Nul
Bovendien is dankzij Minnich en zijn collega-onderzoekers van het werk, MINIX is uitgevoerd op drie verschillende x86-cores op moderne chips. Er draait:
TCP/IP-netwerken stapels (4 en 6)Bestand systemsDrivers (harde schijf, net, USB, muis)Web servers
MINIX heeft ook toegang tot uw wachtwoorden. Het kan ook en optimaliseren van uw computer firmware, zelfs als het is uitgeschakeld. Laat me dat herhalen. Als uw computer is ingesteld op “off”, maar nog steeds is aangesloten, MINIX kan nog kunnen veranderen van uw computer fundamentele instellingen.
En, voor nog meer plezier, “kan uitvoeren self-modifying code die kan blijvend zijn macht cycli”. Dus als er een exploit hier gebeurt, zelfs als u de stekker van uw server in een laatste wanhopige poging om het op te slaan, de aanval zijn er nog steeds te wachten wanneer u de stekker weer terug.
Hoe? MINIX kan dit doen omdat het draait op een fundamenteel niveau lager.
x86-computers draaien hun software op verschillende voorrecht niveaus of “ringen”. Uw programma ‘ s op de ring van drie, en ze hebben de minste toegang tot de hardware. Hoe lager het nummer van uw programma loopt op, het meer van de toegang die zij hebben tot de hardware. Ringen twee en één niet de neiging om te worden gebruikt. Besturingssystemen draaien op ring nul. Bare-metal hypervisors, zoals Xen, lopen op de ring -1. De Unified Extensible Firmware Interface (UEFI) draait op ring -2. MINIX? Hij rijdt op de ring -3.
Je kunt het niet zien. U kunt niet in de hand. Het is slechts het zoemen afstand, het runnen van uw computer. Het resultaat, volgens Minnich is “er zijn grote reus gaten dat mensen kunnen rijden exploits door.” Vervolgde hij, “ben je bang? Als je bent toch niet bang nog, misschien had ik het niet uitleggen zeer goed, omdat ik zeker ben bang.”
Wat is de oplossing? Nou, het is niet “- Schakelaar in de AMD-chips”. Eenmaal, AMD chips niet dit soort van mysterie code verborgen aan de binnenkant, maar ook de nieuwste Ryzen processors zijn niet helemaal open. Ze zijn voorzien van de AMD-platform beveiliging proces en dat is ook een mysterieuze zwarte doos.
Wat Minnich zou willen zien gebeuren is voor Intel te dumpen de MINIX code en het gebruik van een open-source Linux-gebaseerde firmware. Dit zou veel veiliger zijn. De huidige software is alleen beveiligd door “veiligheid door obscuriteit”.
Het wijzigen van op Linux zou ook kunnen servers veel sneller opstarten. Volgens Minnich, het opstarten van een Open Compute Project (OCP) Server duurt acht minuten, dankzij MINIX de primitieve stuurprogramma ‘ s. Met Linux is het niet meer dan 17 seconden bij een shell prompt. Dat is een snelheid van 32 keer.
Er is geen reden om dit te verbeteren. Minnich merkte op: “Er zijn waarschijnlijk 30 miljoen-plus Chromebooks die er zijn en wanneer u uw Chromebook krijgt een nieuwe BIOS, een nieuwe Linux-image wordt geflitst om de firmware en ik heb nog niet gehoord van de problemen.”
Specifiek, Minnich stelt dat Intel en AMD voor die kwestie:
Zorg firmware minder in staat zijn te doen harmMake haar acties meer visibleRemove zoveel runtime componenten als possibleIn het bijzonder, nemen afstand van de web-server en IP-stackRemove de UEFI IP-stack en andere driversRemove ME/UEFI self-reflash capabilityLet Linux flash-updates beheren
Meer dan dit, de nieuwe Linux-firmware zou een gebruikersruimte geschreven in Gaan. Gebruikers werken met deze Linux-shell met behulp van bekende commando ‘ s. Dit zou hen een duidelijk beeld van wat er gebeurde met de CPU en de andere componenten van het systeem.
Op hetzelfde moment, omdat UEFI is zo gemakkelijk te hacken, hij wil de “UEFI-ROM teruggebracht tot de meest elementaire onderdelen”.
Zal dit werken? Het is nog vroeg dag, Minnich gewaarschuwd, en je kan zetten “kunt u uw laptop in een baksteen”. Maar zowel voor de veiligheid en de prestaties, het moet doen.
Het is netjes dat een obscure Unix-achtige MINIX, dankzij Intel zetten het op meerdere cores in de chips, kan het ‘ s werelds meest gebruikte besturingssysteem. Maar het is geen manier om het uitvoeren van moderne servers en Pc ‘ s.
Verwante Artikelen:
Onderzoekers zeggen dat de Intel Management Engine functie kan worden ingeschakeld offIntel chip kwetsbaarheid laat hackers gemakkelijk te kapen vloten van PCsIntel AMT kwetsbaarheid hits business chips vanaf 2008
Verwante Onderwerpen:
Datacenters
Cloud
Big Data Analytics
Innovatie
Tech en Werk
Samenwerking
0