Procesory INTEL mají na úrovni hardwaru backdoor instalovaný přímo výrobcem

Zobraziť predchádzajúcu tému Zobraziť nasledujúcu tému Goto down

Procesory INTEL mají na úrovni hardwaru backdoor instalovaný přímo výrobcem

Odoslať pre Admin za 25th marca 2017, 13:02

Procesory INTEL mají na úrovni hardwaru backdoor instalovaný přímo výrobcem. Firewally i antiviry jsou ze hry ven.

Organizace Wikileaks včera uveřejnila novou sérii uniklých dokumentů Vault 7 a nově s názvem Dark Matter. O kauze Vault 7 jsme na AE News psali zde a toto je pokračování postupného publikování dokumentů, které odhalují praktiky CIA. Média si všímají hlavně toho, že CIA infikovala přímo ve výrobní továrně v Číně firmwary telefonů iPhone, a to již od roku 2008 a pokračuje to dodnes [1]. Přímo z továrny odcházejí iPhony infikované malwarem a nelze jej z telefonu smazat ani aktualizací novou verzí iOS. Koupíte rovnou iPhone s předinstalovaným špionážním malwarem od CIA. No, nekupte to!

Mně ovšem zaujalo něco úplně jiného. V dokumentech se objevila zmínka o programu Odin’s Eye [2] a všimli si jí lidé na boardu 4Chan, který stojí i za odhalením kauzy Pizza Gate, o které psal pan VK zde. V odkazech na Wikileaks vyhledávači už je projekt Odin’s Eye uveden u operativců CIA shromažďujících data ze špionáže [3], takže se dá očekávat, že za pár týdnů Wikileaks odhalí další bombu. V samotných dokumentech Wikileaks zatím podrobnosti o Odin’s Eye nejsou, ale odkazy na osoby a Odin’s Eye se již na Wikileaks nachází.

O systému IME se psalo už minulý rok, že je to velmi podivná součást procesorů INTEL [4]. Tohoto článku jsem se osobně ujal já, protože v roce 2015 jsem zde na AE News publikoval analýzu [5] o komunikaci Windows 10 s mateřskými servery Microsoftu a dalšími 27 organizacemi, které s Microsoftem spolupracují na úrovní služeb. V článku jsem uvedl, že Windows 10 v podstatě představují spíše terminál na sběr dat, než že by to byl operační systém a český mainstream tento můj článek se snažil bagatelizovat a zpochybnit. Jsem velmi rád, že díky 4Chan a Wikileaks mohu nyní již bez obav promluvit a přiblížit čtenářům bližší systém komunikace a zranitelností nejen Windows 10 z pohledu procesorové funkcionality.
Procesory INTEL Core „i“ jsou nejrozšířenějšími procesory na světě.

Nejprve teorie. Procesory Intel používají vnitřní instrukční řadič, který se chová jako pseudointerpretr, který je nezávislý na vyšším operačním systému. Každá instrukce a stream package ze sběrnice je zdánlivě vykonán tak, jak je napsaný zkompilovaný program. Ve skutečnosti tomu tak není. Procesory Intel architektury Core „i“ používají na úrovni procesoru vlastní operační systém umístěný na chipsetu. Nepředstavujte si ho jako operační systém Windows, spíše se podobá velmi ořezanému Linuxu a slouží k řízení chodu procesoru, svým založením je to řadič s programovací vrstvou a vlastním API sběrnice (microcontroller), slouží pro ovládání I/O prvků, můstků, ale hlavně se stará o vnitřní přerušení a zpracovávaní běžících programů. Nazývá se Intel Management Engine a je to nejnižší programovací vrstva, která běží na počítači platformy Intel. Vrstva je umístěna ještě níže, než leží BIOS, resp. BIOS běží právě přímo na vrstvě IME. Inženýří Intelu označují IME za „deep root“, barebone root, nebo také „ring -255“. Z hlediska fungování IME se jedná o „hluboký pseudointerpretr“ v roli řadiče instrukcí, který je programovatelný. Zde se dostáváme k Windows 10 a k jistému odhalení, o které veřejnost žádala.
Ghost mode v procesorech INTEL

Uvnitř zkompilovaných kódů a programů Windows 10 jsou zdánlivě liché segmenty se zdánlivě zakryptovaným obsahem. Pokud si program spustíte v debuggeru a budete sledovat jeho práci, program tato místa přeskakuje. Zdánlivě jde o smetí. Vstupní body do programů jsou nastavené tak, že programy spuštěné zevnitř Windows 10 přeskakují zakryptované úseky, které se nikdy nedostanou do výkonného cyklu. Když ale program běží na úrovni procesoru, IME detekuje nefunkční zakryptované části v paměti přes full DMA, provede vnitřní přerušení, dekryptuje úseky, vykoná úsek a poté vrátí řízení běhu původnímu úseku programu poslaného do mateřského CPU z vyšší vrstvy (WinAPI/HAL). Debuggerem ve Windows nemá analytik šanci nic poznat, protože IME pracuje ve vnitřním přerušení a běží na odděleném vnitřním procesoru chipsetu IME mimo mateřský procesor CPU bez asistence OS Windows. Tomuto skrytému běhu se mezi programátory říká „ghost mode“ a za normálních okolností takový běh umí virtuální stroj s interpreterem vlastních zakódovaných instrukcí, což používají např. počítačové ochrany VM Protect nebo Denuvo, ovšem ty běží transparentně na CPU. IME však běží mimo režii mateřského CPU. Nedá se debugovat, protože neexistuje pro vyšší vrstvy systému.
IME na obrázku od Intelu není zobrazeno přesně. Intel Management Engine je hardwarový úsek přímo na chipsetu (on-die module).

Rozhraní IME kontroluje nejen CPU, ale veškeré periférie v počítači a běží dokonce i během hibernace stroje. Velmi zákeřné je zpracovávání datových paketů pro síťovou kartu. IME má full access k TCP/IP stacku a dokáže detekovat síťový debugging, např. pokud si nastavíte vlastní SSL certifikát na lokálním stroji v LAN síti a simulujete cizí doménu nebo server, IME nemůže být obelháno, protože používá vlastní ověřování certifikátů a pevné IP adresy. Windows 10 odesílají nasbíraná data pouze ve chvíli, kdy je bezpečné spojení na originální servery Microsoftu a partnerů. Pokud do cesty nastavím sniffer pro zachytávání paketů (MITM simulace + podvržený certifikát), přenosy okamžitě poklesnou, jejich objem se sníží. To ukazuje na implementaci IME a mechanismů pro tichá spojení. IME tudíž umí vytvářet „kerberizované spojení“ s vybranými servery, na což běžné prostředky pro sledování síťového provozu už nestačí.

Výkonné kódy jsou definovány v zakryptovaných částech programů a rutin Windows 10. Dopředu musím všechny zájemce o tooly a podrobnosti upozornit, že tato úmyslná technologie v procesorech Intel (nenazývám ji zranitelností nebo chybou) je natolik silná a mocná, že teoreticky zcela nuluje veškerou softwarovou ochranu dnešních počítačů a nebudu zde poskytovat nástroje nebo poradenství pro uživatelské programování IME enginu. Tento článek má za úkol pouze upozornit a varovat před pocitem „false security“, kterou dnes razí marketingové společnosti různých výrobců softwarových produktů na zabezpečení počítačů.
Cokoliv za data vložíte do počítače, může IME na povel odeslat pryč

Nezáleží na operačním systému, jestli jedete na Windows, Linuxu, Mac OS X nebo něčem jiném. Rozhraní IME je nezávislé na nadřazeném operačním systému, běží na chipsetu základní desky a dokáže spouštět zakryptované programy v jakémkoliv kódu a musím zdůraznit, že nejen ve výkonném kódu, ale i při zobrazení fotografie, obrázku nebo přehrání hudebního souboru. Pokud otevřete v počítači obrázek, který má v sobě zakódovanou sekvenci, tak proces otevření obrázku spustí na úrovni IME event a následně proces vnitřního přerušení, IME CPU získá přístup přes DMA do paměti bez asistence mateřského CPU, alokuje si kopii grafického bufferu, proskenuje obrázek a pokud najde spouštěcí značku, dekryptuje úsek a spustí ho na úrovni IME. To všechno proběhne v rámci zamknutého cyklu odděleného CPU chipsetu ve vnitřním přerušení, kdy celý operační systém Windows (nebo jakýkoliv jiný) běží v jiném cyklu mateřské CPU fronty. Dá se to přirovnat k situaci, že byste měřili rychlost volnoběžných otáček nastartovaného motoru v autě sledováním otáček kol zaparkovaného auta. Kola se netočí, ale motor ano. Ghost mode je na tom stejně, běží skrytě, zatímco vy v debuggeru ve Windows nic nevidíte, že by se provádělo něco za operace.
Socket a procesor Intel Core i7.

Je mi jasné, že tento článek může vyvolat určitou a zcela oprávněnou obavu, ale nabídnu Vám zároveň i řešení. Výkonný zakryptovaný kód tajných služeb se dostává do programu pouze s komerčními programy, ke kterým výrobci neposkytují zdrojové kódy. Pokud si zkompilujete sami operační systém (Linux) a budete instalovat jen open source programy, které si sami budete u sebe doma kompilovat, měli byste být v bezpečí. Ovšem budete se muset obejít bez připojení na síť internet. Protože IME je plnohodnotný OS a umí komunikovat přes síťové karty, je reálná hrozba zatažení programů do Vašeho počítače bez Vašeho vědomí. CPU si samo skrze IME stáhne do počítače malware ze serverů CIA a NSA. Kvůli IME není bezpečný ani TOR Browser, ani Tails! Interpretr IME je přítomný v procesorech INTEL až od platformy Intel Core „i“, starší procesory Core 2 (Duo/Quad) nemají programovatelný manager na úrovni CPU, ale to neznamená, že nemají v sobě backdoor jiného typu. Wikileaks zatím neuveřejnili všechno, na to si dejte bacha.
Odinovo oko nedohlédne snad jedině na Elbrus

Jediným řešením bezpečnosti je nepoužívat hw platformu INTEL a s největší pravděpodobností ani AMD, protože to je také americká firma a procesory AMD také používají v procesorech vlastní programovou vrstvu. Stojí za to uvažovat o ruských procesorech třídy Elbrus [6], ale to je exotika, to uznávám. Na závěr tohoto článku připojím překlad z dokumentu z 4Chanu, kde pracovník INTELu popisuje spolupráci se CIA na programu ODIN’S EYE, jehož součástí byla spolupráci CIA a INTELu na vytvoření zranitelností a backdoorů v čipu IME, skrze které byl podle tohoto svědka odposloucháván i Donald Trump.
Inženýr INTELu odhaluje zákulisí práce pro CIA
Informace o projektu CIA Odin’s Eye na 4Chanu.

Začátek překladu: Pracuji v Intelu již 15 let jako elektroinženýr. Před 3 lety mně začala práce nudit a rozhodl jsem se přesunout do jiného oddělení. INTEL je docela fajn, že nechává zaměstnance v rámci společnosti přecházet mezi odděleními. Otevřelo se místo v týmu Management Engine, a protože jsem měl zkušenosti s mikroovladači, rozhodl jsem se, že to zkusím. Rozhovor proběhl skvěle a chtěli mně do týmu, ale posledním krokem bylo získat bezpečnostní prověrku.

Zeptal jsem se jich, na co k sakru potřebuji prověrku a řekli mi, že mi to nemůžou říct, dokud nebudu součástí týmu. A tak začal můj 3-letý výlet do králičí nory.

Předstupuji dnes kvůli zprávám, že špehovali Donalda Trumpa. Vím přesně, jak to udělali, protože jsem strávil poslední 3 roky přidáváním backdoorů do Management Enginu. Pro ty z vás, kteří to neví, IME běží na odděleném procesoru a nelze ho vypnout a existuje na úrovni pod operačním systémem (pozn. deep root, ring -255). INTEL pracuje dlouhá léta s lidmi ze špionáže, aby dostali do fyzického hardwaru zadní vrátka, aby se nemuseli starat o hledání zranitelností v operačních systémech. Pokud je kompromitovaný hardware, celý stroj je kompromitovaný.
Spolupráce Intelu a CIA nikoho nepřekvapí.

IME má plný přístup k paměti (pozn. unrestricted full DMA), aniž by o tom vědělo mateřské CPU. Má plný přístup k TCP/IP stacku a plný přístup ke každému perifernímu zařízení připojenému k počítači. IME běží, i když počítač je v hibernačním módu. Nezáleží na tom, jestli používáte Windows, Linux, Mac OS X, Whonix, Tails, Qubes nebo Subgraph. Pokud máte procesor řady INTEL i3, i5 nebo i7, tajné služby vás mají.

Přidali jsme podobnou funkcionalitu do projektu Samsung WEEPING ANGEL s výjimkou toho, že lidi ze špionáže nazývají náš program ODIN’S EYE. Skrze IME umíme aktivovat mikrofon a kameru, přestože se počítač tváří, že je uspaný, nebo vypnutý.

Důkazy o sledování Trumpa, jeho rodiny a klíčových lidí jeho kampaně se jednou objeví. Vím, že sledování (Trumpa) se fakticky stalo. Další leaky jsou na cestě, sledujte ODIN’S EYE. (Konec překladu).

zdroj:
http://aeronet.cz/news/odins-eye-vime-jak-odposlouchavali-donalda-trumpa-procesory-intel-maji-na-urovni-hardwaru-backdoor-instalovany-primo-vyrobcem-ve-spolupraci-se-cia-firewally-i-antiviry-jsou-ze-hry-ven/

Admin
Admin

Počet príspevkov : 32
Join date : 15.07.2014

Zobrazit informácie o autorovi http://servis.forumsk.com

Návrat hore Goto down

Zobraziť predchádzajúcu tému Zobraziť nasledujúcu tému Návrat hore


 
Povolenie tohoto fóra:
Nemôžete odpovedať na témy v tomto fóre.