Omicrono, la tecnología de El Español

El sistema operativo más utilizado no es Windows, ni MacOS, ni siquiera Linux. Se llama MINIX y viene oculto en cada procesador Intel.

Todos usamos sistemas operativos cuando utilizamos un ordenador. Lo más habitual es encontrarnos Windows, pero también puede ser un Mac de Apple. O incluso ser un ordenador normal y funcionar con Linux, con Chrome OS, o con otros sistemas operativos aún menos utilizados. Todos estamos familiarizados con alguno de usarlo, sea cual sea. Es nuestra forma de interactuar con los ordenadores.

Pero, en realidad, existen más sistemas operativos que los que vemos cuando usamos un ordenador. Tu Windows, tu Mac o tu Linux pueden no estar sólos. Si tienes un procesador Intel en tu ordenador, ya sea de escritorio o de portátil o de servidor, lo más probable es que tengas un sistema operativo oculto. Y este sistema, llamado MINIX, tiene hasta su propio procesador secreto.

MINIX, el as bajo la manga de Intel

MINIX nació en 1987 de la mano de Andrew S. Tanenbaum, un profesor emérito en Países Bajos. Es un clon de Unix basado en una arquitectura de microkernels. Y, por aquel entonces, Tanenbaum lo ideó como una herramienta educativa. Es decir, MINIX se creó para que los estudiantes y universidades de todo el mundo pudieran estudiar y desarrollar con el sistema.

Lo importante viene en abril del año 2000 cuando Minix se licenció de nuevo, esta vez con licencia BSD. Esta licencia es muy permisiva e impone muy pocas restricciones respecto al uso y distribución. Quizás esta es una de las razones por las que Intel, a partir de 2015, decidió usar MINIX en el desarrollo de sus propios programas.

AMT, donde Intel y MINIX se unen

Aquí es donde viene lo interesante. Intel AMT (Active Management Technology), también conocido como Intel Management Engine, es una especie de “procesador secreto” que funciona con independencia del resto del ordenador. No tiene nada que ver con el procesador que usas para jugar o para hacer funcionar el ordenador. Es un chip completamente diferenciado.

Y en este procesador oculto o secreto es donde Intel ha decidido usar MINIX. Intel AMT es capaz de acceder a cualquier región de memoria, leer y escribir todos los archivos, e incluso hacer de servidor web. Todo sin que el resto del sistema siquiera sepa de su existencia. Y todo funcionando con MINIX, ese sistema que nació con un propósito educativo.

Intel AMT se incluye en todos los procesadores Intel desde 2015, aproximadamente. Esto implica que la gran mayoría de nosotros, a menos que usemos un ordenador o un procesador antiguo, somos usuarios de MINIX. Aunque no tuviéramos ni idea, ni sepamos qué hace o deja de hacer.

¿Cuáles son los riesgos de Intel AMT?

Este procesador oculto, que funciona con MINIX, tiene un nivel de acceso llamado “Ring -3“. Y aquí es donde tenemos que explicar cómo funciona la seguridad de nuestros ordenadores.

Para ser exactos, nuestros ordenadores tienen varios anillos de protección. Es como si fuese una cebolla: se colocan capas por encima del núcleo para protegerlo. En la primera capa se colocan las aplicaciones, en la segunda capa están los drivers, y así hasta que llegamos al núcleo, el “Ring 0“.

“Ring -3”, con el número en negativo, es una especie de nombre extraoficial que se le ha dado al acceso que tiene Intel AMT. Es un chip independiente, capaz de acceder a la memoria, con enlaces dedicados, que puede forzar al sistema y que incluso está activo con el sistema en suspensión.

Estamos hablando de un chip con acceso a todo nuestro ordenador sin límites. Cualquier antivirus o herramienta de nuestro ordenador no sólo no sería capaz de pararlo, ni siquiera sabría que está actuando. Es un sistema independiente dentro de nuestro ordenador. ¿Qué le impide a un hacker aprovecharlo para atacarnos?

Intel, como ya os comentamos hace un año, ha decidido mantener los detalles de AMT en secreto. En otras palabras, quieren que el desconocimiento ayude a mantener su seguridad. Hasta ahora les ha funcionado bien, a pesar de las quejas de la comunidad.

Google quiere a MINIX fuera de sus servidores

Y Google, una de las compañías de Internet más grandes del mundo, se ha cansado. Según NetworkWorld, la compañía de Mountain View no confía en Intel AMT. En concreto no quieren que esté funcionando en sus servidores, aquellos que hacen funcionar sus servicios. Y ya están trabajando en reemplazar este sistema por kernels propios de Linux.

De por sí es algo escalofriante saber que tenemos un chip en nuestros ordenadores con acceso a todo, que no podemos tocar y que no sabemos cómo funciona. Y que Google esté trabajando en alternativas propias tampoco transmite tranquilidad.

Puede que todavía no se haya vulnerado la seguridad de AMT, ¿pero cuánto falta para que un hacker encuentre una grieta? ¿Cómo piensa Intel asegurar la seguridad de algo tan potente como secretivo que tampoco se actualiza a menudo?

  • Pony Salvaje

    Otra razón más para preferir Ryzen.

    • Victor

      AMD tampoco se salva… tiene el PSP, basado en un core de procesador ARM.

  • Roderick

    Escalofriante… 💻😮

  • Pero yo uso amd :v

    • Victor

      AMD tiene el PSP… así que tampoco estás “seguro”.

      • Iago Crende

        Es lo opuesto a INTEL, el PSP securiza procesos en el core ARM, de todas formas si no me equivoco, es una tecnología única de las APUs.

        • Victor

          Básicamente es lo mismo… es la versión propia de AMD del motor de administración de Intel. Es un sistema que “seguriza” como Intel, el arranque de la CPU y del resto del equipo, y tiene acceso absoluto a todo el sistema.

        • Iago Crende

          No me dejaron ponerte el enlace directamente a la explicación en AMD del PSP, pero lo que hace dista mucho de lo que indicas. Básicamente cifra procesos en ejecución por hardware, no usa un SO para acceder a la totalidad de lo que pasa por la CPU y memoria…. Como sí hace INTEL. Salvo que entendiera mal el propio paper de AMD al respecto xD

          Y repito, es una tecnología única de las últimas APU de AMD, en RYZEN, por ejemplo, no está presente salvo en las versiones PRO o en EPYC como bien dicen en el artículo. Y en la totalidad de CPUs anteriores en AMD no tienes ni nada similar… Que sepamos xD

        • Victor

          Todos los procesadores de AMD, desde el 2003 tienen ese PSP… Efectivamente, seguriza procesos, pero… la tecnología de Intel, se supone, que es también lo que hace. El problema, como Intel, es que ninguno abre el código de dichos procesadores, por lo que, a cualquier fallo, pueden estar expuestos los servidores, y las dos plataformas pueden coger el control del servidor.

        • Iago Crende

          No puedo ponerte el enlace… Pero sí la descripción que dan, no sé de dónde sacas lo del 2003 :S

          “AMD
          Secure Processor (formerly “Platform Security Processor” or “PSP”) is a
          dedicated processor that features ARM TrustZone® technology, along with
          a software-based Trusted Execution Environment (TEE) designed to enable
          third-party trusted applications. AMD Secure Processor is a
          hardware-based technology which enables secure boot up from BIOS level
          into the TEE. Trusted third-party applications are able to leverage
          industry-standard APIs to take advantage of the TEE’s secure execution
          environment. Not all applications utilize the TEE’s security features.
          AMD Secure Processor is currently only available on select AMD A-Series
          and AMD E-Series APUs.”

  • Ó.M.

    El intento de explicación por parte del redactor falló. Reintentar? Ignorar? Cancelar?

    ‘Un procesdor con un sistema operativo oculto.’

    ‘Un sistema operativo oculto con un procesador oculto.’

    Wow…

    De qué va esto? Es algo así como tratar de hacer ver que si pudiéramos tener acceso físico a los data centers de casi todo el planeta y nos encabeconáramos en acceder a la información que durante todos los procesos está encriptada (cuando está almacenada) ya no lo está cuando se ejecuta y pasa por las cachés de ejecución de los procesadores y es totalmente accesible por parte del Super Seven de turno y su Big Data?

    Será por eso que una de las características que AMD resalta de sus procesadores Ryzen PRO y EPYC es que incluso en esa circunstancia y crítico momento la información se encuentra encriptada y ni siquiera teniendo acceso físico a la cpu y empleando ingeniería inversa se podría ‘leer’ tan fácilmente el contenido de los registros?

    Ok. Pues así ha sido toda la vida y es algo así como poner en duda si lo que le cuentas al médico o al cura tus cosas podía ser ‘peligroso’. Efectivamente, lo es y lo era, pero es lo que había.

    Las plataformas sobre AMD que no sean Ryzen PRO ó Epyc con esta funcionalidad habilitada (se puede especificar en el momento de encargarla) no blindan la información en ese nivel, por lo que mientras son procesadas pueden ser espiadas, esnifadas y tratadas, lo cual en nuestros tiempos de Big Data suponen poder alterar la realidad en tiempo real o tener un conocimiento total de lo que ‘sube’ todo el mundo a los servidores.

  • -.-

    Éste es el año de Linux.

    Éste fue el año de Minix.

1 de 7