(2017/11/22 笔者更误:之前误判 Intel ME 已被整合到 CPU 里,实际上还在主板上的芯片组里,今予以修正)
全世界个人电脑装机最广的系统是什么呢?是 Windows 吗?不是;是 macOS 吗?当然也不是;我知道了,是 GNU / Linux 吧? 很可惜的,整个“3C 设备”领域算是,但单就个人电脑市场也不是。笔者来揭晓正确答案吧:是 Minix。自 2006 年开始,每台使用 Intel CPU 的电脑里面都有另一颗特殊的“小电脑”──Intel ME(Intel 管理引擎),其上运作 Minix 操作系统,然而现在这引起大家的忧虑。
什么是 Intel ME?这个特殊的元件提供 Intel 的主动管理服务( Active Management Technology)机能,能进行开机防护、影音数位版权管理(Digital Restrictions Management),甚至让企业 IT 人员可从远端网络连线来修复和保护台式电脑、笔记型电脑或服务器(也就是提供远端遥控机制)。Intel ME 什么时候运作呢?当你电脑开机时需要它,电脑运作时,它也在背后默默运作,甚至休眠时,它还活着可以接收来自网络的指令!现代使用 Intel core CPU 的电脑,机板上的芯片组里都有 Intel ME 。
MINIX 是什么?
从 Intel ME-11 开始,里面运作著另一个操作系统 Minix ,买一送一耶,那这又是什么东西呢?
请容笔者讲点古。Minix 是一套 BSD 授权的开放原码操作系统,作者是 Andrew Tanenbaum,他是荷兰阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)的教授,Minix 最初设计目的是用在大学资讯相关科系操作系统课程用的教具,此外在 1991 年左右,也是极少数能在个人电脑运作的类 Unix 系统──今日我们有 Mac OSX 、iOS、Android(Linux)、Chrome OS(也是 Linux 基底)或各种 GNU / Linux 桌面系统发行套件,它们都是 Unix 衍生或相容物,而在 1991 年以前,Unix 系的系统只用在大型主机与工作站领域。
Minix 启发了 Linus Torvalds 开发出 Linux,也可说是孕育出 Linux 的摇篮──早期 Minix 虽可取得源代码,但必须先付费,且还有很多机能不够理想,使用者不能自由修改程式码,因为当时授权还不是 BSD 而有重重修改限制。因此当时 Linus 在 Minix 另行开发自己理想的 Linux,以 GPL 自由软件授权发表,许多程序员也纷纷离开 Minix,加盟 Linux 的开发。
Minix 跟 Linux 当时一时瑜亮,在互联网萌芽初期,有很多两者间的技术论战,不过后来结果大家都知道,采用 GPL 授权的 Linux 红遍全世界,学术界、业界大幅采用,几乎是当代工业标准,连当时最痛恨 Linux 的 Microsoft 今日也大为拥抱,而当时限制“只能做教学用途”的 Minix 从此没有多少能见度,后来 2000 年的 Minix 3 改采 BSD 开源授权,似乎为时已晚。而今日 Intel 竟然在主板上埋了一个 Minix ,连 Tanenbaum 本人原本都不知道也很惊喜,他还写了一封公开信给 Intel。没想到自当年论战后,今天在 PC 市场的占有率,Minix 打败了 Linux 了。
安全问题
话说回来,买一送一不是很好吗?为何很多人担忧这个系统呢?因为我们自己的操作系统核心运作等级是 ring 0,一般应用程序是 ring 3,然而, 当 Intel ME 上的 Minix 干涉到我们平常使用的操作系统时,其运作等级是 ring -3(负3),是最高等的权限,而据 Google 的研究发现,这一个系统可以控制到电脑完整的网络堆叠、档案系统、许多的驱动程式(包含 USB、网络等等),甚至还有自己的网页服务器,在电脑开机时、运作时、休眠状态时它都在运作,你的操作系统有设防火墙都没有用,它看得到你所有的东西,但你却看不到它也控制不了它,也就是说这个 Minix 是一个太上皇的存在!
这有非常大的安全隐忧,因为这个秘密的 Minix 系统跑着许多的服务,可以监控甚至干涉主操作系统的运作,但是黑箱不透明,只能仰赖 Intel 的安全更新,该系统的漏洞被骇客(cracker )找到的话,就可借由该系统完全控制使用者电脑,从开机、关机、读取档案、检查正在执行的程式、追踪键盘/鼠标动作、存取屏幕昼面等,都办得到,这会变成很大的安全隐忧,几乎是不设防的后门。就在今年 5 月开始,Intel ME 开始爆发严重资安危机(然而逆向工程专家 Igor Skochinsky 在 2012 年发表的 Rootkit in Your Laptop 已指出问题),开始渐为人关注,有许多人努力找出关闭它的方法。
Intel 埋了一个秘密的网页服务器在你的主板上等著有人来敲门,却又不跟你说会有什么人来“参观你的电脑”,感觉就让人头皮发麻,难怪 Google 等厂商正汲汲于关闭其采用数以万计服务器机板上的 Intel ME ,但又不能影响服务器正常的开机。看来羊毛出在羊身上,买一送一不见得好啊。
- Intel & ME, and why we should get rid of ME
- 藏在 CPU 里面的小小太上皇 CPU: Intel ME 跟 AMD PSP
- MINIX — The most popular OS in the world, thanks to Intel
(首图来源:英特尔)