Nul
Desuden, takket være Minnich og hans kolleger forskernes arbejde, MINIX kører på tre separate x86-kerner på moderne chips. Der, det kører:
TCP/IP-netværk stakke (4 og 6)Fil systemsDrivers (disk, netto, USB, mus)Web-servere
MINIX også har adgang til dine adgangskoder. Det kan også reimage computerens firmware, selvom det er slukket. Lad mig gentage det. Hvis din computer er “off”, men stadig er tilsluttet, MINIX stadig kan potentielt ændre computerens grundlæggende indstillinger.
Og for endnu mere sjov, det “kan gennemføre selv ændre koden, der kan eksistere på tværs af power-cykler”. Så, hvis en udnyttelse, der sker her, selv hvis du trækker din server i et sidste desperat forsøg på at redde det, at angrebet vil stadig være der venter på dig, når du sætter det tilbage.
Hvordan? MINIX kan gøre alt dette, fordi det kører på en grundlæggende lavere niveau.
x86-baserede computere, der kører deres software på de forskellige rettighedsniveauer eller “ringe”. Dine programmer til at køre i ring tre, og de har mindst adgang til hardware. Jo lavere din programmet kører på, jo mere adgang har de til hardware. Ringe to, og den ene ikke har tendens til at blive brugt. Operativsystemer køre på ring nul. Bare-metal hypervisors, som Xen, køre på ring -1. Unified Extensible Firmware Interface (UEFI) kører på ring -2. MINIX? Det kører på ring -3.
Du kan ikke se det. Du kan ikke styre det. Det er bare nynne væk der, kører din computer. Resultatet, ifølge Minnich er “der er stor kæmpe huller, at folk kan køre udnytter igennem.” Fortsatte han, “Er du bange endnu? Hvis du er ikke bange endnu, måske har jeg ikke forklare det meget godt, fordi jeg sikker på jeg er bange for.”
Hvad er løsningen? Tja, det er ikke “Skifte til AMD-chips”. En gang, AMD-chips ikke har denne form for mystik kode skjult inde i det, men selv de nyeste Ryzen processorer, som ikke er helt åbne. De omfatter den AMD platform security proces, og det er også en mystisk sort boks.
Hvad Minnich gerne vil se ske, er for Intel til at dumpe sine MINIX-kode og bruge en open-source Linux-baseret firmware. Dette ville være meget mere sikker. Den nuværende software er kun sikret ved “sikkerhed ved ubemærkethed”.
At skifte til Linux vil også gøre det muligt at servere til at starte meget hurtigere. Ifølge Minnich, opstart af en Open Compute Project (OCP) Server tager otte minutter takket være MINIX ‘ s primitive drivere. Med Linux-det ville tage mindre end 17 sekunder for at komme til en shell prompt. Det er en speedup på 32 gange.
Der er ingen grund til ikke at gøre denne forbedring. Minnich bemærkede, “Der er formentlig 30 millioner plus Chromebooks, der er derude, og når din Chromebook får en ny BIOS, en ny Linux-image er blinkede til firmware-og jeg har ikke hørt om nogen problemer.”
Specifikt, Minnich foreslår, at Intel og AMD, for den sags skyld:
Gøre firmware mindre i stand til at gøre harmMake sine handlinger mere visibleRemove så mange runtime-komponenter, som possibleIn især, tage sin web-server og IP-stackRemove UEFI IP-stak og andre driversRemove MIG/UEFI selv-reflash capabilityLet Linux styre flash-opdateringer
Over dette, kan den nye Linux-firmware ville have et bibliotek skrevet i Går. Brugere vil arbejde med denne Linux shell hjælp af velkendte kommandoer. Dette ville give dem en klar opfattelse af, hvad der skete med den CPU og andre systemkomponenter.
På samme tid, da UEFI er så let at hacke, han ønsker “UEFI ROM reduceret til dets mest grundlæggende dele”.
Vil dette arbejde? Det er endnu for tidligt, Minnich advaret, og du kan igen “din bærbare computer i en mursten”. Men både for sikkerhed og ydeevne, er det nødvendigt at gøre.
Det er pænt at en ubetydelig Unix som MINIX, takket være Intel at sætte det på flere kerner i sine chips, kan blive verdens mest udbredte styresystem. Men det er ingen måde at køre moderne servere og Pc ‘ er.
Relaterede Historier:
Forskere siger, at Intel Management Engine funktionen kan slås offIntel chip sårbarhed lader hackere nemt at kapre flåder af PCsIntel AMT sårbarhed hits business chips fra 2008 og fremefter
Relaterede Emner:
Datacentre
Cloud
Big Data Analytics
Innovation
Tech og Arbejde
Samarbejde
0