[更新] 没想到的小赠品:Intel CPU 的电脑都内建附赠 Minix 作业

[更新] 没想到的小赠品:Intel CPU 的电脑都内建附赠 Minix 作业

(2017/11/22 笔者更误:之前误判 Intel ME 已被整合到 CPU 里,实际上还在主机板上的晶片组里,今予以修正)

全世界个人电脑装机最广的系统是什幺呢?是 Windows 吗?不是;是 macOS 吗?当然也不是;我知道了,是 GNU / Linux 吧? 很可惜的,整个「3C 设备」领域算是,但单就个人电脑市场也不是。笔者来揭晓正确答案吧:是 Minix。自 2006 年开始,每台使用 Intel CPU 的电脑里面都有另一颗特殊的「小电脑」──Intel ME(Intel 管理引擎),其上运作 Minix 作业系统,然而现在这引起大家的忧虑。

什幺是 Intel ME?这个特殊的元件提供 Intel 的主动管理服务( Active Management Technology)机能,能进行开机防护、影音数位版权管理(Digital Restrictions Management),甚至让企业 IT 人员可从远端网路连线来修复和保护桌上型电脑、笔记型电脑或伺服器(也就是提供远端遥控机制)。Intel ME 什幺时候运作呢?当你电脑开机时需要它,电脑运作时,它也在背后默默运作,甚至休眠时,它还活着可以接收来自网路的指令!现代使用 Intel core CPU 的电脑,机板上的晶片组里都有 Intel ME 。

MINIX 是什幺?

从 Intel ME-11 开始,里面运作着另一个作业系统 Minix ,买一送一耶,那这又是什幺东西呢?

请容笔者讲点古。Minix 是一套 BSD 授权的开放原码作业系统,作者是 Andrew Tanenbaum,他是荷兰阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)的教授,Minix 最初设计目的是用在大学资讯相关科系作业系统课程用的教具,此外在 1991 年左右,也是极少数能在个人电脑运作的类 Unix 系统──今日我们有 Mac OSX 、iOS、Android(Linux)、Chrome OS(也是 Linux 基底)或各种 GNU / Linux 桌面系统发行套件,它们都是 Unix 衍生或相容物,而在 1991 年以前,Unix 系的系统只用在大型主机与工作站领域。

Minix 启发了 Linus Torvalds 开发出 Linux,也可说是孕育出 Linux 的摇篮──早期 Minix 虽可取得原始码,但必须先付费,且还有很多机能不够理想,使用者不能自由修改程式码,因为当时授权还不是 BSD 而有重重修改限制。因此当时 Linus 在 Minix 另行开发自己理想的 Linux,以 GPL 自由软体授权发表,许多程式设计师也纷纷离开 Minix,加盟 Linux 的开发。

Minix 跟 Linux 当时一时瑜亮,在网际网路萌芽初期,有很多两者间的技术论战,不过后来结果大家都知道,採用 GPL 授权的 Linux 红遍全世界,学术界、业界大幅採用,几乎是当代工业标準,连当时最痛恨 Linux 的 Microsoft 今日也大为拥抱,而当时限制「只能做教学用途」的 Minix 从此没有多少能见度,后来 2000 年的 Minix 3 改採 BSD 开源授权,似乎为时已晚。而今日 Intel 竟然在主机板上埋了一个 Minix ,连 Tanenbaum 本人原本都不知道也很惊喜,他还写了一封公开信给 Intel。没想到自当年论战后,今天在 PC 市场的占有率,Minix 打败了 Linux 了。

安全问题

话说回来,买一送一不是很好吗?为何很多人担忧这个系统呢?因为我们自己的作业系统核心运作等级是 ring 0,一般应用程式是 ring 3,然而, 当 Intel ME 上的 Minix 干涉到我们平常使用的作业系统时,其运作等级是 ring -3(负3),是最高等的权限,而据 Google 的研究发现,这一个系统可以控制到电脑完整的网路堆叠、档案系统、许多的驱动程式(包含 USB、网路等等),甚至还有自己的网页伺服器,在电脑开机时、运作时、休眠状态时它都在运作,你的作业系统有设防火墙都没有用,它看得到你所有的东西,但你却看不到它也控制不了它,也就是说这个 Minix 是一个太上皇的存在!

这有非常大的安全隐忧,因为这个祕密的 Minix 系统跑着许多的服务,可以监控甚至干涉主作业系统的运作,但是黑箱不透明,只能仰赖 Intel 的安全更新,该系统的漏洞被骇客(cracker )找到的话,就可藉由该系统完全控制使用者电脑,从开机、关机、读取档案、检查正在执行的程式、追蹤键盘/滑鼠动作、存取萤幕昼面等,都办得到,这会变成很大的安全隐忧,几乎是不设防的后门。就在今年 5 月开始,Intel ME 开始爆发严重资安危机(然而逆向工程专家 Igor Skochinsky 在 2012 年发表的 Rootkit in Your Laptop 已指出问题),开始渐为人关注,有许多人努力找出关闭它的方法。

Intel 埋了一个祕密的网页伺服器在你的主机板上等着有人来敲门,却又不跟你说会有什幺人来「参观你的电脑」,感觉就让人头皮发麻,难怪 Google 等厂商正汲汲于关闭其採用数以万计伺服器机板上的 Intel ME ,但又不能影响伺服器正常的开机。看来羊毛出在羊身上,买一送一不见得好啊。