#MundoHacker: Un vector de ataque dentro de cada dispositivo

chip intel

Estos días ha causado bastante revuelo el “descubrimiento” (tampoco es que sea nada nuevo (EN)) de que la mayoría de chips Intel cuentan con un componente un tanto peculiar.

El Intel Management Engine, o ME (EN), es un elemento con plena autonomía que ha vuelto a conmocionar al sector de la seguridad, a sabiendas de que parte de sus funciones incluyen el acceso y control remoto del sistema operativo de la máquina, y que opera con un nivel de seguridad -3 (es decir, por debajo del propio kernel (0), del hipervisor (-1) y del SMM (-2)).

A esto hay que unirle un toque de conspiranoia (bien fundada, como veremos), y el que aunque el chip no sea un secreto (es relativamente fácil encontrar referencias a él en las actualizaciones periódicas), corre un sistema operativo propietario de Intel, el Active management Technology o AMT (EN), del que por decisión de la compañía se sabe muy poco.

El sistema está protegido por lo que en este mundillo llamamos seguridad basada en el oscurantismo (ES), es decir, freír a derechos y patentes una tecnología para que nadie sea capaz de saber cómo funciona (y ya de paso, cómo replicarla).

Una estrategia que ha demostrado ser muy poco eficiente en la historia del software. Casos como el de la ingeniería inversa mediante “habitación limpia” que Phoenix technologies aplicó en los 80 para crear una BIOS clónica (EN), o el de los creadores de Stuxnet, que consiguieron encontrar las debilidades del sistema nuclear de un país aún bajo las fuertes medidas de seguridad por oscuridad aplicadas, no son más que gotas en un océano.

Y lo es por el simple hecho de que a mucho que ofusques la documentación, a mucho que mantengas bien incentivados a aquellos desarrolladores que han participado en la creación de un producto digital, el propio escenario tecnológico acaba presentando oportunidades para que un tercero descubra tu secreto.

Basta un error en cualquiera de los continuos ciclos de actualizaciones, la evolución que sufren las herramientas y tecnologías usadas para el desarrollo tecnológico, una fuga de información, un trabajador no lo suficientemente bien incentivado o el propio interés (económico, reputacional,…) de un colectivo con los suficientes recursos, para que aquella tecnología tan bien custodiada acabe expuesta precisamente a aquellos a los cuales no te gustaría que estuviera.

Y entonces aparecen los problemas, porque una tecnología protegida mediante seguridad por oscuridad no goza de los beneficios de una auditoría colectiva y continua (miles de ojos ven más que unos cuantos pares), con el riesgo que ello supone.

AMT y los riesgos asociados a su existencia

El asunto vuelve a salir a la luz después de que un colectivo demande públicamente la necesidad de implementar una versión open source (EN) de este recurso tan crítico en la mayoría de dispositivos que a diario utilizamos.

ME está basado en una estructura ARC de 32 bits, semejante a la que podemos encontrar en la mayoría de dispositivos del Internet de las Cosas (por cierto, muy al hilo de lo que hablamos recientemente), lo que le permite operar a muy bajo nivel sin apenas consumir recursos (afectar sensiblemente al usuario) e incluso mientras el dispositivo está hibernando.

Sobra decir que gracias a su nivel de seguridad, sus acciones (que recalco, van desde la gestión remota del dispositivo a la consulta de cualquier región de memoria del mismo) no pasan ningún control que el administrador pueda implementar (cortafuegos, antivirus,…), y es capaz de ejecutar su propio servidor TCP/IP (ergo subir y bajar archivos de internet), lo que le vuelve, de facto, en un objetivo prioritario para la industria del crimen y del espionaje.

Un chip con plena autonomía presente en la mayoría de ordenadores del mundo (por aquí el listado de placas base afectadas (EN)), indetectable por el anfitrión y con capacidades de explotación prácticamente ilimitadas.

La herramienta perfecta para una agencia de inteligencia, para una industria del crimen interesada en monitorizar masiva o específicamente usuarios, ciudadanos, servidores de una o varias compañías. Un vector de ataque para prácticamente cualquier sistema que dependa de la informática en la actualidad.

¿Infraestructuras críticas de un país? ¿Otras agencias de inteligencia? ¿Monitorización masiva de ciudadanos con la excusa del terrorismo? ¿Destrucción del sistema económico de un sector? Todo podría ser posible si alguien es capaz de saltar la seguridad con la que cuenta AMT: Un cifrado RSA 2048 con clave hardware oculta, que se supone, hasta ahora, insondable.

Pero, ¿y si no lo es tanto como a priori parece? ¿Y si RSA ya cuenta con algún exploit solo conocido por unos pocos afortundados? ¿O si Intel, como empresa estadounidense, está obligada a servir a los intereses de su nación? No sería la primera vez que algo así ocurriera, ¿verdad?

¿Y si IME ya está siendo usado como herramienta de control masivo? ¿Y si la propia Intel (la primera interesada en que esto jamás ocurra) ni siquiera es consciente de ello

La seguridad por oscuridad plantea unos cuantos riesgos más de los que soluciona, y quizás es hora de plantearse cambiar el modelo a uno basado en la transparencia.

A nivel de usuario, se supone que desde la BIOS podemos desactivar esta funcionalidad. Pero esto es como todo:

¿Quién nos dice que cuando apagamos el smartphone, en verdad hemos apagado todos sus componentes? ¿Quien nos puede asegurar que AMT acepta lo que diga la BIOS, a sabiendas de que por permisos podría hacer caso omiso de esta petición?

Porque el problema es que hablamos de un componente presente en prácticamente toda la electrónica de escritorio (y de servidores) que sustenta nuestra sociedad. Es, de facto, un elemento crítico que afecta a todos y cada uno de nosotros, sea directa o indirectamente.

Por propia seguridad nacional, por propia protección individual, interesa que se tenga en cuenta este tipo de debates, y que el día de mañana el entorno sea lo más transparente posible.

Es la única manera que hay de ofrecer una tecnología que presente los controles de seguridad oportunos a lo largo del tiempo. Que encuentre una vía de actualización lo más rápida y eficaz posible cuando una brecha de seguridad es encontrada.

Cosa que acabará ocurriendo. Se lo asegura quien escribe.

Si no es que ya llegamos tarde…

 
________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias