Intel Management Engine, обясни малкия компютър вътре в процесора

Intel Management Engine е включен в чипсетите на Intel от 2008 г. Това е всъщност малък компютър в компютъра, с пълен достъп до паметта на компютъра, дисплея, мрежата и входните устройства. Той изпълнява код, написан от Intel, а Intel не споделя много информация за вътрешната си работа.

Този софтуер, наричан още Intel ME, се появи в новините заради дупките в сигурността, които Intel обяви на 20 ноември 2017 г. Трябва да поправите системата, ако е уязвима. Дълбокият системен достъп и присъствие на този софтуер на всяка модерна система с процесор Intel означава, че това е сочна цел за нападателите.

Какво е Intel ME?

И така, какво е Intel Management Engine? Intel предоставя известна обща информация, но те избягват да обясняват повечето от специфичните задачи, които Intel Intel Engine извършва и точно как работи.

Както казва Intel, управленският двигател е „малка, ниско енергийна компютърна подсистема“. Той „изпълнява различни задачи, докато системата е в режим на заспиване, по време на процеса на зареждане и когато системата ви работи“.

С други думи, това е паралелна операционна система, работеща на изолиран чип, но с достъп до хардуера на вашия компютър. Той се изпълнява, когато компютърът е заспал, докато зарежда и докато операционната ви система работи. Той има пълен достъп до хардуера на вашата система, включително системната памет, съдържанието на дисплея, въвеждането от клавиатурата и дори мрежата.

Вече знаем, че Intel Management Engine работи с операционна система MINIX. Освен това, точният софтуер, който работи в Intel Management Engine, е неизвестен. Това е малка черна кутия и само Intel знае точно какво има вътре.

Какво е Intel Active Management Technology (AMT)?

Освен различни функции на ниско ниво, Intel Management Engine включва Intel Active Management Technology. AMT е решение за отдалечено управление за сървъри, настолни компютри, лаптопи и таблети с процесори Intel. Той е предназначен за големи организации, а не за домашни потребители. Тя не е активирана по подразбиране, така че всъщност не е „задната врата“, както го наричат ​​някои хора.

AMT може да се използва за отдалечено включване, конфигуриране, управление или изтриване на компютри с процесори Intel. За разлика от типичните решения за управление, това работи дори ако компютърът не работи с операционна система. Intel AMT работи като част от Intel Management Engine, така че организациите могат дистанционно да управляват системи без работеща операционна система Windows.

През май 2017 г. Intel обяви дистанционно използване на AMT, което ще позволи на атакуващите да имат достъп до AMT на компютър, без да предоставят необходимата парола. Това обаче ще засегне само хората, които са се отказали да активират Intel AMT, което отново не е повечето домашни потребители. Само организации, които използват AMT, трябва да се притесняват за този проблем и да актуализират фърмуера на компютрите си.

Тази функция е само за персонални компютри. Докато съвременните Mac компютри с Intel процесори също имат Intel ME, те не включват Intel AMT.

Можете ли да го деактивирате?

Не можете да деактивирате Intel ME. Дори и да забраните функциите на Intel AMT в BIOS на вашата система, съвместният процесор на Intel ME и софтуерът все още са активни и се изпълняват. В този момент той е включен във всички системи с Intel процесори, а Intel не може да я деактивира.

Докато Intel не предлага начин да деактивирате Intel ME, други хора са експериментирали с него. Това обаче не е толкова просто, колкото да прелистваш ключа. Предприемчивите хакери са успели да деактивират Intel ME с доста усилия, а Purism вече предлага лаптопи (на базата на по-стари хардуер на Intel), а Intel Management Engine е изключен по подразбиране. Intel вероятно не е доволен от тези усилия и ще направи още по-трудно да забрани Intel ME в бъдеще.

Но за обикновения потребител деактивирането на Intel ME е невъзможно и това е по дизайн.

Защо тайна?

Intel не иска конкурентите му да знаят точното функциониране на софтуера за управление на двигателя. Освен това Intel, изглежда, възприема „сигурността от неизвестност“ тук, като се опитва да направи по-трудно на атакуващите да научат за и да намерят дупки в софтуера Intel ME. Обаче, както показаха последните дупки в сигурността, сигурността чрез неяснота не е гарантирано решение.

Това не е никакъв шпионски или мониторингов софтуер, освен ако една организация не е активирала AMT и я използва за наблюдение на собствените си компютри. Ако Intel's Management Engine се е свързвал с мрежата в други ситуации, вероятно бихме чули за него благодарение на инструменти като Wireshark, които позволяват на хората да наблюдават трафика в мрежата.

Въпреки това, наличието на софтуер като Intel ME, който не може да бъде деактивиран и е затворен, със сигурност е проблем за сигурността. Това е още един път за атака и вече сме виждали дупки в сигурността в Intel ME.

Уязвими ли е Intel ME от вашия компютър?

На 20 ноември 2017 г. Intel обяви сериозни дупки в сигурността в Intel ME, които бяха открити от външни изследователи за сигурност. Те включват както недостатъци, които биха позволили на хакер с локален достъп да изпълнява код с пълен системен достъп, така и отдалечени атаки, които биха позволили на нападателите с отдалечен достъп да изпълняват код с пълен системен достъп. Не е ясно колко трудно биха били да ги експлоатират.

Intel предлага инструмент за откриване, който можете да изтеглите и стартирате, за да разберете дали Intel ME на компютъра ви е уязвим или е бил отстранен.

За да използвате инструмента, изтеглете ZIP файла за Windows, отворете го и щракнете двукратно върху папката “DiscoveryTool.GUI”. Кликнете два пъти върху файла „Intel-SA-00086-GUI.exe“, за да го стартирате. Съгласен съм с UAC подканата и ще ви бъде казано дали вашият компютър е уязвим или не.

Ако компютърът ви е уязвим, можете да актуализирате Intel ME само чрез актуализиране на фърмуера на UEFI на компютъра. Производителят на компютъра трябва да ви предостави тази актуализация, затова проверете раздела за поддръжка на уебсайта на производителя, за да видите дали има налични актуализации на UEFI или BIOS..

Intel предоставя също така и страница за поддръжка с връзки към информация за актуализации, предоставени от различни производители на компютри, и я поддържат актуализирана, тъй като производителите предоставят информация за поддръжка.

AMD системите имат нещо подобно на име AMD TrustZone, което работи на специален ARM процесор.

Автор на снимката: Лора Хаузър.