En intern gjennomgang hos Intel viser at mikrokontrollerne på prosessorene deres er fulle av feil. Sårbarhetene kan gi personer med onde hensikter tilgang.
Det er snakk om Intel Management Engine (ME), Intel Trusted Execution Engine (TXE) og Intel Server Platform Services (SPS) som er utsatt for sårbarheter.
Fulle av småfeil
– Som en respons til svakhetene som har blitt identifisert av eksterne sikkerhetsforskere har vi i Intel foretatt en dyptgående analyse av disse tjenestene, skriver prosessorselskapet i en sikkerhetsmelding.
Den interne gjennomgangen viser at en stor mengde av Intels prosessorer kjøre kode på fastvare-nivå som er fulle av småfeil.
Dermed er det mulig å få adgang til systemet før sikkerhetsprogramvare i det hele tatt har fått tid til å starte opp.
Passord og krypteringsnøkler
Ondsinnet programkode kan derfor kjøre under operativsystemet, og få tilgang på konfidensiell informasjon fra datamaskinens minne - som eksempelvis passord eller krypteringsnøkler, konkluderer Intels interne gransking.
Dette er spesielt dårlig nytt for servere som kjører på de berørte prosessorene, skriver The Register.
Intel anbefaler nå alle å ta nødvendige forholdsregler.
Google er spesielt interessert i sårbarhetene som er funnet i ME, og ønsker å fjerne hele det underliggende systemet fra sine serverparker, skrev digi.no i starten av november.
Minix 3
Men dette er ikke bare enkelt. Systemene er helt avhengige av deler av funksjonaliteten som ME tilby. Så i stedet for å fjerne ME, må det erstattes av noe annet.
Intels Management Engine kjører på operativsystemet Minix 3 som er et Unix-lignendeoperativsystem som ble lagd av forskeren Andrew S. Tanenbaum i undervisningsøyemed.
Den første versjonen kom i 1987. Trolig har mange norske informatikkstudenter vært borti det. Linus Torvalds skal ha vært inspirert av designprinsippene i Minix da han skapte Linux.
Skal avsløre en rekke sårbarheter i ME
Med Minix 3, som opprinnelig kom i 2005, ble formålet med programvaren endret å tilby et svært pålitelig operativsystem, noe som i utgangspunktet er bra, siden det i praksis har full tilgang til alt som skjer på datamaskinen.
I utgangspunktet er Minix 3 utgitt med en BSD-lisens. Så kildekoden til operativsystemet er i utgangspunktet åpen og tilgjengelig. Men BSD-lisensiert programvaren kan inkluderes i proprietær programvare. Hvilke endringer Intel har gjort med Minix 3 før det ble satt til å kontrollere ME, er ukjent, da kildekoden til dette ikke er åpen.
Det britiske sikkerhetsfirmaet Positive Technologies har tidligere annonsert at de skal avsløre en rekke sårbarheter i ME i løpet av desember.
