Zero
Inoltre, grazie alla Minnich e i suoi colleghi ricercatori, MINIX è in esecuzione su tre distinti core x86 su i chip moderni. C’è, è in esecuzione:
TCP/IP stack di rete (4 e 6)File systemsDrivers (disco, rete, USB, mouse, Web server
MINIX ha anche accesso alla tua password. È inoltre possibile ripristinare firmware del computer, anche se è spento. Lasciatemelo ripetere. Se il vostro computer è “off”, ma ancora collegato, MINIX può potenzialmente cambiare il vostro computer è fondamentale impostazioni.
E, per divertirsi ancora di più, è “in grado di implementare self-modifica del codice che può persistere anche dopo lo spegnimento”. Così, se un exploit che succede qui, anche se si scollega il vostro server in un ultimo disperato tentativo di salvarlo, l’attacco sarà ancora lì in attesa per voi quando si plug-in.
Come? MINIX può fare tutto questo, perché si corre ad un grado più basso livello.
computer con processore x86 di eseguire il loro software a diversi livelli di privilegio o di “anelli”. I vostri programmi eseguire all’anello di tre, e hanno meno accesso all’hardware. Più il numero è basso il programma viene eseguito, il più accesso all’hardware. Anelli di due e non tendono ad essere utilizzati. Sistemi operativi in esecuzione sul ring zero. Bare-metal hypervisor, come Xen, eseguire sul ring -1. Unified Extensible Firmware Interface (UEFI) corre sul ring -2. MINIX? Si corre sul ring -3.
Che non si può vedere. Non si può controllare tutto. È solo ronzio di distanza, in esecuzione del tuo computer. Il risultato, secondo Minnich è “non ci sono grosse buche giganti che la gente può guidare exploit”. Ha continuato, “Sono spaventato ancora? Se non siete spaventati ancora, forse non mi sono spiegato molto bene, perché io sono sicuro di paura.”
Qual è la soluzione? Beh, non “Passare a AMD”. Una volta, i chip AMD non ha questo tipo di codice del mistero nascosto all’interno, ma anche l’ultima Ryzen processori non sono totalmente aperto. Essi comprendono la piattaforma AMD processo di sicurezza e che è anche una misteriosa scatola nera.
Cosa Minnich piacerebbe vedere accadere è per Intel per diffondere il MINIX codice e open source, basato su Linux, firmware. Questo sarebbe molto più sicuro. Il software attuale è solo protetti da “security by obscurity”.
La modifica per Linux sarebbe anche attivare i server di avvio molto più veloce. Secondo Minnich, l’avvio di un Progetto Open Compute (OCP) Server impiega otto minuti grazie a MINIX primitivo di driver. Con Linux ci vorrebbe meno di 17 secondi per arrivare al prompt della shell. Questo è un aumento di velocità di 32 volte.
Non c’è alcun motivo per non fare di questo miglioramento. Minnich notato che “probabilmente Ci sono 30 milioni di euro-plus Chromebook là fuori, e quando il tuo Chromebook arriva un nuovo BIOS, una nuova immagine di Linux è balenato per il firmware e non ho sentito di problemi.”
In particolare, Minnich propone di Intel e AMD per quella materia:
Rendere il firmware meno in grado di fare harmMake le sue azioni più visibleRemove come molti componenti di runtime come possibleIn particolare, togliere il suo web server e IP stackRemove UEFI stack IP e altri driversRemove ME/UEFI self-reflash capabilityLet Linux gestire gli aggiornamenti flash
Oltre a questo, il nuovo firmware Linux sarebbe un userspace scritto in Go. Gli utenti di lavorare con questa shell di Linux con i familiari dei comandi. Questo darebbe loro una visione chiara di ciò che stava accadendo con la CPU e altri componenti del sistema.
Allo stesso tempo, poiché UEFI è così facile da hackerare, vuole il “UEFI ROM ridotto alla sua più parti di base”.
Sarà questo lavoro? Siamo ancora agli inizi, Minnich avvertito, e si può girare “il vostro computer portatile in un mattone”. Ma sia per la sicurezza e le prestazioni, si deve fare.
È pulito che un oscuro Unix come MINIX, grazie alla tecnologia Intel di mettere su più core, che nel suo chip, potrebbe essere il sistema operativo più utilizzato. Ma non è un modo per eseguire moderni server e Pc.
Storie Correlate:
I ricercatori dicono che Intel Management Engine funzione può essere attivata offIntel chip vulnerabilità consente agli hacker facilmente dirottare flotte di PCsIntel AMT vulnerabilità colpisce business chips, a partire dal 2008
Argomenti Correlati:
Centri Dati
Cloud
Big Data Analytics
L’innovazione
Tecnologia e Lavoro
Collaborazione
0