Tilly Kottmann (), Android-alustan kehittäjä Sveitsistä, johtava tietovuotoja käsittelevä Telegram-kanava, 20 Gt sisäistä teknistä dokumentaatiota ja lähdekoodia, jotka on saatu Intelin suuren tietovuodon seurauksena, ovat julkisesti saatavilla. Tämän kerrotaan olevan ensimmäinen sarja nimettömän lähteen lahjoittamasta kokoelmasta. Monet asiakirjat on merkitty luottamuksellisiksi, yrityssalaisuuksiksi tai niitä jaetaan vain salassapitosopimuksen nojalla.
Uusimmat asiakirjat ovat päivätty toukokuun alussa ja sisältävät tietoa uudesta Cedar Island (Whitley) -palvelinalustasta. Vuodelta 2019 löytyy myös dokumentteja, jotka kuvaavat esimerkiksi Tiger Lake -alustaa, mutta suurin osa tiedoista on vuodelta 2014. Dokumentaation lisäksi sarja sisältää myös koodia, virheenkorjaustyökaluja, kaavioita, ohjaimia ja koulutusvideoita.
Jonkin verran sarjasta:
- Intel ME (Management Engine) -oppaita, flash-apuohjelmia ja esimerkkejä eri alustoille.
- Viite BIOS-toteutus Kabylake (Purley) -alustalle, esimerkkejä ja alustuskoodi (muutoshistoria gitistä).
- Intel CEFDK:n (Consumer Electronics Firmware Development Kit) lähdetekstit.
- FSP-pakettien koodi (Firmware Support Package) ja eri alustojen tuotantosuunnitelmat.
- Erilaisia apuohjelmia virheenkorjaukseen ja kehittämiseen.
- -Rocket Lake S -alustan simulaattori.
- Erilaisia suunnitelmia ja asiakirjoja.
- Binaariohjaimet Intel-kameralle, joka on tehty SpaceX:lle.
- Kaavioita, asiakirjoja, laiteohjelmistoa ja työkaluja vielä julkaisemattomalle Tiger Lake -alustalle.
- Kabylake FDK harjoitusvideot.
- Intel Trace Hub ja tiedostot, joissa on dekooderi Intel ME:n eri versioille.
- Elkhart Lake -alustan referenssitoteutus ja koodiesimerkit alustan tukemiseksi.
- Laitteistolohkojen kuvaukset Verilog-kielellä eri Xeon-alustoille.
- Virheenkorjaus BIOS/TXE-koontiversiot eri alustoille.
- Bootguard SDK.
- Prosessimulaattori Intel Snowridgelle ja Snowfishille.
- Erilaisia kaavoja.
- Markkinointimateriaalien mallit.
Intel ilmoitti aloittaneensa tapauksen tutkinnan. Alustavien tietojen mukaan tiedot on saatu tietojärjestelmän kautta "", joka sisältää rajoitetun pääsyn tietoja asiakkaille, kumppaneille ja muille yrityksille, joiden kanssa Intel on vuorovaikutuksessa. Todennäköisimmin tiedot on ladannut ja julkaissut joku, jolla on pääsy tähän tietojärjestelmään. Yksi Intelin entisistä työntekijöistä kun hän keskusteli versiostaan Redditissä, mikä osoittaa, että vuoto saattaa johtua työntekijän sabotoinnista tai jonkin OEM-emolevyvalmistajan hakkeroinnista.
Anonyymi henkilö, joka toimitti asiakirjat julkaistavaksi että tiedot on ladattu suojaamattomalta palvelimelta, jota isännöi Akamai CDN, eikä Intel Resource and Design Centeristä. Palvelin löydettiin vahingossa isäntien massaskannauksen aikana nmap-sovelluksella, ja se hakkeroitiin haavoittuvan palvelun kautta.
Jotkut julkaisut ovat maininneet takaovien mahdollisen havaitsemisen Intel-koodissa, mutta nämä väitteet ovat perusteettomia ja perustuvat vain
lause "Tallenna RAS-takaovipyyntöosoitin IOH SR 17:ään" kommentissa yhdessä kooditiedostoista. ACPI RAS:n yhteydessä "Luotettavuus, saatavuus, huollettavuus". Koodi itse käsittelee muistivirheiden havaitsemisen ja korjaamisen tallentaen tuloksen I/O-keskittimen rekisteriin 17, eikä sisällä tietoturvallisuuden kannalta "takaovea".
Sarja on jo jaettu BitTorrent-verkkojen kesken ja on saatavilla kautta . Zip-arkiston koko on noin 17 Gt (avaa salasanat "Intel123" ja "intel123").
Lisäksi voidaan todeta, että heinäkuun lopussa Tilly Kottmann julkisessa käytössä tietovuotojen seurauksena saatuja arkistoja noin 50 yrityksestä. Listalta löytyy yrityksiä mm
Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox ja Nintendo sekä erilaiset pankit, rahoituspalvelut, auto- ja matkailuyritykset.
Pääasiallinen vuodon lähde oli DevOps-infrastruktuurin väärä konfigurointi ja pääsyavainten jättäminen julkisiin tietovarastoihin.
Suurin osa arkistoista kopioitiin paikallisista DevOps-järjestelmistä, jotka perustuvat SonarQube-, GitLab- ja Jenkins-alustoille, joihin pääsy asianmukaisesti rajoitettu (Web-käytettävissä paikallisissa DevOps-alustoissa oletusasetukset, mikä tarkoittaa mahdollista julkista pääsyä projekteihin).
Lisäksi heinäkuun alussa, seurauksena Waydev-palvelussa, jota käytettiin analyyttisten raporttien luomiseen Git-tietovarastojen toiminnasta, oli tietokantavuoto, mukaan lukien OAuth-tunnisteet GitHubin ja GitLabin arkistoihin pääsyä varten. Tällaisia tunnuksia voitaisiin käyttää Waydev-asiakkaiden yksityisten tietovarastojen kloonaamiseen. Siepattuja tokeneita käytettiin myöhemmin infrastruktuurien vaarantamiseen и .
Lähde: opennet.ru