Intel - mamy bezpieczny Thunderbolt, świat - dziś tylko 7 luk i 9 metod ataku
Czasem mam ochotę wrócić do starych dobrych czasów, w których królowały takie oto komputery:
Dzieje się to tylko czasami i w chwilach mojej wielkiej słabości (możliwości takiego sprzętu, jego wielkość, bolące oczy przez monitor CRT i atakujący uszy hałas powodują, że ogólnie cieszę się widząc ten fragment wspaniałej techniki już tylko u hobbistów i w muzeach).
Świat na szczęście poszedł do przodu - na tyle, że Pentium IV będzie można zmieścić w główce szpilki.
Jednym z efektów postępu jest pojawienie się w wielu laptopach i desktopach złącza Thunderbolt, które pozwala na przesłanie do 40 Gbit/s. Standard został stworzony przez Intela i Apple, obecnie może być bez większych przeszkód implementowany również w produktach z procesorami AMD.
Mamy maj 2020 - wszyscy piszą o stronie https://thunderspy.io/, gdzie podawane są informacje o siedmiu rodzajach luk w implementacji tego standardu.
Krótki cytat:
"All Thunderbolt-equipped systems shipped between 2011-2020 are vulnerable. Some systems providing Kernel DMA Protection, shipping since 2019, are partially vulnerable. The Thunderspy vulnerabilities cannot be fixed in software, impact future standards such as USB 4 and Thunderbolt 4, and will require a silicon redesign"
Okazuje się, że nie trzeba już znać haseł do maszyny, żeby ją odblokować:
Ale... ale... jak mam fizyczny dostęp, to mogę wszystko... wyciągnąć dysk, RAM, itd.
To oczywiście tylko przykład, ale o tyle niepokojący, że tym sposobem na pewno łatwiej podrzucić jakąś "niespodziankę" do tych wszystkich maszyn, które stoją gdzieś w biurach czy miejscach publicznych.
Częściową ochroną jest włączenie Kernel DMA Protection (więcej w przypadku Windows 10 na stronie Microsoftu) albo całkowite wyłączenie Thunderbolt w BIOS/UEFI komputera (przez co oczywiście tracimy różne funkcjonalności).
Jak dla mnie, to widać tutaj kilka rzeczy:
- szybki rozwój standardów w IT spowodował, że branża/część firm poszła na skróty (sam uważam, że podejście "Hey Joe!" jest dobre, ale tylko do pewnego poziomu, który najwyraźniej został mocno przekroczony)
- słowo Intel będzie się wielu użytkownikom kojarzyć jeszcze gorzej (czy ta firma ma jeszcze szansę na naprawę wizerunku?)
- moduły powinny być wymienialne, a przynajmniej wyłączalne
Zaimplementowano wiele standardów typu UEFI czy Thunderbolt, a najbliższe lata pokażą nam wysyp różnych związanych z tym zagrożeń (nie ma co się oszukiwać, że będzie inaczej).
Czy dlatego Microsoft nie chciał Thunderbolt w Surface, a Lenovo wycofało swoje obietnice w stosunku do nowych lapków?
Czy podobne problemy będą wkrótce dotyczyć AMD ? Przypomnę, że oni mają różne wyrafinowane sztuczki w swoich układach i obecnie przecierają szlaki, a do tego implementują coś, co się nazywa AMD Secure Technology (ale jest wbudowane w procesor, a nie chipset)
Szczerze mówiąc, to marzy mi się trochę sytuacja, żeby dostać kiedyś do testów "stary" sprzęt, ale zrobiony w standardzie 7 czy 5 nm (czyli np. nieśmiertelny Intel BX z procesorem Pentium III albo coś z Pentium IV z obsługą 64‑bit). Ciekawe, jak sprawowałaby się mała ilość tranzystorów w połączeniu z lepszym niż kiedyś procesem i Windows XP/Linuxem - o ile byłoby to wolniejsze albo szybsze niż nowe układy z tymi wszystkimi zabezpieczeniami, prefetcherami, niezbędnymi dodatkami i Windows 10.
Na pewno problemem byłby brak bezpośredniej obsługi NVME, ale... w wielu innych obszarach... kto wie?
To oczywiście mrzonka, a ja uważam, że trochę ciekawych czasów doczekaliśmy w IT:
- (ze względów bezpieczeństwa?) promuje się starocie - tak nazywam obecność starego złącza VGA wymyślonego w 1987 w monitorach Dell w 2020 albo obecność złącz PS/2 w płytach głównych
- intencjonalnie ogranicza się użytkownika (np. nieśmiertelne matryce 1366x768 już dawno powinny zniknąć, a stopki w monitorach obowiązkowo powinny być stabilne i pozwalać na pełną ergonomiczną regulację)
- sprzęt ma znane wady (które można usunąć wyłącznie przez wymianę całości zamiast zamianę wadliwego modułu) - throttling, zacinanie się klawiatur, mruganie matryc przez PWM, etc.
- w każdym zestawie jest po kilka dublujących się niepotrzebnych rzeczy (np. zintegrowana karta dźwiękowa i do tego HD Audio w karcie graficznej)
- ciągle mówi się o optymalizacji, tuszując tym samym gigantyczny brak jakości
- ciekawe rozwiązania przychodzą nie z USA, ale z Chin - np. płyta główna udowadniająca sztuczne blokowanie podstawek przez Intela albo płyta główna z wbudowaną kartą NVidii.
Czasem aż strach używać tego, co naprawdę może ułatwiać życie - np. gniazd do ładowania w środkach komunikacji miejskiej.
Szkoda również, że praktycznie każdy zakup to pole minowe i ciągle płacimy za wszystko większym zużyciem energii i tak naprawdę brakiem komfortu, że o braku ekologii nie wspomnę.
PS. Z moich prywatnych doświadczeń wynika również, że konieczne jest instalowanie usługi do obsługi Thunderbolt w Windows 10, żeby również komunikacja po USB była szybka... (nie wnikałem w szczegóły techniczne, ale mój dysk podłączony pod USB 3 tylko wtedy dostawał skrzydeł).