Οι υποδομές cloud κυριαρχούν στην Ευρώπη, αλλά οι επεξεργαστές παραμένουν αμερικανικοί

Η Ευρώπη έχει ξοδέψει χρόνια και δισεκατομμύρια ευρώ στην κατασκευή κυρίαρχων υποδομών νέφους — αδεσμεύτων, τεχνικά, από τη νομική εμβέλεια των ΗΠΑ. Τo πρόβλημα είναι ότι κανείς δεν έκανε την ίδια ερώτηση για τους επεξεργαστές.

€2 δισ. για νέφη, μηδέν για το πυρίτιο

Η Ευρώπη διοχετεύει πάνω από €2 δισ. σε πρωτοβουλίες κυρίαρχου νέφους με στόχο τη μείωση της έκθεσης στη νομική εμβέλεια των ΗΠΑ, μέσω του προγράμματος IPCEI-CIS (Important Projects of Common European Interest – Cloud Infrastructure and Services) που χρηματοδοτεί την ανάπτυξη υποδομών. Η Γαλλία αξιολογεί παρόχους βάσει του πλαισίου SecNumCloud, το οποίο περιλαμβάνει σχεδόν 1.200 τεχνικές απαιτήσεις και υπόσχεται «ανοσία από εξωεδαφικούς νόμους».

Ωστόσο, η συντριπτική πλειονότητα των κέντρων δεδομένων και πιστοποιημένων παρόχων νέφους εξακολουθεί να βασίζεται σε επεξεργαστές Intel ή AMD. Και μέσα σε αυτούς τους επεξεργαστές βρίσκεται ένας υπολογιστής κάτω από τον υπολογιστή: μηχανές διαχείρισης που λειτουργούν στο επίπεδο Ring -3, κάτω από το λειτουργικό σύστημα, εκτός ελέγχου του λογισμικού ασφαλείας του κόμβου, και ενεργές ακόμα και όταν το μηχάνημα φαίνεται απενεργοποιημένο.

Με βάση τον αμερικανικό νόμο RISAA (Reforming Intelligence and Securing America Act) του 2024, οι κατασκευαστές υλικού κατατάσσονται ως «πάροχοι υπηρεσιών ηλεκτρονικής επικοινωνίας» και υπόκεινται σε μυστικές κυβερνητικές εντολές. Τα ευρωπαϊκά πλαίσια πιστοποιούν τα νέφη. Το πυρίτιο μένει αξιολόγητο.

Ο υπολογιστής που το λειτουργικό σας σύστημα δεν μπορεί να δει

Αυτός ο υπολογιστής κάτω από τον υπολογιστή έχει όνομα: στους επεξεργαστές Intel είναι το Management Engine (ME), ή πιο συγκεκριμένα το Converged Security and Management Engine (CSME). Στην AMD, είναι το Platform Security Processor (PSP). Και τα δύο λειτουργούν σε αυτό που οι ερευνητές ασφαλείας αποκαλούν Ring -3 — κάτω από το λειτουργικό σύστημα, κάτω από τον hypervisor, σε ένα επίπεδο προνομίων που ο κόμβος δεν μπορεί να δει ή να καταγράψει.

«Είναι ένας υπολογιστής μέσα στον υπολογιστή σου», εξηγεί ο John Goodacre, Καθηγητής Αρχιτεκτονικής Υπολογιστών και πρώην διευθυντής του βρετανικού προγράμματος Digital Security by Design αξίας £200 εκατ. Είναι σαφής για το τι σημαίνει αυτό στην πράξη: το ME έχει τη δική του μνήμη, το δικό του ρολόι και τη δική του στοίβα δικτύου, και επειδή μπορεί να μοιράζεται τις διευθύνσεις MAC και IP του κόμβου, οποιαδήποτε κίνηση παράγει είναι αδύνατο να ξεχωριστεί από την κίνηση του κόμβου από το τείχος προστασίας.

Ενσωματωμένο στο Platform Controller Hub, το CSME είναι ένας ξεχωριστός μικροελεγκτής που λειτουργεί ανεξάρτητα από τον κόμβο, με άμεση πρόσβαση σε μνήμη, συσκευές και δίκτυο, την οποία το λειτουργικό σύστημα του κόμβου δεν μπορεί να παρακολουθήσει. Η AMD, από την πλευρά της, έχει αρνηθεί αιτήματα για ανοιχτό κώδικα (open source) του firmware που εκτελεί το PSP.

Απόδειξη αξιοποίησης: το PLATINUM incident

Η τεχνολογία Active Management Technology (AMT) της Intel, η δυνατότητα απομακρυσμένης διαχείρισης που ενεργοποιεί το ME, εκθέτει τουλάχιστον τις θύρες TCP 16992, 16993, 16994 και 16995 σε συσκευές που έχουν ρυθμιστεί. Αυτές οι θύρες παρέχουν ανακατεύθυνση πληκτρολογίου-βίντεο-ποντικιού, ανακατεύθυνση αποθήκευσης, Serial-over-LAN και έλεγχο ενέργειας σε διαχειριστές που διαχειρίζονται εξ αποστάσεως στόλους συσκευών.

Η Microsoft τεκμηρίωσε το 2017 ότι ο κρατικός παράγοντας απειλής PLATINUM χρησιμοποίησε το Serial-over-LAN (SOL) της Intel ως κρυφό κανάλι εξαγωγής δεδομένων. Αυτό δεν είναι θεωρητικό σενάριο — είναι τεκμηριωμένη επιχειρησιακή χρήση εναντίον πραγματικών στόχων.

Το κενό των ευρωπαϊκών πλαισίων

Τα υπάρχοντα ευρωπαϊκά πλαίσια πιστοποιούν επιχειρησιακούς ελέγχους, νομική δομή και δυνατότητα αυτόνομης εκτέλεσης. Δεν πιστοποιούν ανοσία σε επίπεδο πυριτίου, διότι το υλικό είναι αμερικανικό ή κινεζικό, υπόκειται σε αμερικανικό ή κινεζικό δίκαιο, έχει σχεδιαστεί με μηχανές διαχείρισης που οι ευρωπαϊκές αρχές δεν καθόρισαν, δεν μπορούν νομικά να επιβάλουν με δικούς τους όρους και δεν μπορούν να αντικαταστήσουν.

Για Ευρωπαίους διευθυντές πληροφορικής που επιλέγουν πάροχους με πιστοποίηση SecNumCloud, η ερώτηση που πρέπει να θέσουν στους προμηθευτές είναι: πώς αντιμετωπίζετε το Intel Management Engine και τον AMD Platform Security Processor στο μοντέλο απειλών σας; Η απάντηση θα αποσαφηνίσει αν ο προμηθευτής θεωρεί το επίπεδο υλικού εκτός πεδίου εφαρμογής, ή αν έχει υλοποιήσει ελέγχους που μειώνουν — χωρίς να εξαλείφουν — την έκθεση.

Το ερώτημα για τους Ευρωπαίους υπεύθυνους χάραξης πολιτικής είναι ευρύτερο: μπορεί να υπάρξει ψηφιακή κυριαρχία πάνω σε μη κυρίαρχο πυρίτιο; Τα υπάρχοντα πλαίσια δεν απαντούν σε αυτό το ερώτημα. Αυτό δεν είναι τεχνικό κενό που καλύπτεται με ενημέρωση firmware — είναι δομικό έλλειμμα στρατηγικής που απαιτεί πολιτική απόφαση.

Πηγές

• The Register: Europe built sovereign clouds to escape US control. Then forgot about the processors (16 Μαΐου 2026)
• Wikipedia: AMD Platform Security Processor