El experto en seguridad Damien Zammit dice que los CPUs x86 mas actuales de Intel vienen con un subsistema secreto que funciona como un CPU independiente de tu CPU y que este no puede ser desactivado, y nadie puede revisar su código al ser cerrado y propietario.
El llamado Intel Management Engine (ME), se encuentra embebido dentro del chipset x86, donde corre en su propio firmware de código cerrado. Intel dice que el ME fue diseñado para que grandes compañías pudieran manejar los computadores de forma remota, con un costo agregado, a través de AMT o Active Management Technology.
Zammit explica que AMT corre independientemente de cualquier OS que el usuario pueda instalar, permitiendo el acceso a computadores en cualquier escenario.
Intel ME configura un servidor TCP/IP, y accesa a la memoria a escondidas
En orden para que AMT tenga todas estas características de administración, la plataforma ME accederá a cualquier porción de memoria sin el conocimiento del CPU x86 y de pasada configurar un servidor TCP/IP en la interfaz de red. Zammit agrega que este servidor puede enviar y recibir trafico sin importar si el OS tenga un firewall o no.
Hay algunos problemas que Zammit detalla. Primero es que nadie fuera de los cuarteles generales de Intel ha visto el código fuente de la plataforma ME. Luego, el firmware ME está firmado cryptográficamente con una llave RSA 2048 que, literalmente, no puede ser rota por fuerza bruta en una vida humana o quizá más tiempo. El tercer obstáculo es que en algunas series de CPUs Intel, el ME no puede ser desactivado por que el CPU se negara a bootear. Y el cuarto problema es que no hay forma de auditar la salud del firmware ME. Un Investigador de seguridad no podría buscar backdoors de la NSA, ni tampoco verificar si el CPU de su PC está comprometido por algún rootkit.
“Intel ME: ¿El backdoor perfecto o el rootkit irremovible?
Zammit afirma que nadie tiene acceso a este CPU dentro del CPU principal, excepto los ingenieros de Intel.
Una gran porción del modelo de seguridad de ME es “seguridad por oscuridad”, una practica que muchos analistas la tildan como el peor modelo de seguridad. Si los secretos de ME son comprometidos (y que eventualmente lo serán por analistas o entidades maliciosas), todo el modelo de seguridad de ME se derrumbará, exponiendo a cualquier sistema Intel a los peores rootkits imaginables.
Analistas de seguridad han mostrado anteriormente el problema de código oculto en firmwares de Intel en el pasado, pero esto fue en el protocolo IPMI, el predecesor del actual AMT incluido en ME.
Fuente: Softpedia