Vsak Intelov procesor ima še svoj operacijski sistem
Matej Huš
7. nov 2017 ob 12:01:34
Google se zadnje čase ukvarja z zanimivim problemom. S procesorjev, ki poganjajo njegove strežnike, želi odstraniti operacijski sistem Minix. To pa je precej teže, kot se sliši, saj Minix teče v varnostnem obroču (ring) -3. Res je, Intel je Minix zakopal v čisto vse moderne procesorje in to tako globoko, da ne le da ga praktično ne moremo odstraniti, večina sploh ne ve, da na njihovih računalnikih teče ta drugi, vsemogočni operacijski sistem.
Varnostni obroči so namenjeni točno temu, kar pove ime. Varujejo sistem pred napakami in zlonamerno programsko opremo tako, da nima kar vsak kos kode dostop do vsega. V obroču 0 je jedro operacijskega sistema, ki ima največ privilegijev. V višjih obročih so potem gonilniki (1, 2) in uporabniški programi (3), ki imajo omejene pravice. Nekateri sistemi tudi ne uporabljajo vseh štirih nivojev, ker jih ne potrebujejo. Toda to niso vsi obroči, ki obstajajo. V -1 je Xen. Še niže najdemo -2, kjer prebiva UEFI. Že ta ni ravno zgled varnosti, saj jo dosega bolj s prikrivanjem kakor dizajnom. V UEFI-ju, ki se zažene takoj po zagonu računalnika in je aktiven tudi kasneje, so že odkrivali malware. Zato je Google začel secirati UEFI in odstranjevati nepotrebne komponente.
Toda obstaja tudi obroč -3. V Intelovih procesorjih Minix teče v obroču -3, do kamor uporabnik sploh nima dostopa, Minix pa ima absoluten nadzor nad računalnikom. Koda, do katere nimamo dostopa, a ki vse vidi in vse ve, seveda kar kliče po zlorabah. Google je odkril, da v Minixu na Intelovih procesorjih obstajajo datotečni sistemi, številni gonilniki (tudi za USB in mrežo), omrežna povezljivost (networking stack) in spletni strežnik. Imeti nedostopen kos programske opreme, ki poganja spletni strežnik, v svojem procesorju, pa je zelo slaba ideja. Google sicer pravi, da AMD-jevi procesorji niso nič kaj boljši, saj so enako zaklenjeni. Se torej sploh še lahko zaščitimo?