沒想到的小贈品:Intel CPU 電腦都內建附贈 Minix 作業系統,買一送一真的賺到嗎?

作者 | 發布日期 2017 年 11 月 15 日 17:00 | 分類 伺服器 , 資訊安全 , 電腦 follow us in feedly

全世界個人電腦裝機最廣的系統是什麼呢?是 Windows 嗎?不是;是 macOS 嗎?當然也不是;我知道了,是 GNU / Linux 吧? 很可惜的,整個「3C 設備」領域算是,但單就個人電腦市場也不是。筆者來揭曉正確答案吧:是 Minix。自 2006 年開始,每台 Intel CPU 裡面都有一顆特殊的 CPU──Intel ME(Intel 管理引擎),其上運作 Minix 作業系統,然而現在這引起大家的憂慮。



什麼是 Intel ME?這個 CPU 內的元件提供 Intel 的主動管理服務(Active Management Technology)機能,能進行開機防護、影音數位版權管理(Digital Restrictions Management),甚至讓企業 IT 人員可從遠端網路連線來修復和保護桌上型電腦、筆記型電腦或伺服器(也就是提供遠端遙控機制)。Intel ME 什麼時候運作呢?當你電腦開機時需要它,電腦運作時,它也在背後默默運作,甚至休眠時,它還活著可以接收來自網路的指令!現在流行的任何 Intel core CPU 都有內建 Intel ME 。

MINIX 是什麼?

技術上,它是 Intel CPU 裡的另一個 CPU,而從 ME-11 開始,裡面運作另一個作業系統 Minix,買一送一耶,但這又是什麼東西呢?

請容筆者講點古。Minix 是一套 BSD 授權的開放原碼作業系統,作者是 Andrew Tanenbaum,他是荷蘭阿姆斯特丹自由大學(Vrije Universiteit Amsterdam)的教授,Minix 最初設計目的是用在大學資訊相關科系作業系統課程用的教具,此外在 1991 年左右,也是極少數能在個人電腦運作的類 Unix 系統──今日我們有 Mac OSX 、iOS、Android(Linux)、Chrome OS(也是 Linux 基底)或各種 GNU / Linux 桌面系統發行套件,它們都是 Unix 衍生或相容物,而在 1991 年以前,Unix 系的系統只用在大型主機與工作站領域。

Minix 啟發了 Linus Torvalds 開發出 Linux,也可說是孕育出 Linux 的搖籃──早期 Minix 雖可取得原始碼,但必須先付費,且還有很多機能不夠理想,使用者不能自由修改程式碼,因為當時授權還不是 BSD 而有重重修改限制。因此當時 Linus 在 Minix 另行開發自己理想的 Linux,以 GPL 自由軟體授權發表,許多程式設計師也紛紛離開 Minix,加盟 Linux 的開發。

Minix 跟 Linux 當時一時瑜亮,在網際網路萌芽初期,有很多兩者間的技術論戰,不過後來結果大家都知道,採用 GPL 授權的 Linux 紅遍全世界,學術界、業界大幅採用,幾乎是當代工業標準,連當時最痛恨 Linux 的 Microsoft 今日也大為擁抱,而當時限制「只能做教學用途」的 Minix 從此沒有多少能見度,後來 2000 年的 Minix 3 改採 BSD 開源授權,似乎為時已晚。今日 Intel 竟然在 CPU 裡埋了一個 Minix,連 Tanenbaum 本人原本都不知道也很驚喜,他還寫了一封公開信給 Intel。沒想到自當年論戰後,今天在 PC 市場的占有率,Minix 打敗了 Linux。

安全問題

說回來,買一送一不是很好嗎?為何很多人擔憂 CPU 裡這個系統呢?因為我們自己的作業系統核心運作等級是 ring 0,一般應用程式是 ring 3,然而 Minix 在自己的 CPU 運作,運作等級是 ring -3(-3),是最高等權限。據 Google 的研究發現,這個系統可控制到電腦完整的網路堆疊、檔案系統、許多驅動程式(包含 USB、網路等),甚至還有自己的網頁伺服器,電腦開機、運作、休眠狀態時都在運作,你的作業系統有設防火牆都沒有用,它看得到你所有東西,但你卻看不到它也控制不了它,也就是說 Minix 是太上皇般的存在!

這有非常大的安全隱憂,因為這個祕密 Minix 系統在跑許多服務,但卻做死在 CPU 裡,顯然無法定期安全更新,該系統的漏洞若被駭客(cracker)找到,就可藉由該系統完全控制使用者電腦,從開機、關機、讀取檔案、檢查正在執行的程式、追蹤鍵盤/滑鼠動作、存取螢幕晝面等,都辦得到,這會變成很大的安全隱憂,幾乎是不設防的後門。今年 5 月開始,Intel ME 開始爆發嚴重資安危機(然而逆向工程專家 Igor Skochinsky 在 2012 年發表的 Rootkit in Your Laptop 已指出問題),開始漸為人關注,有許多人努力找出關閉它的方法。

Intel 埋了一個祕密的網頁伺服器在 CPU 裡等人去敲門,卻又不跟你說會有什麼人來「參觀你的電腦」,感覺就讓人頭皮發麻,難怪 Google 等廠商正汲汲於關閉數以萬計伺服器 CPU 裡的 Intel ME,但又不能影響伺服器正常開機。看來羊毛出在羊身上,買一送一不見得好啊。

(首圖來源:英特爾) 

關鍵字: , , , ,