Intel Management Engine, selgitas väikest arvutit CPU sees
Intel Management Engine on Intel mikroskeemides alates 2008. aastast. See on põhimõtteliselt väike arvuti-arvuti-arvuti, millel on täielik juurdepääs teie arvuti mälule, ekraanile, võrgule ja sisendseadmetele. See juhib Inteli poolt kirjutatud koodi ja Intel ei ole oma sisemiste toimingute kohta palju teavet jaganud.
See tarkvara, mida nimetatakse ka Intel ME-ks, on uudiste tõttu ilmunud, sest turvalisuse augud Intel teatas 20. novembril 2017. Peaksite oma süsteemi haavata. See tarkvara sügav juurdepääs süsteemile ja olemasolu kõigis kaasaegsetes süsteemides Inteli protsessoriga tähendab, et see on ründajate jaoks mahlane sihtmärk.
Mis on Intel ME?
Mis on siis Intel Management Engine? Intel pakub mõningaid üldisi andmeid, kuid nad ei selgita enamikku spetsiifilistest ülesannetest, mida Intel Management Engine täidab ja kuidas see täpselt toimib.
Nagu Intel seda väidab, on Management Engine „väike, madala võimsusega arvuti allsüsteem”. See „täidab mitmesuguseid ülesandeid, kui süsteem on unes, käivitusprotsessi ajal ja teie süsteemi töötamise ajal”.
Teisisõnu, see on paralleelne operatsioonisüsteem, mis töötab eraldatud kiibil, kuid millel on juurdepääs teie arvuti riistvarale. See käivitub siis, kui arvuti on unes, kui see käivitub ja teie operatsioonisüsteem töötab. Sellel on täielik juurdepääs teie süsteemi riistvarale, sealhulgas teie süsteemi mälu, ekraani sisu, klaviatuuri sisend ja isegi võrk.
Nüüd teame, et Intel Management Engine töötab MINIX operatsioonisüsteemiga. Peale selle pole täpne tarkvara, mis töötab Intel Management Engine'is, teadmata. See on väike must kast ja ainult Intel teab täpselt, mis sees on.
Mis on Intel Active Management Technology (AMT)?
Lisaks erinevatele madalatele funktsioonidele sisaldab Intel Management Engine ka Intel Active Management Technology. AMT on serverite, lauaarvutite ja tablettide kaugjuhtimislahendus Inteli protsessoritega. See on mõeldud suurtele organisatsioonidele, mitte kodutarbijatele. Vaikimisi pole see lubatud, nii et see ei ole tegelikult tagauks, nagu mõned inimesed seda nimetavad.
AMT-d saab kasutada Intel protsessoritega arvutite kaugjuhtimiseks, konfigureerimiseks, juhtimiseks või pühkimiseks. Erinevalt tavalistest juhtimislahendustest toimib see isegi siis, kui arvuti ei kasuta operatsioonisüsteemi. Intel AMT töötab osana Intel Management Engine'ist, nii et organisatsioonid saavad kaugjuhtida süsteeme ilma töötava Windowsi operatsioonisüsteemita.
2017. aasta mais teatas Intel kaugjuhtimisest AMT-s, mis võimaldaks ründajatel pääseda AMT-le arvutisse ilma vajalikku parooli andmata. Kuid see mõjutaks ainult inimesi, kes läksid teele, et võimaldada Intel AMT-i, mis jällegi ei ole enamik kodutarbijaid. Ainult organisatsioonid, kes kasutasid AMT-d, pidid selle probleemi pärast muretsema ja oma arvutitarkvara uuendama.
See funktsioon on mõeldud ainult arvutitele. Samal ajal kui Inteli CPU-dega kaasaegsetel Macidel on ka Intel ME, ei sisalda need Intel AMT-d.
Kas saate selle keelata?
Te ei saa Intel ME-d keelata. Isegi kui te keelate oma süsteemi BIOSis Intel AMT funktsioonid, on Intel ME protsessor ja tarkvara endiselt aktiivsed ja töötavad. Siinkohal on see kaasatud kõikidesse Intel CPU-dega süsteemidesse ja Intel ei paku mingit võimalust seda keelata.
Kuigi Intel ei suuda Intel ME-d välja lülitada, on teised inimesed seda keelanud. Kuid see ei ole nii lihtne kui lüliti vahetamine. Ettevõtlik häkkeritel on õnnestunud Intel ME välja lülitada üsna mõningate pingutustega ning Purism pakub nüüd sülearvuteid (vanemate Inteli riistvara alusel) Intel Management Engine'i vaikimisi välja lülitatuna. Intel ei ole tõenäoliselt nende jõupingutustega rahul ja muudab veelgi keerulisemaks Intel ME keelamise tulevikus.
Kuid keskmise kasutaja jaoks on Intel ME keelamine põhimõtteliselt võimatu ja see on disaini järgi.
Miks salajasus?
Intel ei taha, et tema konkurendid teaksid Management Engine tarkvara täpseid toiminguid. Samuti tundub, et Intel hõlmab „turvalisust, mis on varjatud”, üritades ründajatel raskemini õppida ja leida Intel ME tarkvaras avasid. Kuid nagu viimased turvaaugud on näidanud, ei ole turvalisus ebamäärasusega tagatud lahendus.
See ei ole mingisugune luurav või jälgiv tarkvara, kui organisatsioon ei ole AMT-i lubanud ja kasutab seda oma arvutite jälgimiseks. Kui Inteli juhtimismootor pöördub võrguga teistesse olukordadesse, oleksime sellest tõenäoliselt kuulnud tänu sellistele tööriistadele nagu Wireshark, mis võimaldavad inimestel jälgida võrgu liiklust.
Kuid sellised tarkvarad nagu Intel ME, mida ei saa keelata ja mis on suletud allikas, on kindlasti turvalisuse probleem. See on teine rünnaku tee ja oleme juba näinud Intel ME turvasüsteeme.
Kas teie arvuti Intel ME on haavatav?
20. novembril 2017 teatas Intel Intel ME-s tõsistest turvaaugudest, mille avastasid kolmanda osapoole turvateadlased. Nende hulka kuuluvad nii puudused, mis võimaldaksid kohaliku juurdepääsuga ründajal käivitada täisjuurdepääsuga koodi, kui ka kaugseiret, mis võimaldaks ründajatel kaugjuurdepääsuga käivitada täieliku süsteemi juurdepääsuga kood. On ebaselge, kui raske oleks neid ära kasutada.
Intel pakub avastamisvahendit, mida saate alla laadida ja käivitada, et teada saada, kas teie arvuti Intel ME on haavatav või kas see on fikseeritud.
Tööriista kasutamiseks laadige Windowsi ZIP-fail alla, avage see ja topeltklõpsake kausta „DiscoveryTool.GUI”. Topeltklõpsake selle käivitamiseks faili „Intel-SA-00086-GUI.exe“. Nõustuge UAC-käsklusega ja teile teatatakse, kas teie arvuti on haavatav või mitte.
Kui teie arvuti on haavatav, saate Intel ME-d värskendada ainult arvuti UEFI püsivara värskendamisega. Teie arvuti tootja peab teile selle värskenduse esitama, nii et vaadake tootja veebisaidi jaotist Tugi, et näha, kas on olemas UEFI või BIOS-i värskendusi.
Intel pakub ka tugilehekülge, mis sisaldab linke erinevate arvutitootjate pakutavate värskenduste kohta, ning nad ajakohastavad seda, kui tootjad avaldavad tugiteavet.
AMD süsteemidel on midagi sarnast nimega AMD TrustZone, mis töötab spetsiaalsel ARM-protsessoril.
Pildi krediit: Laura Houser.