您的英特尔机器上有多少个操作系统?可能比您想象的要多。有BIOS/UEFI系统用于启动大多数系统,用于初学器,这本质上是一个操作系统。然后,当然,大多数用户都熟悉包括Windows或Linux的主要操作系统。
大多数新的引擎盖下英特尔处理器是另一个称为英特尔管理引擎(ME)的操作系统。它至少有11个主要安全缺陷在里面。
在这一点上,我的问题影响了第六,7Th,第八代英特尔核心家庭;Xeon处理器E3-1200 V5和V6家族;Xeon处理器可伸缩家庭;Xeon处理器W家族;原子C3000处理器家族;阿波罗湖Intel Atom处理器E3900系列;阿波罗湖英特尔奔腾系列;以及Celeron N和J系列。
英特尔提供了Windows和Linux的检测工具这将表明芯片是否有确定的问题。Intel通过许多供应商发布了修复程序,其BIOS/UEFI更新解决了该问题。还有一个无证件的过程来使我失去禁用。
Flaws in firmware or software are not uncommon, but ME has been an issue because it is essentially hidden. It’s actually a version of the MINIX operating system plus applications for managing the chips services. Researchers had warned about problems with ME, as well as Intel’s approach to using it in chips, for a number of years.
我不是唯一的安全平台的问题英特尔。Its Active Management Technology (AMT), found on the Pro version of chips, provides remote management support that bypasses any running operating system. There are flaws in that as well. Firmware updates can address many of these issues, but, like the ME issues, users must identify the problems and install the appropriate firmware updates. This is usually impossible from the operating systems they directly utilize.
使用内部操作系统并不是什么新鲜事。ARM的Trustzone有自己的固件和AMD的最新X86处理器包括平台安全处理器(PSP)。PSP实际上是带有信任区支持的手臂核心。像我一样,它的运行习惯对普通用户和开发人员隐藏,并且可能存在难以识别和难以更新的安全问题(假设这甚至可能是可能的)。
嵌入式开发人员不能免疫这些问题。纠正问题可能是一个挑战,尤其是因为许多应用程序都有认证或批准,这些证书或批准会受到更新的影响。像我这样的禁用服务可能是许多嵌入式应用程序的理想选择,但是对稳定和服务的影响可能是一个主要问题。当然,安全漏洞也将是一个问题。
不幸的是,这类安全问题与通过更改固件将病毒隐藏在磁盘驱动器上的能力。此类的攻击向量以及像Intel的基于ME的解决方案这样的平台可能并不容易,但是像Root套件一样,这种类型的安全漏洞非常困难,即使不是不可能,很难在安装后检测它们。
There are few good alternatives at this point. Given the size of much of the security code, it is surprising that more rigorous methods were not use in the development. Using tools likeAda和Spark除了更有正式的方法,例如DO-178用于航空电子产品将与影响地球上几乎所有新电脑的平台更加内联。
