Человеческая цивилизация крайне несовершенна, и из всех возможных путей развития событий всегда выбирает худшие. Причём каждый конкретный человек в каждый конкретный момент времени, быть может, и не хочет ничего такого плохого, но в совокупности маленькие действия складываются в одну большую беду, которую с некоторого момента уже не остановить. И кто-то оказывается в тюрьме, из которой выдачи нет, где-то открывают стрельбу, в ответ на которую открывается другая стрельба, а где-то ломается какая-нибудь ерундовина, и цепная реакция на поломку обесточивает или лишает связи огромные мегаполисы. Это всё реальные примеры ситуаций, произошедших за последние недели. И поэтому ожидать какого-то положительного развития любой из ситуаций адекватному этому миру человеку никак не приходится. Наоборот - надо бдить.
Вот уже несколько лет известно о наличии в чипсете производства компании Intel таинственного Management Engine. Чипсет Intel - это набор микросхем, из которых строится практически любой компьютер на нашей планете.
И на каждом из этих компьютеров присутствует этот самый Management Engine.
Долгое время о том, как устроена эта штука, было практически ничего не известно. Но было известно, что она имеет доступ ко всему оборудованию компьютера в обход ограничений операционной системы.
Ну, то есть вы можете настраивать разные уровни доступа в своей Windows сколько хотите, но в компьютере есть устройство, доступное из сети (!), которого никакие эти уровни доступа не касаются.На днях группа русских программистов опубликовала статью об исследовании исполняемого кода Management Engine, который им удалось расшифровать. И выяснились удивительные вещи. Во-первых, он основан на аппаратном ядре старого доброго процессора Intel 486, работающего под управлением доработанной операционной системы MINIX. Для тех, кто не сразу воспринимает все эти слова, поясню:
в вашем компьютере есть встроенная в материнскую плату операционная система, работающая на отдельном процессоре. Которая начинает работать не только до того, как загрузится операционная система, в которой вы работаете, но ещё даже до того, как будет запущен основной процессор. Теоретически она может работать на плате вообще без процессора, а прямо при подаче напряжения. И это совершенно не зависит от того, какая у вас основная операционная система - Windows, Mac OS или Linux.
А во-вторых, русские программисты обнаружили, что функциональностью Management Engine можно управлять с помощью флага, называемого reserve_hap. Возле этого флага было обнаружено пояснение High Assurance Platform (HAP) enable.
Оказалось, что High Assurance Platform - это программа Агентства национальной безопасности США по созданию компьютерной платформы, способной выполнять строгие требования по секретности. Создание платформы, которой можно доверять. Установка флага HAP вводит Management Engine в режим, при котором он перестаёт работать.
Теперь объясняю помедленнее и на пальцах. В вашем компьютере существует ещё один встроенный компьютер, имеющий полный доступ к любому оборудованию и всей памяти в обход вашей основной операционной системы. Агентство национальной безопасности США имеет возможность отключить этот механизм на произвольном компьютере.
Программисты, которые всё это раскопали, написали письмо в Intel. И в Intel им ответили, что режим HAP был введён «по просьбе производителей оборудования для поддержки требований их клиентов по соответствию программе правительства США High Assurance Platform». И Intel официально не поддерживает этот режим работы (то есть неработы) Management Engine.
Программисты написали, что, по их мнению, введение режима HAP - «удовлетворение обычной просьбы любой правительственной службы, которая хочет уменьшить вероятность утечки по побочным каналам». И я бы с готовностью с ними согласился.
Но в мире всё всегда развивается по худшему из сценариев. Мы знаем о том, как АНБ следило за гражданами США и лидерами других стран, включая своих союзников. Нам очень многое рассказал Сноуден.
А теперь мы видим реальный механизм воздействия на функциональность любого (!) компьютера на чипсете Intel, добавленный производителем чипсета по просьбе Агентства национальной безопасности. Это - «обычная просьба»? Да как бы не так.Management Engine может позволить себе очень многое. Его возможности по управлению компьютером неограниченны. И когда ты имеешь возможность отключать его на одних компьютерах и не отключать на других, ты получаешь в своё распоряжение мощнейший инструмент, способный радикальным образом изменить расклад сил в будущей кибервойне.
И вот когда узнаёшь что-нибудь подобное, то вся эта истерия с «русскими хакерами» начинает приобретать совсем другой смысл. Охота за нашими программистами по всему миру, судя по всему, имеет простой утилитарный смысл - чтобы они не совали свой нос куда не надо. Умные слишком. И слишком многое знают. Кстати, один из тех, кто приложил руку к расшифровке исходного кода Management Engine, - Дмитрий Скляров, которого 16 лет назад ФБР арестовала на конференции DEFCON после того, как он продемонстрировал полную незащищённость популярного формата PDF. Тогда поднялся большой скандал, Склярова пришлось отпустить и впоследствии признать невиновным во взломе защиты PDF. Увы, теперь никаких больших скандалов при похищениях американцами наших программистов уже не происходит. И как бы нам не остаться совсем без тех, кто способен прояснять некоторые тёмные стороны техники, которую мы используем повседневно. И которой слишком многое доверяем.
Комментарий: Читайте также: Познавательное выступление И.С. Ашманова о шпионаже за нами через технологию БПД