Forse hai un malware sulla scheda-madre e non lo sai
In tempi nei quali si punta con decisione il dito addosso a FBI, NSA e governi, seminando il terrore per la privacy degli utenti, pare essere passata sottotraccia una minaccia più tangibile e pericolosa. Perché non ha a che fare con qualche diabolico ente governativo, o qualche software esotico che “potrebbe” venire installato nel nostro smartphone: è già bella che installata nei nostri computer.
A lanciare l’allarme è Damien Zammit, un ricercatore indipendente che ha messo in luce una magagna poco nota dei più recenti processori Intel.
In buona sostanza, il dito è puntato contro l’Intel Management Engine, o ME, cioè un sotto-sistema, dotato di un proprio processore e sistema operativo, installato nelle schede madri basate su chipset Intel. Un piccolo computer nel computer. In soldoni, buona parte delle schede madri dove sono installati processori Intel. L’ME rientra in una tecnologia più ampia, l’Intel Active Management Technology (AMT) che, sulla carta, serve per il controllo, la gestione, l’aggiornamento e la riparazione, da remoto, di un computer. Essendo una soluzione basata su componenti hardware, e non solo su semplici software, è indipendente da svariati fattori: per esempio, dal sistema operativo installato nel computer, e da buona parte dei software di sicurezza. In questo modo, in caso di problemi al computer, è possibile sfruttare una connessione di rete per prenderne il controllo e sistemarlo.
Da buono a malware, il passo è breve
Si tratta, a tutti gli effetti, di una tecnologia sopraffina, che garantisce di agire liberamente su un computer in caso di difficoltà, arrivando addirittura ad agire su particolari zone di memoria senza nemmeno che il processore centrale del computer lo rilevi. Capite bene, tuttavia, che questo comportamento ricorda da vicino pure quello di un malware. Stando ai ricercatori Alexander Tereshkin e Rafal Wojtczuk, il Management Engine potrebbe essere convertito proprio in un malware, sostituendo il suo sistema operativo proprietario (il firmware) con uno modificato ad hoc. Una tecnologia nata per scopi del tutto legittimi, diventa così un varco per ogni genere di attacco.
Ora, dato che a Intel non sono esattamente degli stupidi, gli ingegneri hanno protetto il firmare del ME con un sistema crittografico RSA 2048, cioè uno dei più sicuri al mondo. Peccato che Tereshkin e Wojtczuk abbiano trovato il modo di scardinarlo, in soldoni, aggiornando il firmware. Un progetto ancora in fase di realizzazione, ma con buone e precise idee alle spalle. Ad aggravare la situazione, il fatto che la tecnologia ME, da qualche tempo, non è disattivabile. Né il sistema operativo del computer, o il processore, per i motivi suddetti è in grado di rilevare se il famigerato chipset sia stato compromesso in qualche modo. In pratica, il computer rischia di covare, al suo interno, un malware “legittimo”, dotando il criminale di turno di tutti i comfort che può desiderare.
Nel frattempo si è trovata una tecnica, un exploit, per far eseguire un rootkit, cioè un malware, capace di attaccare il ME dei chipset Q35. S tratta di chipset ancora molto diffusi, sebbene i nuovi Q45, che li sostituiscono, hanno eliminato il problema e quindi l’efficacia dell’exploit. Ma chissà se qualche hacker non sia al lavoro per svilupparne di nuovi e arrembanti.
Segreto non significa sicuro
Intel, infatti, non ha svelato molti dettagli sul suo Management Engine, violando una delle sacre regole della sicurezza informatica: tenere nascosta una tecnologia è uno dei metodi peggiori per proteggerla. Per contro, infatti, i ricercatori faticano a trovarne vulnerabilità e relative soluzioni. Al momento, quelli che lavorano sull’analisi di ME, hanno rilevato che la tecnologia è ben protetta, ma la parte critica del firmware è memorizzata utilizzando un formato compresso, sconosciuto, che sono stati in grado di decomprimere.
Mentre i lavori proseguono per comprendere meglio le debolezze del ME, e cercare di tapparle in qualche modo, ci si chiede se, a livello progettuale, non si poteva fare qualcosa di più… o di meno.Un Management Engine più moderato, magari senza possibilità di sfruttare la connessione di rete, ma che agisse da “sistema di recupero” in caso di grossi guai, sarebbe stato forse meno coreografico ma anche più sicuro. Niente e nessuno, infatti, può escludere che qualche gruppo di criminali informatici stia già sfruttando una vulnerabilità del ME per mettere a segno qualche attacco. (fonte)
