“Etkin Yönetim Teknolojisi”: Intel donanımlarında bulunabilen müphem uzaktan kumanda – Vandewege, Garrett, Stallman

Intel’in Etkin Yönetim Teknolojisi (AMT – Active Management Technology) Intel CPU’lu kişisel bilgisayarlar üzerinde hususi bir uzaktan yönetim ve denetim sistemidir. Tehlikelidir çünkü kişisel bilgisayara çok düşük bir düzeyden tam erişim sahibidir, kodu da sırdır ve hususidir.

Ward Vandewege, Matthew Garrett, Richard M. Stallman
19 Haziran 2014, fsf.org

AMT, i5 ya da i7 CPU’lu gelişkin Intel Q çipsetlere entegre bir yardımcı işlemcidir. Daha ucuz H, Z, B çipsetlerinde mevcut mudur değil midir bilmiyoruz. Makinenin önyükleme sürecinin erken bir aşamasında, bir BB’den* yüklenen yazılımı çalıştırır.

AMT işlemci makine üzerinde tam denetim sahibidir. Ağ yoluyla uzaktan yapabildiği şeylerden bazıları şöyle:

  • güç denetimi
  • BIOS yapılandırma ve güncelleme
  • disk silme
  • sistemi yeniden kurma
  • komut satırı erişimi (VNC)

AMT bilgisayar kapatıldığında bile çalışmaktadır, yeter ki makine bir güç çıkışına bağlı olsun.

Bilgisayarınızın BIOS versiyonuna ve satıcı firmaya bağlı olarak, AMT işlevselliği makinenizin BIOS’unda etkinleştirilmiş, “yumuşak” etkinleştirilmiş, veya etkisiz kılınmış olabilir.

İlke olarak AMT’nin kavramında bir sorun bulunmuyor, yeter ki makineye yapılan uzaktan erişimi makinenin sahibi denetlesin. Ne yazık ki AMT için durum böyle değildir, çünkü tamamen hususidir ve tarifnameleri de sırdır.

Bu demek oluyor ki, BIOS’ta etkisiz kılmanın AMT özelliklerini gerçekten bütünüyle etkisiz kılıp kılmadığından emin olmanın bir yolu yoktur. Kasten uygulanışın içine entegre edilmiş bir arka kapı bulunabilir. Bir numaralı sorun budur.

Ayrıca AMT yazılımında güvenlik açıkları bulunması muhtemeldir, ve özgür bir yazılım olmadığına göre, kullanıcılar bunların böceklerini ayıklayamaz, tamir edemezler. Ya AMT etkisiz kılınmış gözüktüğünde bile kimi AMT özelliklerine erişilmesine izin veren böcekler bulunuyorsa? Böyle bir durum olmadığından makul ölçüde emin olmanın hiçbir yolu bulunmuyor. İki numaralı sorun budur.

Ne olursa olsun, özgür olmayan bir programda (kullanıcı haricinde) değişiklikler yapılması hiçbir zaman kabul edilemez.

Ortalama bilgisayar sahibi, dizüstü bilgisayarının içinde entegre bant-dışı uzaktan erişim ve denetim işlevselliği gelmesini beklemez. Ne var ki AMT tam olarak budur. Üç numaralı sorun budur. Eğer kullanıcı AMT’nin mevcut olduğunu bile bilmiyorsa, ona uzaktan erişimi denetleyebilmesi nasıl beklenebilir?

Bu durumu geliştimek için ne yapılabilir?

AMT’si olan bir makineyle yapabileceğiniz en iyi şey BIOS ayarlarında “AMT’yi etkisiz kılmak”tır. Bu ayarın işe yarayacağı kesin olmasa da BIOS ayarlarında “AMT’yi etkinleştirme”ye göre daha güvende olmanız muhtemeldir.

Uzaktan erişim işbirlikçi bir ağ arayüzü gerektirir: Intel ethernet bağdaştırıcıları, Intel WiFi bağdaştırıcıları ve desteklenen belirli 3G modemler var. Yapabilirseniz, Intel ürünü ağ arayüzlerini AMT’yi desteklemeyen farklı bir üreticininkilerle değiştirin.

Yeni donanım satın aldığınızda AMT’si bulunan Intel donanım almayın. AMD çipsetlerde AMT gibi şeyler bulunmaz. Fakat aklınızda olsun, hem Intel hem de AMD donanımlarında başka benzeri sorunlar bulunmaktadır.

Uzun vade için, Intel’in AMT yazılım katmanını özgür yazılım olarak yayınlamasına dönük lobi çalışması yapın. Intel’e bir e-posta göndererek AMT’ye karşı çıktığınızı ve AMT içeren hiçbir donanımı satın almayacağınızı bildirin.

AMT, modern Intel donanımı üzerinde tamamen özgür bir sistem çalıştırma karşısında ciddi bir engeldir; kullanıcıların özel alanı ve güvenliği karşısında bir tehdittir. AMT’nin ortadan kaldıracak ya da değiştirecek yollar bulunmasına yardım edenlere katılmak isterseniz campaigns@fsf.org adresinden bizimle irtibat kurun.

* BB = Binary Blob: sadece 0 ve 1’lerden oluşan, mantığı çözülemeyen, işletim sisteminin çekirdeğinde sürücü işlevi gösteren veri dizisi

Türkçesi: Işık Barış Fidaner

Yorum Yap


Not - Bunları KullanabilirsinizHTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>