本文摘要：本文作者：光谱，微信公众号：硅星人（guixingren123），(公众号：)获得作者许可表示同意刊登。你告诉吗？在你电脑的 CPU 里，还秘藏着一台“小电脑”，不仅文件系统、驱动、联网功能一应俱全，还能……能做到的实在太多了。最可怕的是：你不了开动它……回答你两个问题：首先，你的电脑运营什么操作系统？无非是 Windows 10、macOS，或者成百上千种 Linux Linux的其中一个吧……第二个问题：你的服务器，运营什么操作系统？

本文作者：光谱，微信公众号：硅星人（guixingren123），(公众号：)获得作者许可表示同意刊登。你告诉吗？在你电脑的 CPU 里，还秘藏着一台“小电脑”，不仅文件系统、驱动、联网功能一应俱全，还能……能做到的实在太多了。最可怕的是：你不了开动它……回答你两个问题：首先，你的电脑运营什么操作系统？无非是 Windows 10、macOS，或者成百上千种 Linux Linux的其中一个吧……第二个问题：你的服务器，运营什么操作系统？基本都是 Linux 吧……但如果硅星人告诉他你：你的电脑和服务器里，只不过还秘藏着一台你显然不告诉的谜样「小电脑」，运营着一个你显然不告诉的谜样操作系统呢？来，搬到好小板凳，中天。隐蔽在 CPU 里的谜样「OS」再问一个问题：你的电脑或者服务器用的什么处理器？只要是 Mac/Windows PC/Chromebook，而且是最近几年出售的——认同用的是英特尔的处理器，没悬念。

而我们今天的主角，这台谜样的电脑和操作系统，就秘藏在英特尔处理器里。从 2006 年往后所有的英特尔处理器里，都植入了一个名为 AMT 的技术。

它的全称是：Active Management Technology（主动管理技术，也叫 ME, Management Engine）[1]这么众多段字，硅星人老大你长求总一下：首先，AMT 需要让英特尔远程确保升级处理器固件，以保护计算机不出处理器这个环节被攻陷。其次，如果你被辞退了，公司 IT 可以在处理器的层级远程控制你的电脑，该瞄准瞄准该重置重置，保证公司资料不泄漏。

那么，AMT 又是怎么构建的呢？这是因为，处理器里本来就运营着一个名为MINIX(mini-Unix) 的操作系统。它的体量十分小，一般来说只有 5MB 左右，在处理器出厂之前就早已写出了进来。

也就是说：MINIX 是世界上最风行的操作系统——比 Linux 还风行……有了 AMT 和 MINIX，你的 CPU，只不过不是你的 CPU 了。AMT 就像宿主在你电脑里的一台「小电脑」一样。它不但不不受宿主的掌控，反而不会掌控宿主！[2]就像科幻电影《黑衣人》(MIB) 的这一幕：可是，AMT 怎么就掌控了我们的电脑呢？大家都告诉 Google 云计算很得意。作为云计算行业的巨头之一，Google 都的数据中心不是每一台都运营 TPU 啦……还是要订购十分多的英特尔处理器。

但 Google 的工程师们找到：在我们的 Linux 操作系统和处理器硬件之间，还秘藏着最少 2½ 个内核；这些内核不但对 Google 几乎不对外开放，而且还很更容易遭到黑客攻击，反击还有能力改写内核本身，Google 无法修缮。在右图中，Google 的工程师叙述了这2½ 究竟都还包括了些什么你不会看见 Ring 这个东西。它代表的是权限层级，数字就越低离用户越大、权限越高。Ring 3 是用户在操作系统上能认识的内容，比如软件或者文件；Ring 2 到 1则是驱动，Ring 0 是操作系统内核，也是用户，而且是十分有经验的用户，比如专业的 IT 人士所能触碰和改动的低于层级。

但 Ring 0 并不是重点……往北下还有 Ring -1、-2 和 -3。一般人并不知道有负数层的不存在，在大部分 Ring 示意图离都显然看到负数层，因为它们并不是对外开放的。

负数层都在处理器内核上。如果你翻过 Android 手机第三方内核，有可能告诉 CPU 核心资源是可以调整的，这个能力一般来说在 Ring -2 上。

至于 Ring -3，权限早已十分之低了……别说你或者 IT 小哥，连电脑公司（戴尔、惠普、苹果）都触碰将近。而 MINIX 就运营在 Ring -3 上。

这里，是归属于芯片厂商的「意味著领域」。麻雀虽小，五脏俱全这个操作系统里都装有了些什么呢？Google 的工程师之后研究，找到里面东西还真不少……文件系统CPU 资源分配一套原始的驱动，还包括 USB、联网 (IPV6)、声卡显示卡等TLS 加密通讯协议一个网络服务器原始的网络栈（跟联网没关系，你就解读为把各个元器件连接起来让数据互通）电脑该有的东西都齐活了，现在你告诉为什么管它叫小电脑了吧……至于这个小电脑都能做到些什么，听得完了你一定会惧怕的：加载硬盘上的所有文件、记录键盘和鼠标、提供图片、联网上载和iTunes数据、查阅所有运营中的程序、分配资源、关上和关闭程序、在防火墙关上/软件折断网时通过物理网线/ WiFi 传输资料、开机和关机、在关机状态下萃取缓存数据、改写处理器内核等等等等……——它能做所有上述的事情，而且还是在几乎对用户不为人知的前提下。管理员账户？硬盘分区？双系统？别打趣了，你能做到的所有事情都在 Ring 3，而 MINIX 的所作所为都在 Ring -3 上，你显然看到。申明一遍：这是 Ring -3 层级，是芯片厂商的意味著领域。

这个层级对你的电脑或服务器享有百分之百的控制权，而这个至高无上的领域只归属于芯片厂商。（题外话：都说道每次苹果放新手机，原有 iPhone 就会立减慢逆费电。

库克桌子上是不是知道有个按钮，我们有可能无法知悉，但最少你现在告诉，芯片厂商享有这样的能力意味著不是都市传说……）有后门就没意味著安全性既然 Ring -3 权限只归属于芯片厂商，那么好，如果芯片厂商都靠谱的话，应当会出有问题吧？很失望，真凶并非如此。现实中，黑客可以通过很低劣但很有效地的方式，比如钓鱼邮件，比如社会工程学；或者更聪明的方式，比如通过可被 AMT 系统辨识，需要必要转入处理器，但会被防火墙挡住寄居的特定流量 (SOL Traffic，右图)，来取得一家企业的 IT 管理员的权限。最一开始提及，英特尔彰显了企业管理员利用 AMT 渠道来管理办公硬件的能力，而黑客提供了管理员权限，也就掌控了 AMT 的控制权。进而，他们可以通过 AMT 渠道去掌控更好的设备，不断扩大破坏力。

前段时间，微软公司就早已找到了一个名为 PLATINUM 的黑客机构/恶意软件，在利用这种方式藉由 AMT 的后门入侵了大量东南亚的电脑。[3]今年 5 月，英特尔忽然宣告了一个跟 AMT 有关的漏洞信息，并获取了补丁。结果安全性专家们一看，这个漏洞早已对外开放了长约 7 年之久……Google 指出，这个漏洞有可能早已造成多达 10 亿台设备曝露。然而英特尔公布的只是一个补丁，意味著多特了一道锁住。

可只要 AMT 依然拔着，不给用户重开的自由选择，显然没任何本质上的区别。不管加多少道锁住，后门仍然是后门。总结一下：AMT 需要联网和加载你的所有文件；它对少见的刷机免疫系统，需要自修缮；它本身不是意味著安全性的，有 bug，有漏洞；你以为你用的是最安全性的 Linux Linux，实质上这个充满着漏洞的系统需要在你眼皮底下掌控 Linux……这一切，怎么会会让你深感毛骨悚然吗？既然英特尔不给关也不给钥匙，人们开始自己研究关门的方法。

首先，迁入平台不现实。x86 处理器只有英特尔和 AMD，而AMD 也有一个同类技术，叫作 PSP，全称 Platform Security Processor，逻辑有所不同，功能近似于——一句话总结：没有比英特尔强劲多少……AMT 还知道很很差处置。它沦为了 处理器「开机」的一个必经之路的固件，如果你几乎去杀掉 AMT，就相等去除了「开机键」，处理器有可能进没法机，或者无法长时间工作。

但好在 AMT 固件里面有很多组件（如前述对应“小电脑”的有所不同功能），而这些组件大多数都是可以去除的。GitHub 上有一个 me_cleaner 工具，可以去除联网、驱动、键盘记录器等各种 Ring -3 上压根不应经常出现的东西。用这个工具刷机后，AMT 的固件尺寸从几 MB 减少到了 300K 左右，删去的东西之多可想而知……更进一步，Google 的工程师还想要去除 Ring -2 上的一些某种程度功能过于强劲、过于底层，很更容易作为漏洞被利用的固件。

他们用自己撰写的进源文件管理系统替代原本的系统，不但减缓了开机时间，还强化了系统的整体稳定性。在技术界崇尚开源的一个最重要原因在于，开源意味著人们可以明白它的机制，在攻防中不断进步，长年来看更加安全性。然而，英特尔和 AMD 将它们各自最底层操作系统的代码奉若神明，实质上的屏蔽性能却不如它们想象的好。所以，解决问题这个问题有两种思路，要么去除，要么开源。

但问题是，这两种，都会对芯片厂商的商业模式带给根本性的政治宣传……不过好在现在这个“小电脑”的不存在早已几乎曝露，更加多的人开始注目这个问题。今年 5 月，电子前线基金会 (EFF) 也向英特尔大喊了，拒绝它：获取 AMT 功能组件的详尽明晰解释文档，告诉用户查询组件的命令，获取掌控这些功能的用户界面；容许用户查阅 AMT 的核心代码来证实漏洞；获取重开 AMT 的方式，容许用户刷入社区开源的 AMT 固件，等等。但很失望，英特尔目前依然无动于衷……失望的是这种情况大家不能默默地拒绝接受。

英特尔是世界上仅次于的芯片供应商，对 Google 这样的云计算巨头来说迁入平台的代价成本太高了，完全不有可能，只有英特尔能符合市场需求。一切过后，最显然的问题依然没解决问题。

本质上，拔着 AMT 和 MINIX 就是拔着后门。去除才能完全重开它。这也是 Google 的工程师开始研究去除 AMT 组件的根本原因所在：如果英特尔可以在自己最关键的业务后台保有后门，保有一个具备极大的潜在信息安全隐患的漏洞，却拒绝接受获取合理说明，也不因应客户的拒绝得出关门的方法，那么大家不能各自行动了……现在，你早已对这个不为人知的终极操作系统有了一个基本的了解。

还在跟别人争执 Windows、macOS、Linux 究竟哪个操作系统最低喜？省省吧……咱们大家都是 MINIX 的用户……[4]以及，听得没听说过 NSA 的「棱镜」计划？是不是仍然不明白怎么构建的？猜测究竟是不是那么强劲的大规模掌控和监控技术？现在，你还猜测么？（完了）[1] 英特尔® 主动管理技术 https://www.intel.cn/content/www/cn/zh/architecture-and-technology/intel-active-management-technology.html[2] 資訊人權貴.藏在 CPU 裡面的小小太上皇 CPU： Intel ME 跟 AMD PSP https://ckhung0.blogspot.com/2017/06/intel-me-amd-psp.html?m=0[3] 搜狐科技.顶级黑客利用英特尔 CPU 模块盗取敏感数据http://www.sohu.com/a/147995186_257305[4] Network World.MINIX—The most popular OS in the world, thanks to Intelhttps://www.networkworld.com/article/3236064/servers/minix-the-most-popular-os-in-the-world-thanks-to-intel.html（录：本文获得许可刊登，不代表立场）原创文章，予以许可禁令刊登。下文闻刊登须知。

本文关键词：你,电脑,的,CPU,里,皇冠新体育官网,被,藏,了,台,“,小电脑,”

本文来源：皇冠新体育官网-www.actuariacnam.com