Odin’s Eye: Víme, jak odposlouchávali Donalda Trumpa! Procesory INTEL mají na úrovni...

Odin’s Eye: Víme, jak odposlouchávali Donalda Trumpa! Procesory INTEL mají na úrovni hardwaru backdoor instalovaný přímo výrobcem ve spolupráci se CIA. Firewally i antiviry jsou ze hry ven. Kauza větší než Pizza Gate?

Odin’s Eye: Víme, jak odposlouchávali Donalda Trumpa! Procesory INTEL mají na úrovni hardwaru backdoor instalovaný přímo výrobcem ve spolupráci se CIA. Firewally i antiviry jsou ze hry ven. Kauza větší než Pizza Gate?

Organizace Wikileaks včera uveřejnila novou sérii uniklých dokumentů Vault 7 a nově s názvem Dark Matter. O kauze Vault 7 jsme na AE News psali zde a toto je pokračování postupného publikování dokumentů, které odhalují praktiky CIA. Média si všímají hlavně toho, že CIA infikovala přímo ve výrobní továrně v Číně firmwary telefonů iPhone, a to již od roku 2008 a pokračuje to dodnes [1]. Přímo z továrny odcházejí iPhony infikované malwarem a nelze jej z telefonu smazat ani aktualizací novou verzí iOS. Koupíte rovnou iPhone s předinstalovaným špionážním malwarem od CIA. No, nekupte to!

Mně ovšem zaujalo něco úplně jiného. V dokumentech se objevila zmínka o programu Odin’s Eye [2] a všimli si jí lidé na boardu 4Chan, který stojí i za odhalením kauzy Pizza Gate, o které psal pan VK zde. V odkazech na Wikileaks vyhledávači už je projekt Odin’s Eye uveden u operativců CIA shromažďujících data ze špionáže [3], takže se dá očekávat, že za pár týdnů Wikileaks odhalí další bombu. V samotných dokumentech Wikileaks zatím podrobnosti o Odin’s Eye nejsou, ale odkazy na osoby a Odin’s Eye se již na Wikileaks nachází.

O systému IME se psalo už minulý rok, že je to velmi podivná součást procesorů INTEL [4]. Tohoto článku jsem se osobně ujal já, protože v roce 2015 jsem zde na AE News publikoval analýzu [5] o komunikaci Windows 10 s mateřskými servery Microsoftu a dalšími 27 organizacemi, které s Microsoftem spolupracují na úrovní služeb. V článku jsem uvedl, že Windows 10 v podstatě představují spíše terminál na sběr dat, než že by to byl operační systém a český mainstream tento můj článek se snažil bagatelizovat a zpochybnit. Jsem velmi rád, že díky 4Chan a Wikileaks mohu nyní již bez obav promluvit a přiblížit čtenářům bližší systém komunikace a zranitelností nejen Windows 10 z pohledu procesorové funkcionality.

Procesory INTEL Core “i” jsou nejrozšířenějšími procesory na světě.

Nejprve teorie. Procesory Intel používají vnitřní instrukční řadič, který se chová jako pseudointerpretr, který je nezávislý na vyšším operačním systému. Každá instrukce a stream package ze sběrnice je zdánlivě vykonán tak, jak je napsaný zkompilovaný program. Ve skutečnosti tomu tak není. Procesory Intel architektury Core “i” používají na úrovni procesoru vlastní operační systém umístěný na chipsetu. Nepředstavujte si ho jako operační systém Windows, spíše se podobá velmi ořezanému Linuxu a slouží k řízení chodu procesoru, svým založením je to řadič s programovací vrstvou a vlastním API sběrnice (microcontroller), slouží pro ovládání I/O prvků, můstků, ale hlavně se stará o vnitřní přerušení a zpracovávaní běžících programů. Nazývá se Intel Management Engine a je to nejnižší programovací vrstva, která běží na počítači platformy Intel. Vrstva je umístěna ještě níže, než leží BIOS, resp. BIOS běží právě přímo na vrstvě IME. Inženýří Intelu označují IME za “deep root”, barebone root, nebo také “ring -255”. Z hlediska fungování IME se jedná o “hluboký pseudointerpretr” v roli řadiče instrukcí, který je programovatelný. Zde se dostáváme k Windows 10 a k jistému odhalení, o které veřejnost žádala.

Ghost mode v procesorech INTEL

Uvnitř zkompilovaných kódů a programů Windows 10 jsou zdánlivě liché segmenty se zdánlivě zakryptovaným obsahem. Pokud si program spustíte v debuggeru a budete sledovat jeho práci, program tato místa přeskakuje. Zdánlivě jde o smetí. Vstupní body do programů jsou nastavené tak, že programy spuštěné zevnitř Windows 10 přeskakují zakryptované úseky, které se nikdy nedostanou do výkonného cyklu. Když ale program běží na úrovni procesoru, IME detekuje nefunkční zakryptované části v paměti přes full DMA, provede vnitřní přerušení, dekryptuje úseky, vykoná úsek a poté vrátí řízení běhu původnímu úseku programu poslaného do mateřského CPU z vyšší vrstvy (WinAPI/HAL). Debuggerem ve Windows nemá analytik šanci nic poznat, protože IME pracuje ve vnitřním přerušení a běží na odděleném vnitřním procesoru chipsetu IME mimo mateřský procesor CPU bez asistence OS Windows. Tomuto skrytému běhu se mezi programátory říká “ghost mode” a za normálních okolností takový běh umí virtuální stroj s interpreterem vlastních zakódovaných instrukcí, což používají např. počítačové ochrany VM Protect nebo Denuvo, ovšem ty běží transparentně na CPU. IME však běží mimo režii mateřského CPU. Nedá se debugovat, protože neexistuje pro vyšší vrstvy systému.

IME na obrázku od Intelu není zobrazeno přesně. Intel Management Engine je hardwarový úsek přímo na chipsetu (on-die module).

Rozhraní IME kontroluje nejen CPU, ale veškeré periférie v počítači a běží dokonce i během hibernace stroje. Velmi zákeřné je zpracovávání datových paketů pro síťovou kartu. IME má full access k TCP/IP stacku a dokáže detekovat síťový debugging, např. pokud si nastavíte vlastní SSL certifikát na lokálním stroji v LAN síti a simulujete cizí doménu nebo server, IME nemůže být obelháno, protože používá vlastní ověřování certifikátů a pevné IP adresy. Windows 10 odesílají nasbíraná data pouze ve chvíli, kdy je bezpečné spojení na originální servery Microsoftu a partnerů. Pokud do cesty nastavím sniffer pro zachytávání paketů (MITM simulace + podvržený certifikát), přenosy okamžitě poklesnou, jejich objem se sníží. To ukazuje na implementaci IME a mechanismů pro tichá spojení. IME tudíž umí vytvářet “kerberizované spojení” s vybranými servery, na což běžné prostředky pro sledování síťového provozu už nestačí.

Výkonné kódy jsou definovány v zakryptovaných částech programů a rutin Windows 10. Dopředu musím všechny zájemce o tooly a podrobnosti upozornit, že tato úmyslná technologie v procesorech Intel (nenazývám ji zranitelností nebo chybou) je natolik silná a mocná, že teoreticky zcela nuluje veškerou softwarovou ochranu dnešních počítačů a nebudu zde poskytovat nástroje nebo poradenství pro uživatelské programování IME enginu. Tento článek má za úkol pouze upozornit a varovat před pocitem “false security”, kterou dnes razí marketingové společnosti různých výrobců softwarových produktů na zabezpečení počítačů.

Cokoliv za data vložíte do počítače, může IME na povel odeslat pryč

Nezáleží na operačním systému, jestli jedete na Windows, Linuxu, Mac OS X nebo něčem jiném. Rozhraní IME je nezávislé na nadřazeném operačním systému, běží na chipsetu základní desky a dokáže spouštět zakryptované programy v jakémkoliv kódu a musím zdůraznit, že nejen ve výkonném kódu, ale i při zobrazení fotografie, obrázku nebo přehrání hudebního souboru. Pokud otevřete v počítači obrázek, který má v sobě zakódovanou sekvenci, tak proces otevření obrázku spustí na úrovni IME event a následně proces vnitřního přerušení, IME CPU získá přístup přes DMA do paměti bez asistence mateřského CPU, alokuje si kopii grafického bufferu, proskenuje obrázek a pokud najde spouštěcí značku, dekryptuje úsek a spustí ho na úrovni IME. To všechno proběhne v rámci zamknutého cyklu odděleného CPU chipsetu ve vnitřním přerušení, kdy celý operační systém Windows (nebo jakýkoliv jiný) běží v jiném cyklu mateřské CPU fronty. Dá se to přirovnat k situaci, že byste měřili rychlost volnoběžných otáček nastartovaného motoru v autě sledováním otáček kol zaparkovaného auta. Kola se netočí, ale motor ano. Ghost mode je na tom stejně, běží skrytě, zatímco vy v debuggeru ve Windows nic nevidíte, že by se provádělo něco za operace.

Socket a procesor Intel Core i7.

Je mi jasné, že tento článek může vyvolat určitou a zcela oprávněnou obavu, ale nabídnu Vám zároveň i řešení. Výkonný zakryptovaný kód tajných služeb se dostává do programu pouze s komerčními programy, ke kterým výrobci neposkytují zdrojové kódy. Pokud si zkompilujete sami operační systém (Linux) a budete instalovat jen open source programy, které si sami budete u sebe doma kompilovat, měli byste být v bezpečí. Ovšem budete se muset obejít bez připojení na síť internet. Protože IME je plnohodnotný OS a umí komunikovat přes síťové karty, je reálná hrozba zatažení programů do Vašeho počítače bez Vašeho vědomí. CPU si samo skrze IME stáhne do počítače malware ze serverů CIA a NSA. Kvůli IME není bezpečný ani TOR Browser, ani Tails! Interpretr IME je přítomný v procesorech INTEL až od platformy Intel Core “i”, starší procesory Core 2 (Duo/Quad) nemají programovatelný manager na úrovni CPU, ale to neznamená, že nemají v sobě backdoor jiného typu. Wikileaks zatím neuveřejnili všechno, na to si dejte bacha.

Odinovo oko nedohlédne snad jedině na Elbrus

Jediným řešením bezpečnosti je nepoužívat hw platformu INTEL a s největší pravděpodobností ani AMD, protože to je také americká firma a procesory AMD také používají v procesorech vlastní programovou vrstvu. Stojí za to uvažovat o ruských procesorech třídy Elbrus [6], ale to je exotika, to uznávám. Na závěr tohoto článku připojím překlad z dokumentu z 4Chanu, kde pracovník INTELu popisuje spolupráci se CIA na programu ODIN’S EYE, jehož součástí byla spolupráci CIA a INTELu na vytvoření zranitelností a backdoorů v čipu IME, skrze které byl podle tohoto svědka odposloucháván i Donald Trump.

Inženýr INTELu odhaluje zákulisí práce pro CIA
Informace o projektu CIA Odin’s Eye na 4Chanu.

Začátek překladu: Pracuji v Intelu již 15 let jako elektroinženýr. Před 3 lety mně začala práce nudit a rozhodl jsem se přesunout do jiného oddělení. INTEL je docela fajn, že nechává zaměstnance v rámci společnosti přecházet mezi odděleními. Otevřelo se místo v týmu Management Engine, a protože jsem měl zkušenosti s mikroovladači, rozhodl jsem se, že to zkusím. Rozhovor proběhl skvěle a chtěli mně do týmu, ale posledním krokem bylo získat bezpečnostní prověrku.

Zeptal jsem se jich, na co k sakru potřebuji prověrku a řekli mi, že mi to nemůžou říct, dokud nebudu součástí týmu. A tak začal můj 3-letý výlet do králičí nory.

Předstupuji dnes kvůli zprávám, že špehovali Donalda Trumpa. Vím přesně, jak to udělali, protože jsem strávil poslední 3 roky přidáváním backdoorů do Management Enginu. Pro ty z vás, kteří to neví, IME běží na odděleném procesoru a nelze ho vypnout a existuje na úrovni pod operačním systémem (pozn. deep root, ring -255). INTEL pracuje dlouhá léta s lidmi ze špionáže, aby dostali do fyzického hardwaru zadní vrátka, aby se nemuseli starat o hledání zranitelností v operačních systémech. Pokud je kompromitovaný hardware, celý stroj je kompromitovaný.

Spolupráce Intelu a CIA nikoho nepřekvapí.

IME má plný přístup k paměti (pozn. unrestricted full DMA), aniž by o tom vědělo mateřské CPU. Má plný přístup k TCP/IP stacku a plný přístup ke každému perifernímu zařízení připojenému k počítači. IME běží, i když počítač je v hibernačním módu. Nezáleží na tom, jestli používáte Windows, Linux, Mac OS X, Whonix, Tails, Qubes nebo Subgraph. Pokud máte procesor řady INTEL i3, i5 nebo i7, tajné služby vás mají.

Přidali jsme podobnou funkcionalitu do projektu Samsung WEEPING ANGEL s výjimkou toho, že lidi ze špionáže nazývají náš program ODIN’S EYE. Skrze IME umíme aktivovat mikrofon a kameru, přestože se počítač tváří, že je uspaný, nebo vypnutý.

Důkazy o sledování Trumpa, jeho rodiny a klíčových lidí jeho kampaně se jednou objeví. Vím, že sledování (Trumpa) se fakticky stalo. Další leaky jsou na cestě, sledujte ODIN’S EYE. (Konec překladu).

Debata o terorismu v Londýně a přednáška o historii sionismu

Protože tento článek vychází na pátek, tak automaticky tímto za pana VK zvu všechny čtenáře AE News k poslechu jeho pravidelného pořadu na Svobodném rádiu od 19:00 hodin. Bude se tam mluvit o zásadních věcech a událostech tohoto týdne.

Záznam pořadu pana VK na SvR

Administrator.

Do konce měsíce zbývá 7 dnů a z částky potřebné na zachování provozu Aeronetu bylo zatím vybráno necelých 59%. Všem, kteří již přispěli, děkujeme a děkujeme i všem, kteří zde i tento měsíc přispějí tak, aby  stránky fungovaly i příští měsíc.
Print Friendly, PDF & Email
od nových od starých od palců
Upozornit na
Tomáš Thiemel
Návštěvník
Tomáš Thiemel

Vážený pane Admine,
jdete s křížkem po funuse. Intel ME je pouze jedna z potencionálních děr. Aby plně fungovala, musí být “podpora” ze strany Operačního Systému*. Větší obavy bych měl spíše z UEFI ZAVADĚČe [1], anebo z pevného disku ve Vašem počítači. – Ve FIRMWARE Vašeho PEVNÉHO DISKU už minimálně 15 ROKŮ nejspíše sídlí TROJSKÝ KŮŇ [2] bez jakéhokoliv povšimnutí! Jinak ve stejném období, jako trojské koně pro pevné disky (2000-2001) se FBI podílela i na vývoji “děravého” VPN (šifrovaného spojení) – vizte [3] a [4].

*) Detailní popis funkce takového trojského koně vizte [5]

Pokud používáte Skype, tak vězte, že po jeho odkupu Microsoftem si teď mohou Vaše konverzace a hovory dle libosti monitorovat .

A co se mobilních telefonů týče, tak Android je jeden velký trojský kůň, který neustále sleduje Vaši polohu a “dle potřeby” odesílá do Googlu. A to, že Googlu dobrovolně odevzdáváte všechny e-maily, zprávy a kontakty nebudu nijak dále rozebírat… 😀

[1] http://www.pcworld.com/article/2948092/security/hacking-teams-malware-uses-uefi-rootkit-to-survive-os-reinstalls.html
[2] https://www.theregister.co.uk/2015/02/17/kaspersky_labs_equation_group/
[3] https://www.cnet.com/news/report-of-fbi-back-door-roils-openbsd-community/
[4] http://marc.info/?l=openbsd-tech&m=129236621626462&w=2
[5] http://www.antiy.net/p/a-trojan-that-can-modify-the-hard-disk-firmware/

Insomnia
Návštěvník
Insomnia

Jestli to chápu dobře, tak prolétávající US špionážní letadlo typu AWACS dokáže v případě potřeby vyluxovat data i z vypnutého a k síti nepřipojeného počítače?

Lumpír
Návštěvník
Lumpír

Se zpožděním mám skvělý nápad pane VK, málem bych zapomněl na pana Orteka z CNTV České nezávislé televize, tento stařík je dobrák od kosti, na kameru trochu trémista, ale v tom svém Ubuntu rádiu úplný profík, co takhle oslovit jeho? Klapalovi by z toho praskla vzteky cévka v oku, dříve se dělali kamarády, ale mám takové tušení, že z důvodů neshod kolem Aliance národních sil se rozkamarádili, holt je rozdíl mezi kamarádem a přítelem. Asi vím, co má Klapal za problém, jeho hamižně štve, že čtenáři Aeronetu nejsou příliš ochotni přispívat na chod jediného pravého vlasteneckého nesoterického rádia, které jim exklusivně přináší povídání s Vámi. To by mě zajímalo, jak Dukát může vědět, že 99% čtenářu Aeronetu jim nikdy nic nepřispělo, prostě ta povedená partička Kapalovic nemá sebemenší problém lhát, ale na názor Vlka podložený ekonomickými údaji o nevýhodnosti odchodu z EU, to Klapal nemá problém zareagovat agresivním výkřikem do éteru LŽETE!! Co si to dovolujete člověče? I když Klapal zásadně diskuze nečte, Dukát mu to určitě za tepla nabonzuje, že se tady demokraticky necenzurují negativní až výsměšné reakce na jejich adresu a to Vám Kakal dá sežrat, chápete? Já jsem to věděl! My Vás máme rádi pane VK, ale Smrada NE!

Martin Dukát Svobodné rádio
Návštěvník
Martin Dukát Svobodné rádio

No jakou úroveň má asi pan Lumpír když tituluje pana Kapala…Klapal…? Dále tady sprostě lžete, když tvrdíte že s pan Kapal rozhádal s panem Ortekem kvůli ANS. Neni to pravda, jako spoustu dalších vašich lží.. Je opravdu vidět že máte vychování řeznického psa….Stejně tak jako velká část zdejších přispěvatelů….Nemáte ani odvahu se pod to co napíšete se podepsat…. (Svým jménem a přijmením) ) Ono stačí se podívat jakých existencí se zastáváte, to už samo o sobe svědčí jaký jste…

S čeho vyházím když tvrdím že 99 procent čtenářů AE NEWS nikdy nepřispělo na Svobodné rádio? Vycházím nikoliv z doměneka přání jako Vy… ale ze statistik….

Když mluvíte o panu Jiráskovi, tak co říkáte na to že on mluví o bratřích mášinech jako o hrdinech… To je v pořádku?

Ohledně pana Vlka (komu to myslí a neni mdlého rozumu jako Vy pane Lumpíre a další zdejší vejlupci) tak je jasné že je pan Vlk sluníčkář, ano cituje z oficiálních statistik….. Které se velmi často falšují a jsou zavádějící… Dále tvrdí, že vše je vlastně ok jen občas politici udělají nějakou chybu…máme se vlastně krásně a NWOO prý nexistuje….

svobodný občan
Návštěvník
svobodný občan

Co odpájet MIC, cam a data ukládat externim softem zašifrovaná? Potom si mohou tahat dronama dat, kolik je libo.

Lumpír
Návštěvník
Lumpír

A musí to nutně být živý pořad na rádiu s telefonáty? Vždyť tam volají hlavně obdivovatelé Klapala a taky se mi moc nelíbí jeho možnost výběru esemeskových dotazú – je toho zase moc, jejda, teď jsem to stratil 😉 Já si Vás poslechnu, až když mám čas a náladu z YouTube. Co takhle tady asi tak dva dny před natáčením pořadu napsat, o čem by jste se chtěl rozpovídat, a lidé by v diskuzi kladli otázky a třeba podle hodnocení plusky by jste na ně postupně odpovídal, nemusel by jste v pátek spěchat z práce, nahrál by jste si to kdy chcete a jak dlouhé chcete, v sobotu bychom si to z trubky poslechli a zvesela si tady diskutovali hlavně již nepřiotrávení žádným smradem 😉 A otázky by Vám mohl klást a skvěle Vás doplňovat třeba admin, jindy Vítek a nebo třeba paní Pozorovatelka, kdyby se chtěla navrátit, až jí to přejde, což mi hlava nepobrala.. Hlavně z toho umělého problému moudře vymanévrujte např. technickýmy důvody, i tak se nevyhnete lstivému Kakalovskému Prohlášení o ukončení spolupráce, možná jste na řadě po Spolku za naši kulturu a bezpečnou zem – Lucii Haškovou nechal Kapal nějakým volajícím sprosťákem opakovaně urazit do ku*vy, co dává za peníze a to v pořadu před hosty Lichtnerem a Huďem, Dukát se jen puberťácky pohihňával, nijak ho Kapal netípnul, neomluvil se za něj posluchačům a ještě si namyšleně přidal svoje, že se to prý o ní v místě jejího bydliště říká o té nedovzdělané kuchařce. Dále zavrhl Národní Demokracii poté, domnívám se, co Adam Bartoš že prý přislíbený rozhovor Kapalovi spíš chtěl dát Vítkovi, co se prý že vydával za Ředitele SvR, a tak po několikadenním těžkém rozhodování majitelů Spolku SvR takovou normální rodinkou Kapalovic byla spolupráce se spolupracujícím Tapin Rádiem ukončena. Dále, protože už tam Klapal nemá kamaráda, odrovnal i Alianci národních sil, že prý s novým vedením už je nevolitelná. Pane VK, chápete? Já jsem si to myslel! ;))

Martin Dukát Svobodné rádio
Návštěvník
Martin Dukát Svobodné rádio

O tom jestli budou nebo nebudou tel dotazy tak to je v kompentenci Svobodného rádia nikoliv vaší Lumpíre….. Tady nejste u Haškové

Akrij
Návštěvník
Akrij

Nebuďte naivní. Výrobce OS si s vaším PC může dělat co chce. To že v procesoru jsou další, menší a sofistikované počítače, s vlastní ROM i RAM a které zpracovávají vlastní vnitřní instrukční tok, není nic nového. A je-li výrobce OS jedna ruka s výrobcem CPU, nelze se divit vůbec ničemu. Takový potenciál by nevyužil jen hlupák. Buďte si jisti, že pokud budou chtít, třeba v případě větší války, klidně na dálku spustí ve vašem PC sebedestrukční proces.

minoltista.ca
Návštěvník
minoltista.ca

Jeste malé upresneni. Rozhodne nepremyslejte o ukonceni vasich poradu v radiu. Omlouvat se také nemate za co. Za technickou stranku veci a plynulost poradu je odpovedné studio beta …a ne vy.

p.Kapal nestiha, to je evidentni. Proto ta jeho neustala nervozita. Snahu mu nelze uprit, ale kdyz se maji veci delat poradne, samotna snaha nestaci. K tomu je treba pridat i technické znalosti a dovednost je uplatnit v praxi.

Abych to nenatahoval, jediny kdo by se mel omluvit je p.Kapal. Nevim, jestli se vam jiz neomluvil po ukonceni poradu, ale nejspise si myslim ze asi ne. Jesitni a namysleni lidé se zpravidla neomlouvaji. Pokud se muzete pres to prenést, preneste se. Pokud ne, zmente radio. Dokazi si snadno predstavit, ze jini uz ted slintaji pri pomysleni, ze by s vami mohli delat porady.

zvědavá matka
Návštěvník
zvědavá matka

Vypadá to, že Rottschildy a další vykutálené Bilderberské kousky ze 13 famílií, kteří rádoby řídili Svět, asi utáhnou na daňové podvody, jako již v historii i jiné Mafiány ;-).
Soudce z Normandie dal pokyn k prověření, zda nabízením nezákonných bankovních operací svým klientům, se lživou kampaní, se nedopustili organizování daňových úniků, či jiných trestných činů.

kari
Návštěvník
kari

Jen do nich a vetsi kapky ☺

jik
Návštěvník
jik

Máte někdo nějaké zkušenosti s Elbrusem? Jak by to bylo s jeho dostupností, včetně MB?

e-die
Návštěvník
e-die

Je to pomerne nove, takze zatim nic… Co ARMove procaky?

Ája
Návštěvník
Ája

Vážený pane VK, vy se vůbec nemusíte omlouvat, bylo zcela jasné, že p. Kapala neslyšíte… Naopak smekám, s jakým klidem jste se vypořádal s jeho až hysterickou reakcí. Odpusťte mu to prosím, snad si to zpětně sám uvědomil, byla by velká škoda, kdyby tento pořad skončil.