Odin’s Eye: Víme, jak odposlouchávali Donalda Trumpa! Procesory INTEL mají na úrovni hardwaru backdoor instalovaný přímo výrobcem ve spolupráci se CIA. Firewally i antiviry jsou ze hry ven. Kauza větší než Pizza Gate?
Vložil: Admin
Organizace Wikileaks včera uveřejnila novou sérii uniklých dokumentů Vault 7 a nově s názvem Dark Matter. O kauze Vault 7 jsem publikoval článek zde a toto je pokračování postupného publikování dokumentů, které odhalují praktiky CIA. Média si všímají hlavně toho, že CIA infikovala přímo ve výrobní továrně v Číně firmwary telefonů iPhone, a to již od roku 2008 a pokračuje to dodnes [1]. Přímo z továrny odcházejí iPhony infikované malwarem a nelze jej z telefonu smazat ani aktualizací novou verzí iOS. Koupíte rovnou iPhone s předinstalovaným špionážním malwarem od CIA. No, nekupte to!
Mně ovšem zaujalo něco úplně jiného. V dokumentech se objevila zmínka o programu Odin’s Eye [2] a všimli si jí lidé na boardu 4Chan, který stojí i za odhalením kauzy Pizza Gate, o které psal AE News zde. V odkazech na Wikileaks vyhledávači už je projekt Odin’s Eye uveden u operativců CIA shromažďujících data ze špionáže [3], takže se dá očekávat, že za pár týdnů Wikileaks odhalí další bombu. V samotných dokumentech Wikileaks zatím podrobnosti o Odin’s Eye nejsou, ale odkazy na osoby a Odin’s Eye se již na Wikileaks nachází.
O systému IME se psalo už minulý rok, že je to velmi podivná součást procesorů INTEL [4]. Tohoto článku jsem se osobně ujal já, protože v roce 2015 jsem na AE News publikoval analýzu [5] o komunikaci Windows 10 s mateřskými servery Microsoftu a dalšími 27 organizacemi, které s Microsoftem spolupracují na úrovní služeb. V článku jsem uvedl, že Windows 10 v podstatě představují spíše terminál na sběr dat, než že by to byl operační systém a český mainstream tento můj článek se snažil bagatelizovat a zpochybnit. Jsem velmi rád, že díky 4Chan a Wikileaks mohu nyní již bez obav promluvit a přiblížit čtenářům bližší systém komunikace a zranitelností nejen Windows 10 z pohledu procesorové funkcionality.
Procesory INTEL Core „i“ jsou nejrozšířenějšími procesory na světě.
Nejprve teorie. Procesory Intel používají vnitřní instrukční řadič, který se chová jako pseudointerpretr, který je nezávislý na vyšším operačním systému. Každá instrukce a stream package ze sběrnice je zdánlivě vykonán tak, jak je napsaný zkompilovaný program. Ve skutečnosti tomu tak není. Procesory Intel architektury Core „i“ používají na úrovni procesoru vlastní operační systém umístěný na chipsetu. Nepředstavujte si ho jako operační systém Windows, spíše se podobá velmi ořezanému Linuxu a slouží k řízení chodu procesoru, svým založením je to řadič s programovací vrstvou a vlastním API sběrnice (microcontroller), slouží pro ovládání I/O prvků, můstků, ale hlavně se stará o vnitřní přerušení a zpracovávaní běžících programů. Nazývá se Intel Management Engine a je to nejnižší programovací vrstva, která běží na počítači platformy Intel. Vrstva je umístěna ještě níže, než leží BIOS, resp. BIOS běží právě přímo na vrstvě IME. Inženýří Intelu označují IME za „deep root“, barebone root, nebo také „ring -255“. Z hlediska fungování IME se jedná o „hluboký pseudointerpretr“ v roli řadiče instrukcí, který je programovatelný. Zde se dostáváme k Windows 10 a k jistému odhalení, o které veřejnost žádala.
Ghost mode v procesorech INTEL
Uvnitř zkompilovaných kódů a programů Windows 10 jsou zdánlivě liché segmenty se zdánlivě zakryptovaným obsahem. Pokud si program spustíte v debuggeru a budete sledovat jeho práci, program tato místa přeskakuje. Zdánlivě jde o smetí. Vstupní body do programů jsou nastavené tak, že programy spuštěné zevnitř Windows 10 přeskakují zakryptované úseky, které se nikdy nedostanou do výkonného cyklu. Když ale program běží na úrovni procesoru, IME detekuje nefunkční zakryptované části v paměti přes full DMA, provede vnitřní přerušení, dekryptuje úseky, vykoná úsek a poté vrátí řízení běhu původnímu úseku programu poslaného do mateřského CPU z vyšší vrstvy (WinAPI/HAL). Debuggerem ve Windows nemá analytik šanci nic poznat, protože IME pracuje ve vnitřním přerušení a běží na odděleném vnitřním procesoru chipsetu IME mimo mateřský procesor CPU bez asistence OS Windows. Tomuto skrytému běhu se mezi programátory říká „ghost mode“ a za normálních okolností takový běh umí virtuální stroj s interpreterem vlastních zakódovaných instrukcí, což používají např. počítačové ochrany VM Protect nebo Denuvo, ovšem ty běží transparentně na CPU. IME však běží mimo režii mateřského CPU. Nedá se debugovat, protože neexistuje pro vyšší vrstvy systému.
IME na obrázku od Intelu není zobrazeno přesně. Intel Management Engine je hardwarový úsek přímo na chipsetu (on-die module).
Rozhraní IME kontroluje nejen CPU, ale veškeré periférie v počítači a běží dokonce i během hibernace stroje. Velmi zákeřné je zpracovávání datových paketů pro síťovou kartu. IME má full access k TCP/IP stacku a dokáže detekovat síťový debugging, např. pokud si nastavíte vlastní SSL certifikát na lokálním stroji v LAN síti a simulujete cizí doménu nebo server, IME nemůže být obelháno, protože používá vlastní ověřování certifikátů a pevné IP adresy. Windows 10 odesílají nasbíraná data pouze ve chvíli, kdy je bezpečné spojení na originální servery Microsoftu a partnerů. Pokud do cesty nastavím sniffer pro zachytávání paketů (MITM simulace + podvržený certifikát), přenosy okamžitě poklesnou, jejich objem se sníží. To ukazuje na implementaci IME a mechanismů pro tichá spojení. IME tudíž umí vytvářet „kerberizované spojení“ s vybranými servery, na což běžné prostředky pro sledování síťového provozu už nestačí.
Výkonné kódy jsou definovány v zakryptovaných částech programů a rutin Windows 10. Dopředu musím všechny zájemce o tooly a podrobnosti upozornit, že tato úmyslná technologie v procesorech Intel (nenazývám ji zranitelností nebo chybou) je natolik silná a mocná, že teoreticky zcela nuluje veškerou softwarovou ochranu dnešních počítačů a nebudu zde poskytovat nástroje nebo poradenství pro uživatelské programování IME enginu. Tento článek má za úkol pouze upozornit a varovat před pocitem „false security“, kterou dnes razí marketingové společnosti různých výrobců softwarových produktů na zabezpečení počítačů.
Cokoliv za data vložíte do počítače, může IME na povel odeslat pryč
Nezáleží na operačním systému, jestli jedete na Windows, Linuxu, Mac OS X nebo něčem jiném. Rozhraní IME je nezávislé na nadřazeném operačním systému, běží na chipsetu základní desky a dokáže spouštět zakryptované programy v jakémkoliv kódu a musím zdůraznit, že nejen ve výkonném kódu, ale i při zobrazení fotografie, obrázku nebo přehrání hudebního souboru. Pokud otevřete v počítači obrázek, který má v sobě zakódovanou sekvenci, tak proces otevření obrázku spustí na úrovni IME event a následně proces vnitřního přerušení, IME CPU získá přístup přes DMA do paměti bez asistence mateřského CPU, alokuje si kopii grafického bufferu, proskenuje obrázek a pokud najde spouštěcí značku, dekryptuje úsek a spustí ho na úrovni IME. To všechno proběhne v rámci zamknutého cyklu odděleného CPU chipsetu ve vnitřním přerušení, kdy celý operační systém Windows (nebo jakýkoliv jiný) běží v jiném cyklu mateřské CPU fronty. Dá se to přirovnat k situaci, že byste měřili rychlost volnoběžných otáček nastartovaného motoru v autě sledováním otáček kol zaparkovaného auta. Kola se netočí, ale motor ano. Ghost mode je na tom stejně, běží skrytě, zatímco vy v debuggeru ve Windows nic nevidíte, že by se provádělo něco za operace.
Socket a procesor Intel Core i7
Je mi jasné, že tento článek může vyvolat určitou a zcela oprávněnou obavu, ale nabídnu Vám zároveň i řešení. Výkonný zakryptovaný kód tajných služeb se dostává do programu pouze s komerčními programy, ke kterým výrobci neposkytují zdrojové kódy. Pokud si zkompilujete sami operační systém (Linux) a budete instalovat jen open source programy, které si sami budete u sebe doma kompilovat, měli byste být v bezpečí. Ovšem budete se muset obejít bez připojení na síť internet. Protože IME je plnohodnotný OS a umí komunikovat přes síťové karty, je reálná hrozba zatažení programů do Vašeho počítače bez Vašeho vědomí. CPU si samo skrze IME stáhne do počítače malware ze serverů CIA a NSA. Kvůli IME není bezpečný ani TOR Browser, ani Tails! Interpretr IME je přítomný v procesorech INTEL až od platformy Intel Core „i“, starší procesory Core 2 (Duo/Quad) nemají programovatelný manager na úrovni CPU, ale to neznamená, že nemají v sobě backdoor jiného typu. Wikileaks zatím neuveřejnili všechno, na to si dejte bacha.
Odinovo oko nedohlédne snad jedině na Elbrus
Jediným řešením bezpečnosti je nepoužívat hw platformu INTEL a s největší pravděpodobností ani AMD, protože to je také americká firma a procesory AMD také používají v procesorech vlastní programovou vrstvu. Stojí za to uvažovat o ruských procesorech třídy Elbrus [6], ale to je exotika, to uznávám. Na závěr tohoto článku připojím překlad z dokumentu z 4Chanu, kde pracovník INTELu popisuje spolupráci se CIA na programu ODIN’S EYE, jehož součástí byla spolupráci CIA a INTELu na vytvoření zranitelností a backdoorů v čipu IME, skrze které byl podle tohoto svědka odposloucháván i Donald Trump.
Inženýr INTELu odhaluje zákulisí práce pro CIA
Informace o projektu CIA Odin’s Eye na 4Chanu.
Začátek překladu: Pracuji v Intelu již 15 let jako elektroinženýr. Před 3 lety mně začala práce nudit a rozhodl jsem se přesunout do jiného oddělení. INTEL je docela fajn, že nechává zaměstnance v rámci společnosti přecházet mezi odděleními. Otevřelo se místo v týmu Management Engine, a protože jsem měl zkušenosti s mikroovladači, rozhodl jsem se, že to zkusím. Rozhovor proběhl skvěle a chtěli mně do týmu, ale posledním krokem bylo získat bezpečnostní prověrku.
Zeptal jsem se jich, na co k sakru potřebuji prověrku a řekli mi, že mi to nemůžou říct, dokud nebudu součástí týmu. A tak začal můj 3-letý výlet do králičí nory.
Předstupuji dnes kvůli zprávám, že špehovali Donalda Trumpa. Vím přesně, jak to udělali, protože jsem strávil poslední 3 roky přidáváním backdoorů do Management Enginu. Pro ty z vás, kteří to neví, IME běží na odděleném procesoru a nelze ho vypnout a existuje na úrovni pod operačním systémem (pozn. deep root, ring -255). INTEL pracuje dlouhá léta s lidmi ze špionáže, aby dostali do fyzického hardwaru zadní vrátka, aby se nemuseli starat o hledání zranitelností v operačních systémech. Pokud je kompromitovaný hardware, celý stroj je kompromitovaný.
Spolupráce Intelu a CIA nikoho nepřekvapí.
IME má plný přístup k paměti (pozn. unrestricted full DMA), aniž by o tom vědělo mateřské CPU. Má plný přístup k TCP/IP stacku a plný přístup ke každému perifernímu zařízení připojenému k počítači. IME běží, i když počítač je v hibernačním módu. Nezáleží na tom, jestli používáte Windows, Linux, Mac OS X, Whonix, Tails, Qubes nebo Subgraph. Pokud máte procesor řady INTEL i3, i5 nebo i7, tajné služby vás mají.
Přidali jsme podobnou funkcionalitu do projektu Samsung WEEPING ANGEL s výjimkou toho, že lidi ze špionáže nazývají náš program ODIN’S EYE. Skrze IME umíme aktivovat mikrofon a kameru, přestože se počítač tváří, že je uspaný, nebo vypnutý.
Důkazy o sledování Trumpa, jeho rodiny a klíčových lidí jeho kampaně se jednou objeví. Vím, že sledování (Trumpa) se fakticky stalo. Další leaky jsou na cestě, sledujte ODIN’S EYE. (Konec překladu).
Zdroj textu a foto: AE News
Poznámka Administratora: Pod tímto článkem se na originál webu rozvinula zajímavá diskuse. Jeden z těchto zajímavých diskusních příspěvku sem vkládám:
Rôzne poznámky na tému Intel Management Engine.
1) Existenciu tohto systému naznačovali už Snowdenove vyjadrenia. Snowden to vtedy popísal tak, že NSA má prísne tajnú technológiu, ktorou je schopná sa dostať do vypnutého (!!!) počítača a čítať z neho dáta, zapisovať dáta, meniť nastavenia BIOSu a iné. Popisu tejto technológie zodpovedá práve IME a jej staršej verzii Intel Active Management Technology (AMT)
2) Popis technológie naznačuje, že IME umožňuje vstup do VYPNUTÉHO počítača pomocou prijatia „wake on lan“ packetu cez internetový kábel, pričom následne počítač naštartuje v tichom režime a užívateľ si ani nemusí všimnúť, že niekto na diaľku siaha do jeho počítača. Nízky výkon procesora znamená, že sa neroztočí vetrák a v prípade SSD diskov človek nezačuje ani roztočenie harddisku. Wikipédia naznačuje, že je možné pomocou IME a AMT dostať sa aj do vypnutých počítačov pripojených iba cez wifi sieť, detaily som ale príliš nepochopil.
3) Technológia bola pred rokmi ponúknutá na trh ako pomôcka pre firemných administrátorov, umožňujúca vzdialenú administráciu firemných počítačov. Pôvodne prezentovaná ako „bonusová funkcionalita“ pre firemných adminov, následne začala byť v tichosti zabudovávaná do každého nového počítača.
Technológia bola spomenutá v roku 2011 v jednom z článkov v časopise CHIP. Náhľad článku je k dispozícii tu, bohužiaľ už nie sú k dispozícii obrázky ani pdf verzia článku .
http://www.chip.cz/casopis-chip/earchiv/vydani/r-2011/chip-01-2011/pristup-dalky/
4) Snahy o podozrivo aktívne pretláčanie ovládačov pre IME do počítačov s Windows 7 som si všimol pred 4 rokmi.
Ak si človek kúpil počítač s predinštalovaným systémom, na každom z nich bola automaticky nainštalovaná aj aplikačná nadstavba k IME, ktorá permanentne bežala v zozname procesov. Niektoré počítače mali zabudovaný oficiálny odinštalátor, umožňujúci túto aplikáciu odinštalovať, otázne je, či sa odinštalovalo naozaj všetko.
Pokiaľ človek inštaloval Windows 7 na čistý počítač, IME sa mu naištalovala spolu inštaláciou ovládača k základnej doske, resp. mu bola podstrčená v rámci prvého balíka záplat pre Windows. Tento fakt ma naozaj šokoval, pretože sa jednalo o jedinú záplatu pochádzajúcu z externej firmy, ktorá bola zamiešaná medzi stovku bezpečnostných záplat od Microsoftu.
5) Osobne vidím ďalšie podobné riziko do budúcnosti v podobe ovládačov ku grafickým kartám Intelu. Pri poslednom počítači mi Windows doporučil inštaláciu ovládača ku graf. karte, ktorý mal cez 200 MB! K čomu doparoma potrebuje ovládač grafickej karty toľko kódu???? Jediné, čo ma napadá je funkcionalita tajného snímania obrazovky a odosielania dát preč.
6) Jeden laický článok venujúci sa špehovacím trendom amerických tajných agentúr. Neobsahuje žiadne technické detaily, skôr naznačuje líniu toho, čo už bolo odhalené a čo sa na nás ešte chystá.
Poučenie zo Snowdenových dokumentov III – nové trendy do budúcnosti. Špión vo vlastnom počítači
Popisuje:
- nútené odstavenie populárneho Windows XP, pretože nebol vhodný na zabudovanie špehovacích nástrojov novej generácie
- pretlačenie špehovacích záplat do Windows 7 a 8
- masívna špehovacia funkcionalita vo Windows 10
- útoky na počítač pomocou zámerne zabudovaných dier vo Flash playeri (čím sa úspešne obchádzala snaha o záplatovanie operačného systému a webového prehliadača)
- zrada zo strany antivírových spoločnotí
- zrada zo strany výrobcov hardvéru (v stručnosti je tam spomenutá aj funkcionalita IME)
- zrada zo strany poskytovateľov internetu, ktorí môžu užívateľovi v reálnom čase modifikovať zasielané dáta a obohacovať ich o vládny malware
- sledovacie programy ďalších tajných služieb: Británia, Francúzsko, Kanada, Nemecko
- inteligentné domáce spotrebiče vybavené mikrofónmi a wifi pripojením na internet
7) Podstatné na pochopenie kontextu a zúfalosti súčasnej situácie je pochopenie ako funguje americký tajný súd FISA. Ten má právomoc prikázať ľubovoľnej firme spoluprácu s tajnými službami, pričom jeho rozhodnutia sú tajné a verejnosť o nich až do Snowdenových odhaleniach vôbec netušila. FISA môže prinútiť k spolupráci kohokoľvek. Prinútia Microsoft, aby zabudoval špehovacie nástroje do Windows, prinútia Google, aby ich pustil do databázy gmailov, prinútia Cisco, aby im duplikoval dátový tok prechádzajúci ich zariadeniami. Rovnako môžu prinútiť k spolupráci výrobcov Antivírov, aby im zoskenovali obsah počítačov, ktoré sú príliš dobre zabezpečené pre priamy prístup NSA. A samozrejme môžu prinútiť ľubovoľného výrobcu hardvéru, aby do svojich produktov zabudoval špehovaciu funkcionalitu alebo hardvérovú bezpečnostnú dieru.
Snowden to vtedy charakterizoval slovami „Nowhere to hide“.
