Der Ruf nach vertrauenswürdiger Hardware

Petition von Purism an Intel zur Auslieferung von Prozessoren ohne die umstrittene „Intel Manageability Engine“: Für einen vertrauenswürdigen Betrieb von Computern ist nicht nur Software gefragt, deren Aufbau offen gelegt ist, sondern es braucht auch Hardware ohne versteckte Funktionen.

Seit etwa 2008 verbaut Intel eine Technologie in ihren Prozessoren, die für die Fernwartung der Computer geeignet ist. In grossen Unternehmungen ist so eine Funktionalität praktisch, wenn die IT-Abteilung auf diese Weise Wartungsarbeiten auf den Maschinen der Mitarbeiter durchführen kann, ohne dass die Computer angeschaltet sein müssen oder dass jemand sich davor setzt.

Intel nennt diese Technologie „Intel Active Management Technology“ oder kurz AMT. Sie ist Teil der „Intel Manageability Engine“ (ME), welche u.a. Dinge wie die Steuerung der Lüfter („Intel Quiet System Technology“) und andere Funktionen ausführt. Die ME läuft auch bei ausgeschaltetem Computer oder in den verschiedenen Ruhezuständen, um bspw. den Computer aus der Ferne wecken und aufstarten zu können (Wake-on-LAN, WOL). Sie hat eigentlich Zugriff auf die ganze Hardware und natürlich auch auf das Netzwerk.

Seit der Snowden-Affäre erwecken solche Technologien plötzlich mehr Aufmerksamkeit. Bis dahin wusste man, dass quasi jede Software sicherheitsrelevante Fehler hat, und ab da auch, dass diese Fehler auch ausgenutzt werden. Fehler in der Intel ME könnten dazu führen, dass der Computer ausgespäht würde, auch wenn – unter der hypothetischen Annahme, das existiere ­– ein Betriebssystem und Software ohne Fehler auf der Maschine liefen. Kürzlich wurde dazu ein Blog-Artikel veröffentlicht, der das Szenario entwarf, dass über die Intel ME ein Rootkit auf den Computer gelangen könnte, der für den Benutzer völlig unsichtbar wäre. Intel und deren Fürsprecher dementierten und versicherten, die Intel ME sei sicher und gut getestet. Leider hat die Glaubwürdigkeit amerikanischer Firmen diesbezüglich stark gelitten, seit bekannt ist, dass sie von Gesetzes wegen zur öffentlichen Lüge gezwungen werden können.

Vertipper in einem Menu der Intel ME
Vertipper im Menu (zweit unterste Zeile): Wie steht es wohl um die Code-Qualität der Intel ME?

Ein kleines Schmankerl zur Code-Qualität der Intel ME ist mir bei einer älteren Workstation aufgefallen: In der Einstellung, in welchen Ruhezuständen die Intel ME aktiv sein soll, prangt ein harmloser, aber peinlicher Vertipper auf dem Bildschirm in vorletzter Zeile des Menus: „OFF Afuer Power Loss“. Es ist kein Zeichen von guter Qualität, wenn es in Menus solche offensichtlichen Vertipper gibt, und auch nicht, wenn die gleichen Worte eine Zeile weiter unten richtig geschrieben erscheinen. Die Programmierer unter den Lesen werden sich ihren Teil schon denken, denn im Normalfall wird die Beschreibung einer Eigenschaft nicht redundant in den Code eingegeben, sondern referenziert.

Schon vor ein paar Jahren hat der bekannte Sicherheitsexperte Bruce Schneier in seinem Blog ein ähnliches Thema wie die Intel ME aufgegriffen. Er verweist in seinem Artikel auf eine Untersuchung zu den Baseboard-Management-Controllern (BMC), bei denen grundsätzlich das gleiche Problem wie bei der Intel ME besteht. Es ist ein eigenständiger Computer im Computer, so wie die Intel ME, jedoch nur als Zusatzboard oder als Bauteile eines Motherboards, anstatt dass sie fest im Prozessor eingebaut ist. Der BMC entzieht sich der Kontrolle der Benutzerinnen und Benutzer ebenso. Eine Blackbox, zu welcher der Code und u.U. ein Teil der Funktionalität geheim ist, der man vertrauen muss, wenn man einen Computer mit solcher Technologie benutzt. Nur ist das Vertrauen in die Firmen in den letzten Jahren zu Recht geschwunden.

Diesem Umstand entgegenzutreten, hat sich die aus einem Crowd-Funding hervorgegangene Firma Purism auf die Fahne geschrieben. Sie möchte Laptops, Smartphones und allenfalls auch Tablets herstellen, bei denen kein einziges Bit den BenutzerInnen ihrer Geräte verschlossen bleibt. Ein hehres Ziel und zur Zeit in etwa so erreichbar, wie die Ziele von „Fairphone“ oder der „Fair Mouse“ auf anderem Gebiet. Purism versprach, die Hardware-Komponenten ihrer Geräte so zu selektieren, dass sie ideal mit freier Software betrieben werden können und keine Firmware-BLOBs in Treibern zum Betrieb der Geräte nötig sein würden. Sie konnten dieses Versprechen aber im ersten Jahr seit der Lancierung nicht einhalten und wurden vor allem von Alex Gagniuc, einem coreboot Entwickler, angegriffen. Seine Kritik zielte auf mehrere Aussagen von Todd Weaver, dem Gründer und Inhaber von Purism, ab. Der Ruf von Purism litt unter den Anschuldigungen, obwohl eigentlich Purism im Ganzen die gleichen Ziele wie die coreboot-Entwickler und viele Exponenten in der Libre Software Community verfolgen.

Ein Dorn im Auge eines solchen Herstellers wie Purism ist natürlich die Intel ME, welche ihr die Kontrolle der BenutzerIn über ihre Hardware entzieht. Als kleiner Hersteller mit für Intel unbedeutenden Stückzahlen hat Purism den Prozessorgiganten nicht bewegen können, eine CPU ohne die Intel ME herauszugeben. In der Hoffnung, mit einem starken Zeichen der UserInnen Intel vielleicht in diese Richtung bewegen zu können, hat Purism im letzten Mai eine Petition an Intel zur Herausgabe eines Prozessors ohne die Manageability Engine gerichtet. Auch wenn man mit der Arbeit von Purism nicht zufrieden ist, oder deren Aussagen kritisieren kann, ist es der einzig richtige Weg, um performante, vertrauenswürdige Hardware auf dem Markt erhalten zu können: Die Intel ME hat in ihrer heutigen Form auf einem persönlichen Computer nichts zu suchen. Deshalb verdient die Petition von Purism die volle Unterstützung aller, denen sicheres Computing am Herzen liegt.

Zur Petition: https://puri.sm/posts/petition-for-intel-to-release-an-me-less-cpu-design/

Ein kleine Anmerkung: Allenfalls lässt sich die Intel ME deaktivieren, in dem im ersten Speichersteckplatz kein RAM verbaut wird. Zumindest ist das auf der Intel Webseite so publiziert:

„The firmware executes on the Intel ME processor and uses a small portion of the DDR RAM (Slot 0) for storage during execution. RAM slot 0 must be populated and powered on for the firmware to run.“

Ob sich durch das Weglassen des ersten Memory-Bausteins die Intel ME wirklich ausschalten lässt, habe ich nicht feststellen können.

Die Digitale Gesellschaft setzt sich für unsere Freiheitsrechte in einer vernetzten Welt ein. Durch eine Mitgliedschaft im gemeinnützigen Verein, als Gönner oder Spenderin kann die Arbeit nachhaltig unterstützt werden. Herzlichen Dank!

Autor: Adrian Zaugg

Adrian Zaugg studierte Geographie und Informatik und arbeitete bei
verschiedenen Organisationen als Informatiker. In den letzten Jahren
betreibt er erfolgreich ein Informatik-Dienstleistungs-Unternehmen. Es
liegt ihm am Herzen, dass die Grund- und Freiheitsrechte im Prozess der
Digitalisierung unserer Gesellschaft erhalten bleiben.

Abgelegt in Thema: