nutzen.

  • Wir können alles mitlesen, was Sie eintippen | Block-Blog

    11.01.2018, 01:15 Uhr

    […] Kernel-Modus Ring 0 (Ring (CPU) – Wikipedia)] https://linuxnews.de/2017/11/07/minix-in-der-intel-management-engine/ Das IME erlangt diesen Zugriff dadurch, dass es im x86-Ring-Modell im niedrigsten Ring -3 läuft […]