חוקרת חשפה פרצת אבטחה במעבדי אינטל

חוקרת אבטחה בחברת Invisible Things Lab חשפה פירצת אבטחה קריטית שנמצאת במעבדיה של אינטל, והיא לא הראשונה!

גו'אנה רוטסקובסקה (Joanna Rutkowska), מייסדת ומנהלת חברת Invisible Things Lab, היא זו שמצאה את פירצת האבטחה המדוברת. הפירצה התגלתה במנגנון ה-System Management Mode (או בקיצור ה-SMM), שנמצא בחלק מסוים של זיכרון המטמון במעבד. מנגנון ה-SMM הינו יחידת הוראות שאחראיות בין היתר על החזקת פקודות שונות הנוגועות לצריכת החשמל של המעבד, ביניהן כיבוי המעבד בטמפ' גבוה מדי, הפעלת מאווררים בעת הצורך, הגדרות חומרה שונות, ועוד. הגישה להוראות אלו נעשה על ידי יחידה אחרת, הנקראת SMI (ר"ת System Management Interrupt), והיא זו שאחראיות על קריאת ההוראות, עדכונם והוצאתם לפועל.

הפירצה שנמצאה מאפשרת לאחסן במקום ההוראות הללו תוכנות rootkit, תוכנות המאפשרות לפרוץ למחשב וגם לגרום לו נזק. בין היתר משמשות תוכנות אלו גם לריגול, שכן הם מאפשרות לאסוף מידע ופעולות שונות ממערכת המחשב בהן הן נמצאות. הקושי הגדול בפיתוח תוכנות אלו הוא שהן צריכות לשרוד במערכת בלי שיגלו אותן, הן מבחינה תוכנתית, שם נמצאים האנטי וירוסים וכלל התוכנות שנועדו להגנה על המחשב, והן מבחינה חומרתית – סט הפקודות של כלל המערכת.

לכאן נכנסת פירצת האבטחה החדשה, שכן מנגנון ה-SMM אינו נגיש למערכת ההפעלה, ולכן אנטי וירוס או כל תוכנה אחרת לא יכולים לגלות בו וירוס. איתחול המערכת או כל שינוי חומרתי אחר לא ישנה, שכן רק במקרים ספציפים מאוד המידע שנמצא ב-SMM נקרא ומופעל, וגם אז הוא ברמה חומרתית, ולכן הסיכוי שיתגלה מאוד נמוך.

רוטסקובסקה פנתה לאינטל עם הממצאים, ביודעין שאינטל מודעת לאפשרות הפריצה של הוראות ה-SMM כבר משנת 2005, אז מצאו אותה עובדי החברה. מה שהפליא את רוטסקובסקה ואת עמיתה לחברת Invisible Things Lab, היא העובדה כי החברה קיבלה פניה בנושא כבר באוקטובר 2008 מחוקר אבטחה אחר, אך היא לא עשתה דבר בכל הנוגע לפירסומה, וגרוע מכך, למניעתה.

ולכן החליטו החברה ב- Invisible Things Labלעבוד על סט פקודות, שנקרא בשפה המקצועית exploit code, שמנצל את פירצת האבטחה שנמצאה, האמור להראות לאינטל עד כמה קל ופשוט לפתח אותו. החברה מקווה שדבר זה יביא את אינטל לפתח עדכון שימנע את הפריצה הזו אחת ולתמיד, לפני שתנוצל לרעה על ידי האקרים או פורצים למיניהם.