Los sistemas Intel x86 esconden un sistema autónomo en su interior

Escrito por Rodrigo Alonso

En un artículo publicado por el investigador independiente Damien Zammit en el día de ayer, se asegura que los procesadores x86 de Intel “esconden” en secreto un potente mecanismo de control que funciona de manera autónoma al procesador en sí, y que no solo está diseñado para ser inviolable, sino que además funciona aunque tengamos el ordenador apagado.

Parece terrorífico, pero tras leer el artículo he quedado, personalmente, convencido. Voy a hacer un resumen y tratar de explicarlo lo mejor que pueda, pero si domináis el inglés os recomiendo leer también el artículo original publicado ayer para tener todos los detalles de ésta investigación, una investigación de la que a buen seguro Intel tendrá que responder.

El Intel Management Engine: qué es y cómo funciona

El Intel Management Engine (lo llamaremos “ME” durante éste artículo para abreviar) es un subsistema compuesto por un microprocesador especial ARC de 32 bit que está físicamente ubicado en el chipset de la placa (chipsets que fabrica Intel y que suministra a los fabricantes de placas). Éste ME es un pequeño ordenador en sí que funciona con su propio firmware, y se vende como un sistema para despliegues empresariales en masa.

Cuando compras un sistema Intel, con su placa base y su procesador, también estás comprando éste añadido, un microprocesador que controla la propia CPU principal. Es capaz de funcionar de manera independiente, lo que significa que incluso con el ordenador apagado o en modo S3 (suspensión) puede hacer su trabajo. De hecho, en el artículo aseguran que en algunos chipsets el firmware del ME utiliza un sistema llamado “Intel Active Management Technology” (AMT), totalmente transparente para el sistema operativo, lo que significa que puede hacer su trabajo independientemente de si tenemos Windows, Linux, OSX, e incluso FreeDOS u otros.

El propósito de AMT es el de proporcionar una manera a los administradores de sistemas de las empresas de administrar éstos equipos de manera remota. Para lograrlo, claro, el ME es capaz de acceder a cualquier región de la memoria del sistema sin tener que “consultar” al procesador, y cuenta con un pequeño servidor TCP/IP que enlaza a la tarjeta de red del equipo, lo que significa que puede “salir al exterior”. Además, aseguran en el artículo que es capaz de saltarse cualquier restricción de puertos o firewall que haya en la red, pues el objetivo es, repetimos, que un administrador de sistemas pueda acceder al equipo independientemente de su estado o localización.

Intelme

Esto es una clara ventaja en un entorno empresarial, pero lo malo es que el ME y el AMT están incluidos en todos los procesadores de Intel desde los primeros Core 2 Duo, incluyendo los domésticos. Y claro, es una puerta abierta que puede tener serias consecuencias, y de hecho el ME de Intel está clasificado como “Ring -3” por los analistas de seguridad. Para que os hagáis una idea, en ésta clasificación de “anillos”, un nivel 3 afecta al usuario, un nivel 0 afectaría al kernel del sistema, mientras que el -1 afectaría al hypervisor, y el -2 directamente al procesador en modo SMM (System Management Mode). El nivel -3 es todavía más profundo. Si os interesa os animamos a leer el documento enlazado en éste párrafo.

Eso sí, para salvaguardar de alguna manera la privacidad de los datos, el firmware del ME se encarga de cifrarlo con un algoritmo RSA de 2048 bits, aunque algunos investigadores ya han sido capaces de explotar ésta vulnerabilidad y tomar el control de un sistema con procesador Intel “por las buenas” y a bajo nivel. Es, desde luego, un agujero de seguridad de proporciones gigantes.

Es un sistema inviolable

Además, por lo que comentan, el ME no puede desactivarse en procesadores a partir de la primera generación de Intel Core, es decir, los Nehalem que vinieron después de los primeros Intel Core 2 Series. Los sistemas Intel están diseñados para tener el ME, y de hecho si se intenta hacer algo con su firmware, el sistema no arrancará (por eso dijimos al principio que es inviolable).

Así pues, aseguran que no hay manera de desactivar el ME en los procesadores. Dicen que Intel mantiene la mayoría de detalles de éste sistema en absoluto secreto, y que no hay absolutamente ninguna manera de saber si la seguridad del ME se ha visto comprometida o si ha habido accesos no autorizados a los parámetros del procesador principal. De igual manera, no se puede saber si ha habido accesos a través de ese protocolo TCP/IP a nuestro sistema, y de si se nos ha infectado a través de éste medio. Hola, NSA.

NSA

Conclusión

En conclusión, Intel integra un sistema en todos sus procesadores modernos que funciona de manera independiente y que abre una puerta enorme a accesos externos, incluso con el equipo apagado. La compañía no ha publicado absolutamente nada sobre éste ME, y no hay más detalles que los que han logrado sacar los analistas de seguridad. Las cosas se ponen peor, por cierto, en los últimos sistemas de Intel que van en formato SoC, pues el chipset va integrado en el propio procesador.

Personalmente, me parece correcto tener un sistema como éste en un ámbito empresarial pues si se le dan las herramientas de software adecuadas a un administrador de sistemas para sacarle ventaja puede ser muy provechoso, pero es absolutamente terrible que Intel lo incorpore en todos sus procesadores de manera indiscriminada. De hecho, en el artículo se refieren a éste sistema ME como “Damagement Engine” (motor de daños), pues es sin lugar a dudas un potencial daño a nuestra seguridad y privacidad.

Esperamos que Intel se pronuncie al respecto. Y antes de que lo preguntéis, no hay indicios de que los procesadores AMD tengan un sistema similar.

Artículo completo publicado en Boingboing.net

Continúa leyendo
  • claublog

    ¿Y qué se debe hacer para acceder remotamente a nuestro PC por Intel Management Engine?

    • Hachazos

      Eso me gustaría saber. Así puedo conectarme a mi ordenador en casa desde el trabajo xD

      • claublog

        Yo ya lo hago (incluso estando apagado) pero me despierta curiosidad ver hasta qué punto esto es un mito o no

    • Juanjo
      • claublog

        eso es como actualizar su firmware, no como usarlo

    • Pepito Grillo

      La tecnología Intel vPro es una plataforma de tecnología que incluye
      diversas características, como Intel Active Management Technology (Intel
      AMT) e Intel Virtualization Technology (Intel VT).

      Las características
      de Intel AMT se integran en determinados dispositivos de conjuntos de
      chips de Intel.

      Intel AMT está pensada principalmente para clientes
      corporativos.

      Intel AMT permite la administración avanzada de
      plataformas de clientes.

      Esta tecnología permite a los departamentos de
      TI administrar equipos desde una consola remota.

      • claublog

        ¿Vas a venderme un lavavajillas o a responder la pregunta?

        • Pepito Grillo

          Lo siento, pero no soy ingeniero, ni se como hacerlo.

          Pero de haber sabido antes de que eras un gañán, ni tan siquiera me hubiese molestado en buscar información para dartela en bandeja.

          Espero que tu futuro sea tan amable contigo como tu amarga respuesta.

          https://uploads.disquscdn.com/images/e0843118af6ff378e9617e0c784ebd3c91af3ba25e17eaf61f8d3569ff86b389.jpg

          • claublog

            Pues yo si soy ingeniero y me gustaría decir unas cuantas cosas viendo la de comentarios ignorantes que hay por aqui:

            1. Esto no tiene nada que ver con la NSA ni espionaje. Es una herramienta de la que todo usuario puede sacar provecho. Si esta al alcance de todos no es ningun estafa.

            2. Intel nunca ha escondido para qué sirve esta herramienta. La podemos encontrar en la BIOS y en los controladores disponibles para nuestra CPU. Seguramente hayan empresas que llevan años utilizándola. Los tontos somos nosotros por darnos cuenta de eso ahora y hacernos una paranoia con que eso es para espiarnos.

            3. Sigo sin saber como se puede acceder a esta herramienta, pero imagino que lo que hace es convertir nuestro PC en una especie de servidor. Por lo tanto, para que Intel o la NSA pudiera acceder al nuestro PC, debe saber nuestra IP pública y nosotros tener abiertos los puertos que utiliza esta herramienta en nuestro router (algo que muy pocos hacemos). Es muy improbable que estas dos condiciones se den.

  • claublog

    La forma de tapar la vulnerabilidad es desactivando la alimentación de energía en S3 en la BIOS

    • Hachazos

      No, según dicen ésto funciona incluso cuando está apagado el equipo, no solo en S3 (suspensión). Además, y cuando lo tienes encendido qué?

  • Un sexto sentido siempre me ha guiado a no querer procesadores Intel … Alguien duda que la NSA no utiliza esto para espiar a todo el mundo … ¡Y no pasa nada! Por supuesto los malos siguen siendo Corea del Norte, los rusos, Venezuela, los chinos y los cubanos … ¡manda huevos!

    • Hodem

      si, es verdad, todos sabemos que Corea del Norte, Rusia, Venezuela, China y Cuba son ángeles de luz y seres maravillosos

  • Hachazos

    Muy buen artículo. Y no sé por qué pero creo que muchos ya sospechábamos que algo así terminaría saliendo a la luz.

  • Luis

    Que bueno que tengo AMD

    • Pepito Grillo

      MWAHAHAHAHAHAHAH

  • Mariano Vargas

    al miierrr…. querias teorías conspirativas !!!!

  • noimporta

    Con razón los procesadores Intel son más caros que los de AMD, porque llevan un procesador adicional.

    • Ariel Mansur

      No porque viene en el chipset, en el mother.. la diferencia de precios en el procesador es porque son generalmente bestialmente mas eficientes y avanzados, no olvidemos que amd no sacaba procesadores nuevos desde hace casi 5 años, recién con zen vuelven al juego.

      • Fede

        La diferencia de precio también se da porque Intel infla los precios, porque su precio rendimiento es más bajo que el de AMD

  • fulanodetal

    Que podemos esperar de los judios de Intel?
    AMD es siempre mejor, siempre.

    • ¿Judíos? xD

    • Pepito Grillo

      x’D

    • FranCañon

      AmD también es Norteamericana….Así Que…Si bien, no tiene la misma filosofía de empresa que INtel o Nvidia.Pero yo en casos de este tipo, no pongo la mano en el fuego por ninguna empresa.

  • Lord Xamon

    Vaya por dios, y pensar que tras usar toda la vida AMD me dio por renovar el pc con un i5…

  • Igel

    Decepcionante Intel, pensé en renovar mi próximo equipo con Intel, pero visto lo visto…..hasta nunca Intel.

  • xab

    NO es ningún secreto que las multinacionales sirven de plataforma legal a las agencias de inteligencia de muchos países.para espiar empresas,personas o a al camarero que vive al lado nuestra, y en este caso concreto, intel le deja la llave debajo del felpudo a la CIA, para cuando le interese, meterse en nuestros PC …¡¡a robarnos el Porno¡¡Malditos¡xD

    • Ricky

      XD HAY QUE DEFENDER NUESTRO PORNO

  • Ricky

    Esta mierda no puede ser, con razon AMD ha estado K:O: durante toda la decada, ya que intel tiene el patrocinio de las agencias ocultas del gobierno de EU, NSA etc……A TODOS A COMPRAR AMD ZEN EN NOVIEMBRE, TIREN A LA BASURA ESOS BACKDOORS LLAMADOS CORE i

  • Simkin

    Jajajajjaa.. Esto no es nuevo. Hace ya tiempo que como administrador de sistema se pueden lanzar paquetea a los pc’s apagados. Solo que ahora al hacerlo ya no los enciendes. Sino que tienes un doble processdor. Solucion inteligente. Creo recordar que AMD tiene algo parecido. Antes ( hace 8años) cuando currava para una multinacional española de tecnico de sistemas, usabamos algo parrcido para instalar remotamente updates y cambios en los pc. No descubriste la sop de ajo, solo una recetq mejorada…