Desde mayo venimos hablando de las vulnerabilidades de Intel Management Engine, un subsistema (en su versión más reciente se trata de un «co-procesador», con pequeños núcleos ejecutando MINIX) que han estado incluyendo en el hardware de sus chips desde 2008.
Intel ME permite realizar conexiones remotas, independientemente del sistema operativo que tengamos instalado, ya que vive fuera de él.
A los fallos detectados hace meses, se han unido recientemente nuevos bugs que facilitarían mediante elevación de privilegios la ejecución de código arbitrario, así como el acceso a las credenciales y datos almacenados en nuestro equipo.
Aunque Intel ha liberado diversas herramientas para detectar si estamos afectados, la desactivación de Intel ME no es nada sencilla y algunas propuestas independientes para remover el firmware en cuestión, aunque meritorias –entre otras cosas por todo el trabajo de ingeniería inversa que conlleva–, pueden entrañar riesgos o ser complejas de aplicar.
Podríamos decir que excepto la versión especial que disfruta la NSA (la cual no incluye el obligado modo recovery), Intel ME es casi imposible de desactivar para el usuario común.
Tener un backdoor propietario como Intel ME es tan problemático, que sin duda lo mejor es deshacerse del. Y hacerlo lo antes posible.
Así lo entendió la gente de Purism, luego Google y ahora le toca al fabricante de ordenadores System76 que ya tiene muy avanzado, un nuevo firmware que permitirá desactivar completamente Intel ME en sus netbooks (no así en sus ordenadores de sobremesa, puesto que no presentan un hardware tan homogéneo).
Todo se hará mediante una sencilla actualización de sus controladores de hardware, los cuales están disponibles mediante PPA:
sudo apt-add-repository -y ppa:system76-dev/stable sudo apt update sudo apt install -y system76-driver
Antes de proceder a la actualización en los próximos días, los clientes serán informados por correo electrónico de la misma.
Hablamos de portátiles System76 con procesadores Intel de 6ª, 7ª y 8ª generación, que ejecuten Ubuntu (16.04 LTS o superior) y sus derivadas, así como el sistema operativo de la casa: Pop!_OS 17.10. Es decir que esta solución valdrá tanto para portátiles antiguos System76, como los nuevos que se comercialicen a partir de ahora..
Entre los planes del fabricante, también está el de distribuir una versión unificada de dicho firmware –con su respectivo manual–, para otras distribuciones GNU/Linux.
Si queréis saber más de este asunto, tenéis toda la información en el blog de system76.
Excelente noticia! Mira que dejarnos poner esa herramienta de espionaje que la NSA ideó para espiarnos mejor fue una mala idea
Esperemos que esté disponible pronto para el resto de distribuciones. Y un 10 para System76 por hacerlo.
Creo que en estos momentos lo más seguro es apostar por AMD/ATI y dejar a Intel y Nvidia en el olvido. No puede ser que Intel sea una de la empresa que más aporta al Kernel de Linux y al Software Libre y anda con un doble discurso.
Ese «remover» duele a los ojos..
AMD tambien tiene su equivalente a IME, se trata de un chip ARM dentro de cada procesador fabricado despues de 2005-2006, AMD Platform Security Processor