Intel çipsetlerde PC’nizin kontrolünü ele geçirebilecek ikinci bir gizli CPU var

intel-cpu-siber_saldırı-intel_me-hackerIntel Yönetim Motoru (ME), bilgisayarınızı internetten kontrol etmek için ana işlemci çipsetinin üzerinde bulunan ikinci bir gizli CPU kullanıyor. Kurumsal firmalar bu CPU’yu özel bir aygıt yazılımı satın alarak kullanılıyor ve personelin bilgisayarlarını bakım ve onarım amacıyla uzaktan kontrol edebiliyor.

Ancak, bilgisayarınıza kötü amaçlı yazılım ve virüs yüklemek için de kullanılabilecek olan bu CPU’yu analiz ve test etmek yasak.1 Intel’in belirttiği gibi ikinci CPU’nun amacı bir bilgisayarın uzaktan bakım ve onarımını yapmak.

Bununla birlikte RSA şifrelemedeki potansiyel güvenlik açıkları nedeniyle kötü niyetli kişiler ve çeşitli sebeplerle üretici firma, Intel Yönetim Motoru (ME) çipi sayesinde gerekirse bilgisayarınızın kontrolünü ele geçirebilir.

 

intel-cpu-siber_saldırı-intel_me-hacker

Seni çipinle gözetlerim

Eskiden Sony Playstation konsollarında buna benzer bir sistem vardı. Her ne kadar konsolun uzaktan bakım ve onarımının yapılmasını sağlasa da bu sistem öncelikle kullanıcıları gözetlemekte ve korsan oyun kurmak için konsolun işletim sistemini değiştirmelerini önlemekte kullanılıyordu.

Şimdi benzer bir sistem Intel çipsetli PC’ler için kullanıma girdi ki bu da aslında Intel’in bilgisayarları uzaktan kontrol etmek için kullandığı eski çözümün devamı.

İlgili yazı: İnternetinizi uçuracak en iyi 10 modem

intel-cpu-siber_saldırı-intel_me-hacker

 

Intel kimse şifresini kıramaz diyor

Gerçekten de Intel, Yönetim Motoru (ME) adını verdiği 32 bitlik ARC CPU’yu 600 haneli bir şifreyle güvenceye almış. Öyle ki bu şifreyi süper bilgisayarla bile bir insan ömrü içerisinde kırmak imkansız.

Ancak, ABD Ulusal Güvenlik Dairesi (NSA) VPN şifresi kırmayı öğrendi yazımda belirttiğim gibi, NSA dünyadaki belli başlı şifre standartlarını kontrol ediyor (Intel’in gizli işlemcisinde kullanılan RSA 2048 gibi) ve bu şifreleme sistemlerine güvenlik açığı ekliyor.

Böylece sistem söylendiği kadar güçlü bir şifre kullanmıyor ve başta istihbarat örgütleri olmak üzere bilgili tüm hackerlar, Intel Yönetim Motoru kullanan yeni kuşak bilgisayarların kontrolünü uzaktan ele geçirme imkanına sahip bulunuyor. Bunun için bilgisayarın gizli işlemcisine virüs yükleyebiliyorlar.

İlgili yazı: İnternette teknik takip ve gözetimi önleme rehberi

intel-cpu-siber_saldırı-intel_me-hacker

 

Damardan giren güvenlik tehdidi

Şimdi gizli işlemcinin neden potansiyel olarak çok tehlikeli olduğunu anlatalım: Öncelikle bu işlemci ana CPU’dan ve işletim sisteminden bağımsız çalışıyor; yani PC’ye Windows yerine Linux kursanız, hatta TOR geliştiricilerinin güvenli işletim sistemi Tails kullansanız bile bilgisayarı ele geçirebilirler.

Kısacası bu işlemci rootkit denilen ve bilgisayara damardan giren kötü amaçlı yazılımlar kullanmaya imkan tanıyor. Gizli CPU güya şifreyle korunan özel bir aygıt yazılımıyla çalışıyor.

İlgili yazı: İnternette sansürü aşmak için dünyanın en iyi 5 VPN sağlayıcısı

intel-cpu-siber_saldırı-intel_me-hacker
İkinci CPU’nun yeri.

 

Teoride bireysel PC’ler güvenli olmalı

Sonuçta sadece özel aygıt yazılımını satın alan firmalar bilgisayarlara uzaktan erişim sağlayabiliyor. Ancak, bu Intel’in veya NSA’in bu çipsete sahip tüm PC’leri uzaktan kontrol edemeyeceği anlamına gelmiyor. Bunun için internetten PC’ye gizli CPU’yu etkinleştirecek bir yazılımı yüklemeleri yeterli.

Asla fark edemezsiniz

Bu yazılımı siber güvenlik firmalarının antivirüs ve saldırı önleme sistemleri bile görmüyor. Normalde saldırı önleme sistemleri bilgisayardaki şüpheli davranışları daha boot aşamasında, yani sistemi başlatırken tespit eder ve root üzerinden sisteme virüs bulaşmasını önler. Bunun için de davranış analizi yaparlar.

Ancak Intel Yönetim Motoru’nu bilgisayarınızın ana işlemcisi görmüyor, anakartı görmüyor, işletim sistemi görmüyor, hard diskteki boot sector veya SSD’deki eşdeğeri görmüyor. Üstelik bu CPU kendi TCP/IP bağlantısı üzerinden internete giriyor!

İlgili yazı: Raspberry Pi İle Gerçek İnternet Hızını Ölçün >> Servis sağlayıcıya hızımı artır deyin

intel-cpu-siber_saldırı-intel_me-hacker

 

Siber güvenlikte gizlilik olmaz

Bu sebeple de biri bilgisayarınızı ele geçirdiği zaman fark etmiyorsunuz. Üstelik CPU’nun şifresini kırmak imkansız, sistem gizlilikle korunuyor. Keza “Dün sistemi temizledim, ama bugün bilgisayarımın kontrolünü tekrar ele geçirmişler midir acaba?” diye tarama yapmanız da olanaksız.

Gizli CPU bütün bu özellikleri sayesinde bilgisayarınızdaki bütün verileri siz görmeden internetten istediği sunucuya gönderebilir. Bu da bize siber güvenlikte gizlilik olamayacağını gösteriyor. Siber güvenlik istiyorsanız herkesin içinde virüs var mı diye bakıp kontrol edebileceği açık yazılımlar kullanmalısınız.

Neyse ki bir grup white hacker Intel’in işlemcisini harekete geçiren aygıt yazılımını açık kaynaklı alternatif bir yazılımla değiştirmeyi kendine görev edindi. Böylece kullanıcılar bilgisayarları ele geçirilirse farkına varacaklar.

İlgili yazı: Uzaydan İnternet Yarışı >> Airbus internet dronları SpaceX mini küp uydularına karşı

intel-cpu-siber_saldırı-intel_me-hacker

 

CPU’yu söküp atsak olmaz mı?

Olmaz. Intel gizli işlemcinin bilgisayardan sökülmesini önlemiş bulunuyor. Bir kere ana işlemcinin ayrılmaz parçası. Eski uzaktan kontrol çipleri gibi anakartta yerini bulup söküp atabileceğiniz bir şey değil.

Ayrıca ana CPU uyku modunda olsa bile çalışan gizli işlemcinin aygıt yazılımı önceden yüklü geliyor. Firmalar yazılımı satın aldığında sadece çalıştırma anahtarına sahip oluyor. Ayrıca aygıt yazılımını silmeye veya bozmaya kalkarsanız bilgisayar hiç açılmıyor (daha açılırken kapanıyor).

Tabii bir de bunu kullanan firmalarda çalışmak var. Bu firmalar Intel Aktif Yönetim Teknolojisi (AMT) sayesinde bilgisayarınızı her zaman uzaktan gözetleyebilir ve kontrol edebilirler. “Sayın personelimiz. Bugün bilgisayarınızı 10 kez gözetledik” diye rapor verecek halleri yok.

Aslında 2012’deki Snowden ifşaatlarından bu yana NSA’in anakart, CPU ve modemlere kontrol çipi yerleştirdiği dedikoduları ortaya yayılıyor. Bu dedikoduları Intel’in eski kontrol çipi yönetim sistemi olan Zeki Yönetim Platformu Arayüzü de teşvik etmiş olabilir.

İlgili yazı: 4.5G İle Vatandaşa 1 Nisan Şakası >> Maksimum hız hayal çünkü fiber yetersiz

intel-cpu-siber_saldırı-intel_me-hacker

Eh tehlikeli siber güvenlik riski

AMT şirketlerin bilgisayarları uzaktan tamir etmesini sağlayan faydalı bir çözüm; ama belirttiğim sebeplerden dolayı siber güvenlik uzmanları tarafından 3. Halka (Ring-3) tehdit, yani en büyük tehdit olarak nitelendiriliyor.

Ring-0 tehditler işletim sistemindeki çekirdek kod (kernel) üzerinde etkili olurken, Ring-1 tehditler hipervizör (üst düzey sistem yöneticisi), Ring-2 tehditler de SMM denilen özel işlemci modunda etkili oluyor (sistem yönetim modu). Örneğin bilgisayar korsanları işlemciyi SMM modunda çalıştırırlarsa bilgisayarınızı ele geçirebilirler.

Ring-3 en büyük tehdit, çünkü alternatif gizli CPU sayesinde ana CPU’nun SMM modunu ele geçirmeye izin veren rootkit saldırılarına kapı açıyor. Bu yüzden damardan siber tehdit oluşturuyor.

İlgili yazı: Facebook Engellenirse Sansürü Nasıl Aşarız? >> Çocuğun anlayacağı dilde VPN kurma rehberi

white-hat-hacker

 

Core2’den sonra gelen tüm çipsetlerde var

Aşağıda linkini bulabileceğiniz White hacker grubu, ME aygıt yazılımının nasıl çalıştığını 2013’te ortaya çıkardı: Önce fabrikada yüklenen SHA256 genel anahtar kontrol ediliyor ve ardından bu anahtar yazılımın RSA şifresiyle karşılaştırılıyor.

Buna göre ME yazılımının orijinal olup olmadığı çipsetteki gizli bir boot ROM tarafından denetleniyor (telefonlardaki ROM’ların gizli bir versiyonu).

Şifrelemedeki potansiyel güvenlik açıkları bir yana, ROM boot yükleyicisi üzerinden de siber saldırı gerçekleştirip ikinci CPU’nun kontrolünü ele alma riski bulunuyor. Gerçi yazılım standart dışı bir formatta sıkıştırıldığı için bu dosyalar özel bir donanım “Winzip”i ile çıkartılabiliyor.

Ancak, bu önlem NSA’in veya Intel’in (varsa) kendi şifre tablolarını kullanarak bilgisayara erişmesini önlemez.

İlgili yazı: Telepatik İnternet >> İnsanlar arası düşünce transferine hazır mısınız?

intel-cpu-siber_saldırı-intel_me-hacker

 

Sonuç

Tek çözüm Intel anakartlar ve Intel işlemciler kullanmamak; ama ne satın alacaksınız? AMD işlemciler mi? Bu haber önümüze düştüğüne göre tüm CPU’larda üretici firmanın ve NSA’in bilgisayarı uzaktan kontrol etmesini sağlama potansiyeline sahip çipler olabilir.

En iyi çözüm çok gizli bir şeyiniz varsa aklınızda tutmak veya kağıda yazmak VE bu kağıdı kaybetmemek ya da çaldırmamak! Şansımıza NSA şimdilik biz sıradan kullanıcıların bilgisayarlarını bu tür gelişmiş sistemlerle gözetlemiyor.

Bunun yerine internete hangi siteleri ziyaret etiğinizi gözetliyor. Neyse ki TOR Browsver ve Orbot rehberinde anlatıldığı gibi bunu önlemenin yolları var.


1http://io.netgarage.org/me/

Yorumlar

Yorum ekle

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir