Een lang en ingewikkeld artikel op The Reg. Mooi dat Europa aan zijn cloud werkt, maar de hardware van Intel en AMD is niet te vertrouwen. Er zit een “Ring3” laag tussen, die op afstand de hele computer kan controleren zonder dat de echte gebruiker of beheerder het ziet. In deze telling is Ring1 de Kernel en Ring2 de Hypervisor.
Zorgelijk zaak.
Dit is de door de Amerikaanse geheime dienst afgedwongen laag.
Waarom mag deze zooi überhaupt worden verkocht in Europa? Waarom is er geen disable die troep functie? Firmware cleanen? Oh het bestaat wel. Waarom is er geen eigen afluistertoegang? Oh en de hele networking moet je ook opruimen, lijkt mij dan weer.
Leerling: Meneer maar dat maakt me toch geen ene bal uit? Ik: ja en nee. De geheime dienst, dat is niet zo spannend. Maar een ander kan ook misbruik maken van deze ‘attack surface’. Waarom denk je dat er hier in Europa ineens geen Chinese telecom-apparatuur meer mocht? Hebben zij de backdoor ook geopend?
- Linkedin discussie
- PDF 37 pagina’s:
Het gaat om de Intel Management Engine. Het gevaarlijke gedeelte kun je niet apart uitzetten. Dat zou iets te makkelijk zijn. Ook het AMD-equivalent PSP “Platform Security Processor” is niet uit te zetten in het BIOS. Een mooie attack surface: als je hier ingebroken bent gaat niemand het merken en ben je machtiger dan waar ook.
Daarnaast zijn er op grote schaal security exploits, die toegang via RING-3 nog machtiger maken dan ze al zijn. In het jargon van de geheime diensten wordt ring3 niet gebruikt, maar is phone home gangbaar. Een understatement.
Kortom, mooi dat we een eigen cloud bouwen (met open source als Nextcloud, proxmox, ceph of openstack) maar er moet ook betrouwbare hardware worden gemaakt. Overigens hadden we als BV. Nederland best wat hardware bedrijven als Philips Computers en Tulip. Weggeconcurreerd toen alle producten naar Azie ging. Roll Back Time Now.
