没错,这个系统正是标题中提到的
MINIX,就是因为英特尔,它成了世界上最流行的操作系统,不过这引起了人们的注意和担忧。

如果要选出最流行的操作系统,我们也许会下意识地想到
Linux、Windows、macOS、iOS 和 Android
等一些当下主流的操作系统。但事实恐怕并不是我们以为的那样,你可能不知道,但在英特尔近些年推出的所有处理器中都运行着一个操作系统。

图片 1

许多媒体在过去几天都报道了这一消息,以至于惊动了 Andrew S. Tanenbaum
本人。他在个人网站上发表了至英特尔的公开信,强调自己并没有直接参与英特尔修改的
MINIX 3
这个项目,如果这个系统有后门的话,这与他无关(他对此并没有明说只是暗示)。

这里插播一下,Linus Torvalds 开发的 Linux Kernel 就曾受到 MINIX
的影响,不过这种影响更多是精神上的“鼓舞”,因为两者在设计上有很大的差异。

【嵌牛正文】:

MINIX 在处理器内部拥有自己的 CPU
内核和专属固件,完全独立于其他部分,而且完全隐形,操作系统和用户均不可见,运行权限更是达到了
Ring -3。

他说,英特尔的工程团队几年前接触了他,询问了大量关于 MINIX 3
的技术问题,要求他对 MINIX 3
进行大量改变,减少内存占用,选择性地关闭不需要的功能。在短暂的活跃之后双方进入了“无线电静默(radio
silence)”状态,直到现在媒体报道英特尔处理器都运行了 MINIX
3。他对此感到吃惊,但并不在意,因为操作系统是 BSD
授权,英特尔不需要付钱给他。他只是希望英特尔在使用了 MINIX 3
之后能通知他一下,这只是礼貌问题。

【嵌牛提问】:对于个人来说如何避免CPU的漏洞带来的隐患?

参考:NETWORKWORLD、Solidot

姓名:伍家文,学号:16130188036.

      不过话说回来,虽然 IME
确实是一个非常严重的漏洞,但是是不是真的能有大家说的那么可怕其实还是要打上一个问号,有专业人士表示,虽然
IME 存在于 CPU 芯片组中,但两者其实是独立工作的,所以 IME 或许并不能控制
CPU。而且我们的 PC 中每个硬件其实都会有固件,比如网卡、显卡等等,只不过
IME存在于芯片组中所以格外受关注,但其实英特尔芯片组中还有英特尔服务器平台(Server
Platform)和英特尔可信执行引擎(Trusted Execution
Engine)等部分呢,不少大神认为固件存在漏洞是非常正常的事情。

所以,你怎么看待 MINIX
以及英特尔管理引擎这个核心部件呢?英特尔应该删除它吗?

图片 2

可能还是有朋友不理解,为什么一块负责运算的 CPU 也会出现漏洞呢?其实 IME
一开始并不在 CPU中的,随着越来越多的越来越多的芯片、功能被集成到 CPU
的芯片组中,酷睿处理器早就不只是一个负责计算的工具了,反而更像是移动
SoC那样的芯片组,而 IME 也随着这个过程进入了 CPU 之中,位于南桥 PCH
芯片组中。

如果要选出最流行的操作系统,我们也许会下意识地想到
Linux、Windows、macOS、iOS 和 Android
等一些当下主流的操作系统。但事实恐怕不是我们以为的那样,你可能不知道,但在英特尔近些年推出的所有处理器中都运行着一个操作系统。

但是不妨考虑这样一个问题,如果这样的系统遭受外部攻击,比如植入恶意软件,用户对此将毫无办法,因为谁都没有途径去访问它。

图片 3

要知道,我们日常使用的应用程序权限级别都是 Ring 3,操作系统内核的是 Ring
0,这也是一般用户能够接触到的最低权限,MINIX 竟然深入到了 Ring -3。

而一旦英特尔管理引擎受到危及,有可能给攻击者留下严重的后门。研究人员特别指出,由于其在初始化硬件、电源管理和启动主处理器等方面扮演重要角色,无法完全被禁用。这让安全研究人员甚为担忧,因为除了英特尔外,谁都无法审查有无后门(毕竟英特尔使用自己修改过的
MINIX 3 没有开源)。

正因如此,有不少人会以为 IME 的这个漏洞会拥有最高的运行权限,也就是 Ring
-3 (我们平时用的软件权限为 Ring-3,最低;操作系统为 Ring 0,较高;而
BIOS 的权限是 RING -2),如果运行 IME
的权限为Ring-3,那一旦被控制,真的是可以为所欲为了,用户甚至连访问黑客植入的恶意软件都做不到,更别说清除了。甚至还有人认为,这样拥有最高权限的漏洞,很有可能就是英特尔故意留的后门。毕竟英特尔早在2008年就已经开始使用
IME技术了,而因为这项技术能够独立于系统和其他硬件来完成一些管理任务,并且用户无法移除它(因为它是物理存在的,你只能关掉它的固件),所以电子前沿基金会(EFF)一直很反对在CPU
中使用
IME。可是英特尔一直特立独行,直到这次东窗事发,这么看来确实值得怀疑。

图片 4

所以,你怎么看待 MINIX
以及英特尔管理引擎这个核心部件呢?英特尔应该删除它吗?

其实早在这家安全公司发布声明之前,谷歌就已经发现 IME 运行的是一个名为
MINIX 的操作系统,正是它获取了
Ring-3权限,而谷歌一直都在尝试着从自家服务器的 CPU 中移除
MINIX,但是却没能成功。而在这次英特尔宣布
IME存在漏洞之后,谷歌也第一时间停止了 IME
固件。而英特尔自己表示,他们已经开发了补丁软件来修复问题,现在已经有联想和戴尔提供了修复固件,并且还建议企业、用户应该与设备制造商和供应商核实系统升级情况,并且尽快进行任何可用的升级。不过对于实在不放心的用户来说,直接关闭掉IME
也是不错的选择,在设备管理器中就能找到它哦!

如果真的因为 MINIX
而遭受攻击,可能会迫使用户开始寻找英特尔的替代品。有什么选择呢?AMD?但
AMD 处理器是否也有类似的情况,尤其是其最新的 Zen
架构产品,目前还不得而知。

惊动了 MINIX 作者本人

本文转自 

这里插播一下,Linus Torvalds 开发的 Linux Kernel 就曾受到 MINIX
的影响,不过这种影响更多是精神上的“鼓舞”,因为两者在设计上有很大的差异。

Web 服务器

【嵌牛鼻子】:完全独立运行、用户无法移除、MINIX

现代英特尔处理器中都有一个核心部件 —— 英特尔管理引擎 (Intel ME-Intel’s
Management
Engine),用来管理协调内部的诸多模块,尤其是传统芯片组整合进入之后,处理器已经差不多成了
SoC 单芯片系统,更需要一个“总管”,MINIX 正是负责这个工作。

文件系统

这事情背后究竟是什么,只有英特尔知道了

而一旦英特尔管理引擎受到危及,有可能给攻击者留下严重的后门。研究人员特别指出,由于其在初始化硬件、电源管理和启动主处理器等方面扮演重要角色,无法完全被禁用。这让安全研究人员甚为担忧,因为除了英特尔外,谁都无法审查有无后门(毕竟英特尔使用自己修改过的
MINIX 3 没有开源)。

【嵌牛导读】:MINIX,因为英特尔,它成了世界上最流行的操作系统,不过由此也引起了人们的注意和担忧。

如果你连关闭固件也不放心,那考虑不含 IME 组件的产品或者是转投AMD
或许也不错,旧金山就有一家名为 Pruism 的公司主打禁用IME
的笔记本产品,该公司 CEO 表示 Purism 之所以很早就禁用了
IME,是因为他们知道
IME从威胁变成现实只是时间上的问题,一名攻击者可以再不借助任何高级软硬件的情况下完全控制一台计算机,不管是加密存储、密码密匙、机密文件全都无所遁形。

事实上,即便是在休眠乃至关机状态下,MINIX
都在不间断运行,因为英特尔管理引擎要在处理器启动的同时就开始执行管理工作,还要负责芯片级的安全功能。

转载自:

图片 5

  • 完整的网络堆栈

  • 文件系统

  • USB/网络等大量驱动程序

  • Web 服务器

这就使得 MINIX
拥有至高无上的地位,而且只要你的电脑使用的是英特尔近些年推出的处理器,都有一个它在默默运行,这使得它成为名副其实的世界上最流行的系统。

至于后门的问题,只有英特尔自己知道有没有了,包括前面提到的 MINIX
操作系统的作者 Andrew S. Tanenbaum
也很担忧,他表示因为自己没有参与英特尔的这个项目,并暗示如果有后门与自己无关。

但是不妨考虑这样一个问题,如果这样的系统遭受外部攻击,比如植入恶意软件,用户对此将毫无办法,因为谁都没有途径去访问它。

它是如何成为最流行的操作系统而又引起人们的注意和担忧?

虽然对于 IME 的质疑从来没有间断过,但是知道今年安全公司 Positive
Technologies 表示他们已能够通过 USB 接口,在运行 IME
的计算机上执行未经签名的代码,这才引起了英特尔的重视,然后在近日发布了声明。

英特尔安全部门的首席技术员 Steve
Grobman 此前曾说道:“公司不会做任何破坏用户安全的行为,也不会在其产品中放置后门,更不会让自家的产品在没有获得用户明确许可的情况下让英特尔控制或访问用户的计算机系统。”

【嵌牛正文】:

姓名:于彤彤    学号:17101223401

它是如何成为最流行的操作系统而又引起人们的注意和担忧?

许多媒体在过去几天都报道了这一消息,以至于惊动了 Andrew S. Tanenbaum
本人。他在个人网站上发表了至英特尔的公开信(
MINIX 3
这个项目,如果这个系统有后门的话,这与他无关(他对此并没有明说只是暗示)。

       让我们先来认识一下
IME,IME最开始是用来监控、协调处理器芯片组中诸多模块的,以获得最好的性能和功耗平衡。而后期英特尔又为其赋予了检查操作系统、管理员远程控制(企业中经常会用到),还有从应用更新到故障排除等等一系列功能。英特尔也在官网中表示系统出现任何问题都不可能是IME
的故障,因为 IME 本质上运行在一颗微处理器上,也侧面证明了 IME
确实是可以完全独立运行的。

Andrew S. Tanenbaum 称,MINIX 3 在 2000 年决定采用 BSD
授权,原因是企业不喜欢 GPL 许可证,认为 GPL
会让他们花费许多时间精力金钱去修改代码,然后免费提供竞争对手。

如果真的因为 MINIX
而遭受攻击,可能会迫使用户开始寻找英特尔的替代品。有什么选择呢?AMD?但
AMD 处理器是否也有类似的情况,尤其是其最新的 Zen
架构产品,目前还不得而知。

图片 6

他说,英特尔的工程团队几年前接触了他,询问了大量关于 MINIX 3
的技术问题,要求他对 MINIX 3
进行大量改变,减少内存占用,选择性地关闭不需要的功能。在短暂的活跃之后双方进入了“无线电静默(radio
silence)”状态,直到现在媒体报道英特尔处理器都运行了 MINIX
3。他对此感到吃惊,但并不在意,因为操作系统是 BSD
授权,英特尔不需要付钱给他。他只是希望英特尔在使用了 MINIX 3
之后能通知他一下,这只是礼貌问题。

这种设计当然存在巨大的安全隐患。出于安全考虑,谷歌正在努力从他们内部的服务器上移除
MINIX,但尚未成功。不过谷歌研究后发现,MINIX Ring -3
具备操作以下功能的权限:

图片 7

图片 8

【嵌牛鼻子】:MINIX,漏洞

      
英特尔承认公司最近数年售出的PC芯片全部存在多个严重的软件安全缺陷,包括2015年以后推出的第六代、第七代以及最新的第八代酷睿芯片。

MINIX 是计算机科学教授 Andrew S. Tanenbaum
为给学生教授操作系统运作细节而开发的一个类 UNIX
操作系统,内置于每一款英特尔近些年推出的处理器内。确切地说,这些处理器都运行着一个修改版的
MINIX 3。MINIX 3 与 Andrew S. Tanenbaum 最早开发的 MINIX
有些区别,它重新架构与设计了整个系统,更进一步的将程序模块化,并以 BSD
许可协议发布,成为开源软件。

何为 MINIX?

我们该怎么对待这个漏洞呢?

这就使得 MINIX
拥有至高无上的地位,而且只要你的电脑使用的是英特尔近些年推出的处理器,都有一个它在默默运行,这使得它成为名副其实的世界上最流行的系统。

没错,一个 Web 服务器。你的 CPU
有一个隐藏的网络服务器,但你无法访问。显然,英特尔也不希望你知道。这就意味着
MINIX
独立于计算机系统之外,想做什么都可以,甚至能在你关机的状态下架设一个联网服务器!不过也有用户表示,关机状态下访问你的电脑并没太大意义,毕竟没什么可用的数据,因为内存不会保存任何数据,硬盘没通电也无法读取数据。

【嵌牛导读】:在本月月初,安全公司 Positive Technologies
发布报告称,英特尔管理引擎(Intel Management Engine,以下简称
IME)存在严重漏洞,黑客能够通过该漏洞完全控制目标计算机,甚至关机状态下都可以。本篇文章就IME漏洞作以简单的介绍。

这种设计当然存在巨大的安全隐患。出于安全考虑,谷歌正在努力从他们内部的服务器上移除
MINIX,但尚未成功。不过谷歌研究后发现,MINIX Ring -3
具备操作以下功能的权限:

英特尔安全部门的首席技术员 Steve Grobman
此前曾说道:“公司不会做任何破坏用户安全的行为,也不会在其产品中放置后门,更不会让自家的产品在没有获得用户明确许可的情况下让英特尔控制或访问用户的计算机系统。”

那么这个漏洞的危险性究竟有多高?

没错,一个 Web 服务器。你的 CPU
有一个隐藏的网络服务器,但你无法访问。显然,英特尔也不希望你知道。这就意味着
MINIX
独立于计算机系统之外,想做什么都可以,甚至能在你关机的状态下架设一个联网服务器!不过也有用户表示,关机状态下访问你的电脑并没太大意义,毕竟没什么可用的数据,因为内存不会保存任何数据,硬盘没通电也无法读取数据。

完整的网络堆栈

图片 9

惊动了 MINIX 作者本人

事实上,即便是在休眠乃至关机状态下,MINIX
都在不间断运行,因为英特尔管理引擎要在处理器启动的同时就开始执行管理工作,还要负责芯片级的安全功能。

没错,这个系统正是标题中提到的
MINIX,就是因为英特尔,它成了世界上最流行的操作系统,只要你有一颗 Intel
近些年出的 CPU 处理器,其中就包含了它。

【嵌牛提问】:MINIX到底安不安全?

MINI 原来是荷兰阿姆斯特丹的 Vrije 大学计算机科学系的 Andrew S. Tanenbaum
教授为给学生教授操作系统运作细节而开发的一个类 UNIX
操作系统,本来是个教育工具,全部的程序码共约 12,000 行,如今 Intel
将其整合在了每一块处理器中。

确切地说,这些处理器都运行着一个修改版的 MINIX 3。MINIX 3 与 Andrew S.
Tanenbaum 最早开发的 MINIX
有些区别,它重新架构与设计了整个系统,更进一步的将程序模块化,并以 BSD
许可协议发布,成为开源软件

Andrew S. Tanenbaum 称,MINIX 3 在 2000 年决定采用 BSD
授权,原因是企业不喜欢 GPL 许可证,认为 GPL
会让他们花费许多时间精力金钱去修改代码,然后免费提供竞争对手。

图片 10

USB/网络等大量驱动程序

MINIX 在处理器内部拥有自己的 CPU
内核和专属固件,完全独立于其他部分,而且完全隐形,操作系统和用户均不可见,运行权限更是达到了
Ring -3。

MINIX 的名称取自英语 MINI UNIX,是一个迷你版本的类 UNIX 操作系统(约
300MB),其它类似的系统还有Idris、Coherent 和 Uniflex 等。这些类 UNIX
操作系统都是重新发展的,并没有使用任何 AT&T 的程序码。

要知道,我们日常使用的应用程序权限级别都是 Ring 3,操作系统内核的是 Ring
0,这也是一般用户能够接触到的最低权限,MINIX 竟然深入到了 Ring -3。

图片 11

现代英特尔处理器中都有一个核心部件 —— 英特尔管理引擎 (Intel ME-Intel’s
Management
Engine),用来管理协调内部的诸多模块,尤其是传统芯片组整合进入之后,处理器已经差不多成了
SoC 单芯片系统,更需要一个“总管”,MINIX 正是负责这个工作。