Igual que Asterix y los valientes galos no temían a nada excepto que el cielo cayera sobre sus cabezas, en el tema de la seguridad informática hace tiempo que mi mayor preocupación, es algo que tampoco podemos controlar: la inclusión de código en el firmware de nuestro hardware, que pueda actuar con un backdoor y no pueda ser auditado.
En el caso de los procesadores Intel su talón de Aquiles particular es el Intel Management Engine, un subsistema que reside en el hardware de sus procesadores (desde 2008) y que permite realizar conexiones remotas, independientemente del sistema operativo utilizado.
A nivel de empresas y grandes organizaciones puede tener su utilidad, pero hace unos meses se descubrió que además podía ser explotado por terceros, mediante una escalada de privilegios. Una vulnerabilidad que se saltaba cualquier protección de arranque, y permitía acceder directamente a la BIOS, arrancar o apagar el sistema, etc.
Para mitigar esa amenaza puntual, Intel liberó algunos parches, pero quedó lejos de proporcionar una solución general, para deshabilitar o eliminar esa función a voluntad. Algunos desarrolladores mediante ingeniería inversa han conseguido desvelar algunos de sus secretos, pero las soluciones propuestas quedan lejos del usuario común y corriente.
La gente de Purism –ahora de moda por su móvil Librem 5— lleva mucho tiempo trabajando en ofrecer portátiles basados en hardware libre (Librem 13 y 15), al tiempo que se alía con proyectos como Coreboot, nextcloud o Qubes OS para reforzar su seguridad.
Ahora sus desarrolladores han conseguido desactivar esa función por completo en su segunda generación de laptops (basada en la 6ª generación de Intel Skylake). Lo comenta Todd Weaver, fundador y CEO de la compañía:
La desactivación del Management Engine, que durante mucho tiempo se creyó imposible, ahora es posible y está disponible en todas los portátiles de Librem, también está disponible como una actualización de software para los portátiles vendidos anteriormente.
Los portátiles Purism Librem ya eran los ordenadores basados en Intel más seguros disponibles en el mercado hoy en día, pero deshabilitar el Management Engine, solidifica esa declaración claramente.
La desactivación de Intel ME –así como su verificación de que realmente se había llevado a cabo– no ha sido sencilla. Factores determinantes en la misma han sido el uso que Purism hace de su propio firmware de BIOS, donde una versión actualizada de Coreboot se encarga de realizar dicho trabajo.
En el blog de Purism tenéis el anuncio oficial, así con un artículo más técnico sobre como se ha llevado a cabo. Ya desactivado Intel ME, el siguiente paso –ya a más largo plazo– es trabajar para lograr su eliminación completa.
Fuente: lamiradadelreplicante