If-Koubou

Intel Management Engine, objasnio je: Tiny računalo unutar procesora

Intel Management Engine, objasnio je: Tiny računalo unutar procesora (Kako da)

Intel Management Engine je uključen na Intelove čipsete od 2008. godine. To je u osnovi sićušno računalno računalo s punim pristupom memoriji, prikazu, mreži i ulaznim uređajima vašeg računala. Ona pokreće kod koji je napisao Intel, a Intel nije dijelio puno informacija o njegovom unutarnjem djelovanju.

Ovaj softver, koji se nazivaju i Intel ME, pojavio se u vijestima zbog sigurnosnih rupa koje je Intel najavio 20. studenog 2017. Trebali biste zakrpati svoj sustav ako je ranjiva. Duboki pristup i prisutnost ovog softvera na svakom suvremenom sustavu s Intelovim procesorom znači da je to jaka meta za napadače.

Što je Intel ME?

Pa, što je ionako Intelovo upravljanje motorom? Intel pruža neke opće informacije, no izbjegavaju objašnjavanje većine specifičnih zadataka koje Intel Management Engine obavlja i kako točno funkcionira.

Kao što Intel kaže, Upravljački motor je "mali, mali energetski podsustav". On "obavlja različite zadatke dok je sustav u stanju mirovanja, tijekom procesa podizanja sustava i kada se vaš sustav pokreće".

Drugim riječima, to je paralelni operativni sustav koji radi na izoliranom čipu, ali s pristupom hardveru vašeg računala. Pokreće se kada vaše računalo spava, dok se diže, a dok je operacijski sustav pokrenut. Ima potpun pristup hardveru vašeg sustava, uključujući memoriju sustava, sadržaj zaslona, ​​unos tipkovnice, pa čak i mrežu.

Sada znamo da Intel Management Engine pokreće MINIX operativni sustav. Osim toga, precizan softver koji se pokreće unutar sustava Intel Management Engine nije poznat. To je mala crna kutija, a samo Intel zna točno što je unutra.

Što je Intelova aktivna tehnologija upravljanja (AMT)?

Osim različitih funkcija niske razine, Intel Management Engine uključuje Intel Active Management Technology. AMT je rješenje za daljinsko upravljanje poslužiteljima, stolnim računalima, prijenosnim računalima i tabletima s Intelovim procesorima. Namijenjen je velikim organizacijama, a ne kućnim korisnicima. Prema zadanim postavkama nije omogućen, pa zapravo nije "stražnja vrata", kako su ga neki ljudi nazvali.

AMT se može koristiti za daljinsko uključivanje, konfiguriranje, upravljanje ili brisanje računala s Intelovim procesorima. Za razliku od tipičnih rješenja za upravljanje, to funkcionira čak i ako računalo ne pokreće operacijski sustav. Intel AMT radi kao dio Intelovog upravljačkog motora, tako da organizacije mogu daljinski upravljati sustavima bez radnog operacijskog sustava Windows.

U svibnju 2017. Intel je najavio udaljeni iskorištavanje u AMT-u koji će napadačima omogućiti pristup AMT-u na računalu bez pružanja potrebne lozinke. Međutim, to bi samo utjecalo na ljude koji su otišli s puta kako bi omogućili Intel AMT - koji, opet, nije većina kućnih korisnika. Samo organizacije koje su koristile AMT morale su se brinuti o ovom problemu i ažurirati firmware svoje računalo.

Ova je značajka samo za računala. Dok moderni Macovi s Intelovim procesorima također imaju Intel ME, oni ne uključuju Intel AMT.

Možete li ga onemogućiti?

Ne možete onemogućiti Intel ME. Čak i ako onemogućite Intel AMT značajke u BIOS sustavu, Intel ME koprocesor i softver još uvijek su aktivni i pokrenuti. U ovom je trenutku uključen u sve sustave s Intelovim procesorima, a Intel ih ne može onemogućiti.

Iako Intel ni na koji način ne može onemogućiti Intel ME, drugi su eksperimenti pokušali onemogućiti. Ipak, nije tako jednostavno kao što je prekidač. Poduzetni hakeri uspjeli su onemogućiti Intel ME s vrlo malo napora, a Purism sada nudi prijenosna računala (na temelju starijih Intelovih hardvera) s Intelovim upravljačkim motorom prema zadanim postavkama. Intel vjerojatno neće biti sretan zbog ovih napora i još će teže onemogućiti Intel ME u budućnosti.

No, za prosječnog korisnika, onemogućavanje Intel ME je u osnovi nemoguće - i to po dizajnu.

Zašto tajna?

Intel ne želi da njegovi konkurenti znaju točno funkcioniranje softvera Management Engine. Čini se da Intel ovdje obuhvaća "sigurnost od strane opskurne", pokušavajući otežati napadačima da nauče i pronađu rupe u softveru Intel ME. Međutim, kako su pokazale nedavne sigurnosne rupe, sigurnost po mraku nije zajamčeno rješenje.

Ovo nije bilo kakav špijunski ili nadgledni softver - osim ako organizacija nije omogućila AMT i koristi ga za praćenje vlastitih računala. Ako je Intelov menadžment motora kontaktirala mrežu u drugim situacijama, vjerojatno smo to čuli zbog alata poput Wireshark, koji ljudima omogućuju praćenje prometa na mreži.

Međutim, prisutnost softvera kao što je Intel ME koji se ne može onemogućiti i zatvoren je izvor sigurno je zabrinutost za sigurnost. To je još jedan put za napad, a već smo vidjeli sigurnosne rupe u Intel ME.

Je li vaše računalo Intel ME ranjivo?

20. studenog 2017. Intel je najavio ozbiljne sigurnosne rupe u Intel ME, koje su otkrili istraživači sigurnosnih službi treće strane. To uključuje i nedostatke koji bi omogućili napadaču lokalni pristup pokretanju koda s potpunim pristupom sustavu i udaljenim napadima koji bi omogućili napadačima daljinski pristup pokretanju koda s potpunim pristupom sustavu. Nejasno je koliko bi oni to trebali iskoristiti.

Intel nudi alat za otkrivanje koji možete preuzeti i pokrenuti kako biste saznali je li Intel ME računala vašeg računala ranjiva ili je li fiksna.

Da biste koristili alat, preuzmite ZIP datoteku za Windows, otvorite ga i dvokliknite mapu "DiscoveryTool.GUI". Dvaput kliknite datoteku "Intel-SA-00086-GUI.exe" da biste ga pokrenuli. Slažem se s UAC promptom i bit će vam rečeno je li vaše računalo ranjivo ili ne.

Ako je vaše računalo ranjivo, ažurirate samo Intel ME ažuriranjem UEFI firmvera vašeg računala. Proizvođač vašeg računala mora vam pružiti ovo ažuriranje, stoga provjerite odjeljak Podrške na web mjestu proizvođača da biste vidjeli ima li ažuriranja UEFI ili BIOS.

Intel također pruža stranicu podrške s vezama na informacije o ažuriranjima koje nude različiti proizvođači računala, a održavaju ih ažuriranjem, budući da proizvođači izdaju informacije o podršci.

AMD sustavi imaju nešto slično pod nazivom AMD TrustZone, koji radi na posvećenom ARM procesoru.

Slikovni kredit: Laura Houser.