Intel-SA-00086 Detection Tool (매니지먼트엔진(ME) 펌웨어 취약점) 그리고 최근의 멜트타운, 스펙터 버그 관련글 링크

intel SA 00086

올라온 글의 댓글을 보면, 요즘 이슈인 그 취약점은 아니라고 합니다.

하지만 제 컴퓨터는 취약하다고. ㅠ.ㅠ

웬만해서는 메인보드 펌웨어를 엎고 싶지 않았는데.. 요즘 컴퓨터가 별로 미덥지가 않고 윈도우 시스템단에서 CPU점유율을 먹고 버티는 현상, 꺼놓은 컴퓨터가 켜지는 현상 등을 봐서 윈도우를 엎어줄 때가 된 것 같기도 합니다.

* 다운로드: https://downloadcenter.intel.com/download/27150

실행 결과:

요즘 이야기는

2018년 인텔 CPU 보안 버그 유출 - 나무위키/ 멜트타운(meltdown), 스펙터(spectre) 버그

참고. 나무위키링크를 좋아하진 않지만, 지금 시점에서 여러 사람이 공동편집하며 갱신이 빠른 우리말 웹사이트는 저는 여기 밖에 몰라서.

관련한 KISA 공지입니다.

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26929

모든 코어 i 시리즈 CPU 사용자 위협 멜트다운과 스펙터 보안 위협 바로알기 - 보드나라 2018.1.4

구글에서는 이 문제를 꽤 전에 알아내서 인텔에 통보했고, 인텔은 주요 고객사에 통보해 대응하도록 하면서 소비자 일반에게는 요즘 발표했는데^{[각주:1] [각주:2]} 그 기간동안 인텔의 짱이 주식을 팔아서 욕먹고 있습니다. 한편 이 버그에 대한 패치가 나오긴 했는데^[각주:3], 그것을 적용하면 시스템과 사용 조건에 따라 성능이 떨어진다고 합니다. 빡세게 사용하는 조건에서는 확 떨어지고 설렁설렁 사용하면 별로 모를 거라는 소리가, 하드웨어쪽에서 어디 대역폭을 줄이거나 리소스를 버그방지에 돌려쓰기라도 하는 모양입니다. 하지만 아래 구글의 기사와 여러 벤치쪽기사가, 금주 초의 그 난리통을 생각하면, 펌웨어와 소프웨어 패치만 제대로 하면 실사용 성능 하락은 그렇게 체감할 만한 문제는 아닐 거라는 식으로, 일단 미국발 뉴스들은 흘러가는 모양입니다. (그러니까 성능 조금 떨어질까 겁내서 보안패치 안 하는 바보짓은 하지 말라는 이야기)

재미있는 게, 구글 아마존 페이스북같은 미국의 거대 서비스기업들은 이렇게 하드웨어쪽에도 엄청나게 투자하고 또 종종 그걸로 수익모델을 만들어냅니다. 필요한 김에 제대로 하고, 하는 김에 돈도 벌고.. 구글은 위의 ME 취약점때부터, 대체 펌웨어를 개발하는 수준이라고 합니다.

인텔CPU 보안구멍, 구글이 메운다/ 보안허점 투성이 펌웨어, 리눅스커널로 대체 - zdnet 2017.11.30

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20171130005456

구글은 이 연구를 통해 통해 불필요한 ME 펌웨어 기능과 부팅전 동작을 모두 제거하고 리눅스의 성능, 안정성을 갖춘 대체 펌웨어를 쓸 수 있게 됐다. (중략) 셸프롬프트를 띄우기까지 8분 정도 걸렸던 부팅 시간을 17초로 단축했다.

인텔CPU 컴퓨터엔 사용자를 위한 OS와 별개로, 사용자가 존재를 의식하지 못하는 3가지 OS가 있다. 이번에 보안취약점을 드러낸 ME가 그 하나고, 바이오스(BIOS) 영역에서 실행되는 시스템관리모드(SMM)와 통합확장펌웨어인터페이스(UEFI)가 나머지 2가지다. (중략) 모두 저마다 잠재적 보안위협 요소를 내재

(단순히 어떤 기능을 처리할 뿐 아니라, 내장 랜카드를 통해서인가? 인터넷통신도 할 수 있나 봐요?)

ME, SMM, UEFI같은 펌웨어 수준의 코드는 서로 맞물려 사용자에게 안 보이게 숨어서 동작하며 전원 공급 여부에 구애되지 않고 스스로 코드를 변경하거나 재설치 가능한 권한을 갖고 있는데 보안에 취약한 버그가 많다

그래서 시작된, 확장불가 축소 펌웨어(Non-Extensible Reduced Firmware, NERF) 프로젝트. 그래서 만든 것이 저것이지만, 되도록 모든 인텔적인 비공개요소를 지우고 구글제 공개요소로 대체하고 문서화하는 적업은 아직 진행 중.

한편 이 문제가 일파만파로 파지는 가운데 구글은, 뭐 우리도 패치해봤는데 그렇게 안 떨어지더라는 논평을 내놨고, 미국 정부는 요즘 터진 것들 근본적인 해법은 새로 설계한 시스템으로 갈아치우는 수밖에 없다는 식으로 말했다고 합니다. 

구글 "CPU게이트, 보안 패치하면 큰 문제없다"

아시아경제 2018.01.05

구글 "패치해도 성능저하 크지 않아"

자사 인프라에 적용 후 결과 발표

패치 후 성능저하론 불식…재앙론 과장

외신 "구글이 반도체 업계에 굿뉴스 전했다"

미 정부 "보안 취약성 해소 방법은 하드웨어 교체뿐"

아시아경제 2018-01-05

미 국토부 산하 US-CERT "취약성은 소프트웨어가 아닌 하드웨어에 존재"

미 국방부 산하 CERT-CC "CPU 교체 필요하다"

현재 MS, 구글 등 패치가 완벽히 해결 못한다는 설명

단, 위의 나무위키 링크에 따르면 미국 정부기관들은 모두 매우 부정적인 발표는 다 철회했다네요. 강한 어조로 선언한다 해서 딱히 다른 선택지가 있는 게 아니다 보니 그랬겠지만, 지금까지 CPU와 메인보드, 시스템 제작사에서 나온 펌웨어, 소프트웨어 업데이트, 1월 9일의 MS 윈도우 정기 업데이트^[각주:4]와 그 외 OS제작사에서 내놓을 긴급 업데이트를 깔라는 말로 바뀌었습니다.

여러 기사와 소식을 보니, 작년말부터 올 초까지 터져 나온 이야기들이 섞여 전달되기도 합니다.

주요 웹브라우저 제작사들이 웹에서 동작하는 스크립트 언어 등을 통해 위의 취약점을 공격하는 것을 막기 위해 업데이트했거나 한다고 합니다. 다른 패치에 적용된, API로 제공하는 내부 시계의 정밀도를 낮추어 방해하는 것부터 여러 가지.

1. 아무 대응책이 나오기 전에 공개적으로 터뜨리면 제로데이 익스플로잇(컴퓨터 랜선을 뽑아버리지 않는 한 속수무책으로 당하는)을 공개하는 꼴이 되니까 이 조치는 문제가 아닙니다. 제로데이 공격이란? http://www.itworld.co.kr/news/98801 [본문으로]
2. 업계가 대응하는 과정에 정보가 새서 구글이 예정보다 미리 발표했다는 말이 위의 나무위키 링크에 나옵니다. [본문으로]
3. 메인보드 제조회사의 웹사이트에서 펌웨어 업데이트를 받고, 사용하는 운영체제의 제작사에서 OS업데이트를 받아야 합니다. [본문으로]
4. 윈도우7 64비트의 경우, 어쩐지 업데이트 알림이 있어 해주었는데 그거였네요. [본문으로]