全世界个人电脑装机最广的系统是什么呢?是 Windows 吗?不是;是 macOS 吗?当然也不是;我知道了,是 GNU/Linux 吧? 很可惜的,整个“3C 设备”领域算是,但单就个人电脑市场也不是。笔者来揭晓正确答案吧:是 Minix。自 2006 年开始,每一台 Intel CPU 里面都有一颗特殊的 CPU──Intel ME (Intel 管理引擎),其上运作着 Minix操作系统,然而这引起大家的忧虑。
什么是 Intel ME?这个CPU 内的元件提供 Intel 的主动管理服务( Active Management Technology)机能,能进行开机防护、影音数位版权管理( Digital Restrictions Management),甚至让企业 IT 人员可从远端的网络连线来修复和保护台式机、笔记本电脑或服务器(也就是提供远端遥控的机制)。Intel ME 什么时候在运作呢?当你的电脑开机时需要它,而电脑运作时,它也在背后默默运作,甚至休眠时,它还活着可以接收来自网络上的指令!现在流行的任何 Intel core CPU 里面都有内建 Intel ME 。
MINIX 是什么?
技术上,它是 Intel CPU 里面的另一个 CPU ,而从 ME-11 开始,里面运作着另一个操作系统 Minix ,买一送一耶,那这又是什么东西呢?
请容笔者讲点古,Minix 是一套 BSD 授权的开放源代码操作系统,作者是 Andrew Tanenbaum,他是荷兰阿姆斯特丹自由大学(Vrije Universiteit Amsterdam)的教授,Minix 最初的设计目的是用在大学资讯相关科系操作系统课程用的教具,此外在 1991 年左右,也是极少数能在个人电脑上运作的类 Unix 系统──今日我们有 Mac OSX 、iOS、Android(Linux)、Chrome OS(也是 Linux 基底)或者各种 GNU/Linux 桌面系统发行套件,它们都是 Unix 衍生或兼容物,而在 1991 年以前,Unix 系的系统只被用在大型主机与工作站领域。
Minix 启发了 Linus Torvalds 开发出 Linux ,也可以说是孕育出 Linux 的摇篮──早期的 Minix 虽可以取得源代码,但必须先付费,而且还有很多机能不够理想,而使用者不能自由修改程序代码,因为当时其授权还不是 BSD 而有重重对修改的限制。因此当时 Linus 在 Minix 上另行开发出自己理想的 Linux ,以 GPL 自由软件授权发布,许多程序设计师也纷纷离开 Minix,加盟 Linux 的开发。
Minix 跟 Linux 是当时的一时瑜亮,在网际网络萌芽的初期,有很多两者间的技术论战,不过后来结果大家都知道,采用 GPL 授权的 Linux 红遍全世界,在学术界、业界大幅被采用,几乎是当代工业标准,连当时最痛恨 Linux 的 Microsoft 今日也大为拥抱,而当时限制“只能做教学用途”的 Minix 从此就没有多少能见度,后来 2000 年的 Minix 3 改采 BSD 开源授权,似乎也为时已晚。而今日 Intel 竟然在 CPU 里面埋了一个 Minix,连 Tanenbaum 本人原本都不知道也很惊喜,他还写了一封公开信给 Intel 。没想到自当年的论战以后,今天在 PC 市场的占有率,Minix 打败了 Linux。
安全问题
说回来,买一送一不是很好吗?为何很多人会担忧 CPU 里面的这个系统呢?因为我们自己的操作系统核心的运作等级是 ring 0,一般应用程序则是 ring 3,然而,Minix 在自己的 CPU 运作,其运作等级是 ring -3(-3),是最高等的权限,而据 Google 的研究发现,这一个系统可以控制到电脑完整的网络堆叠、档案系统、许多的驱动程序(包含 USB、网络等),甚至还有自己的网页服务器,在电脑开机时、运作时、休眠状态时它都在运作,你的操作系统有设防火墙都没有用,它看得到你所有的东西,但你却看不到它也控制不了它,也就是说这个 Minix 是一个太上皇的存在!
这有非常大的安全隐忧,因为这一个秘密的 Minix 系统跑着许多的服务,但却做死在 CPU 里面,显然无法定期做安全更新,该系统的漏洞若被黑客(cracker )找到的话,就可借由该系统完全控制使用者的电脑,从开机、关机、读取文件、检查正在执行的程序、追踪键盘 / 鼠标动作、存取屏幕桌面等等,都办得到,这会变成很大的安全隐忧,几乎是不设防的后门。就在今年 5 月开始,Intel ME 开始爆发严重信息安全危机(然而逆向工程专家 Igor Skochinsky 在 2012 年时发布的 Rootkit in Your Laptop 已经指出其问题),开始渐渐为人所关注,有许多人在努力找出关闭它的方法。
Intel 埋了一个秘密的网页服务器在 CPU 里等着人去敲门,却又不跟你说是什么人会来“参观你的电脑”,感觉就让人头皮发麻,难怪 Google 等厂商正汲汲于关闭其采用数以万计服务器 CPU 里的 Intel ME,但又不能影响服务器正常的开机。看来羊毛出在羊身上,买一送一不见得好啊。
- Intel & ME, and why we should get rid of ME
- 藏在 CPU 里面的小小太上皇 CPU: Intel ME 跟 AMD PSP
- MINIX — The most popular OS in the world, thanks to Intel
(首图来源:英特尔)