Intel Management Engine, vysvetlil malý počítač vnútri vášho procesora
Technológia Intel Management Engine je od roku 2008 súčasťou čipsetov Intel. Je to v podstate malý počítač v počítači, s plným prístupom k pamäťovým, zobrazovacím, sieťovým a vstupným zariadeniam vášho počítača. Spúšťa kód napísaný spoločnosťou Intel a spoločnosť Intel neposkytla veľa informácií o jej vnútornom fungovaní.
Tento softvér, tiež nazývaný Intel ME, sa objavil v správach kvôli bezpečnostným dieram, ktoré spoločnosť Intel oznámila 20. novembra 2017. Mali by ste opraviť váš systém, ak je to zraniteľné. Tento hlboký systémový prístup a prítomnosť tohto softvéru na každom modernom systéme s procesorom Intel znamená, že je to šťavnatý cieľ pre útočníkov.
Čo je Intel ME?
Takže čo je Intel Management Engine? Spoločnosť Intel poskytuje niektoré všeobecné informácie, ale zabraňuje vysvetľovaniu väčšiny konkrétnych úloh, ktoré Intel Management Engine vykonáva a ako presne funguje.
Ako to tvrdí Intel, riadiaci motor je "malý počítačový subsystém s nízkym výkonom". Pri vykonávaní systému spúšťa rôzne úlohy, keď je systém v režime spánku, a keď systém beží ".
Inými slovami, ide o paralelný operačný systém bežiaci na izolovanom čipu, ale s prístupom k hardvéru počítača. Spustí sa, keď počítač spí, zatiaľ čo je spustený a počas prevádzky vášho operačného systému. Má úplný prístup k hardvéru vášho systému, vrátane systémovej pamäte, obsahu vášho displeja, vstupu na klávesnici a dokonca aj siete.
Teraz vieme, že Intel Management Engine prevádzkuje operačný systém MINIX. Okrem toho nie je známy presný softvér, ktorý beží vnútri Intel Management Engine. Je to malá čierna skrinka a iba Intel vie presne to, čo je vnútri.
Čo je technológia Intel Active Management Technology (AMT)?
Okrem rôznych funkcií na nízkej úrovni obsahuje Intel Management Engine technológiu Intel Active Management Technology. AMT je vzdialené riešenie správy pre servery, stolné počítače, prenosné počítače a tablety s procesormi Intel. Je určený pre veľké organizácie, nie pre domácich používateľov. V predvolenom nastavení nie je povolené, takže to nie je naozaj "backdoor", ako to nazvali niektorí ľudia.
AMT sa môže používať na vzdialené zapnutie, konfiguráciu, ovládanie alebo vymazanie počítačov s procesormi Intel. Na rozdiel od typických riešení správy funguje to aj vtedy, ak počítač nespúšťa operačný systém. Intel AMT beží ako súčasť Intel Management Engine, takže organizácie môžu vzdialene spravovať systémy bez fungujúceho operačného systému Windows.
V máji 2017 spoločnosť Intel oznámila vzdialené využívanie v službe AMT, ktoré by umožňovalo útočníkom prístup k AMT v počítači bez poskytnutia potrebného hesla. To by však malo vplyv iba na ľudí, ktorí sa dostali z cesty, aby povolili Intel AMT - čo znova nie je väčšina domácich používateľov. Iba organizácie, ktoré používajú AMT, sa musia o tento problém starať a aktualizovať firmvér svojich počítačov.
Táto funkcia je určená len pre počítače. Zatiaľ čo moderné počítače Mac s procesormi Intel majú aj Intel ME, nezahŕňajú Intel AMT.
Môžete ho vypnúť?
Intel ME nemôžete deaktivovať. Aj keď v systéme BIOS vypnete funkcie Intel AMT, koprocesor a softvér Intel ME je stále aktívny a beží. V súčasnosti je súčasťou všetkých systémov s procesormi Intel a spoločnosť Intel neposkytuje žiadny spôsob, ako ju vypnúť.
Zatiaľ čo Intel neposkytuje žiadny spôsob, ako vypnúť Intel ME, iní ľudia experimentovali s jeho vypnutím. Nie je to tak jednoduché ako spustenie spínača. Podnikavým hackerom sa podarilo vypnúť Intel ME s dosť veľkým úsilím a Purism teraz ponúka notebooky (založené na staršom hardvéri Intel) s Intel Management Engine štandardne vypnutými. Spoločnosť Intel pravdepodobne nie je spokojná s týmto úsilím a bude ešte ťažšie vypnúť systém Intel ME v budúcnosti.
Ale pre priemerného používateľa je vypnutie zariadenia Intel ME prakticky nemožné - a to je konštrukčné riešenie.
Prečo tajomstvo?
Spoločnosť Intel nechce svojich konkurentov poznať presné fungovanie softvéru Management Engine. Zdá sa, že spoločnosť Intel tu tiež pokrýva "bezpečnosť z dôvodu nejasností" a snažila sa pre útočníkov sťažiť, aby sa dozvedeli a našli diery v softvéri Intel ME. Avšak, ako ukázali nedávne bezpečnostné diery, bezpečnosť zatemnením nie je zaručené riešenie.
Toto nie je žiadny druh špionážneho alebo monitorovacieho softvéru - pokiaľ organizácia nepovolila AMT a nepoužíva sa na monitorovanie svojich vlastných počítačov. Keby bol riadiaci systém Intel kontaktoval sieť v iných situáciách, pravdepodobne by sme o tom počuli vďaka nástrojom ako Wireshark, ktoré umožňujú ľuďom sledovať prevádzku v sieti.
Avšak prítomnosť softvéru, ako je Intel ME, ktorý nemožno zablokovať a je uzavretým zdrojom, je určite bezpečnostným problémom. Je to ďalšia cesta útoku a už sme v spoločnosti Intel ME videli bezpečnostné diery.
Je zraniteľný počítač Intel ME??
20. novembra 2017 spoločnosť Intel oznámila v spoločnosti Intel ME vážne bezpečnostné diery, ktoré objavili výskumní pracovníci v oblasti bezpečnosti. Patria sem aj chyby, ktoré by umožnili útočníkovi s lokálnym prístupom spustiť kód s plným prístupom k systému a vzdialené útoky, ktoré by umožnili útočníkom so vzdialeným prístupom spustiť kód s úplným systémovým prístupom. Nie je jasné, aké ťažké by boli zneužívané.
Spoločnosť Intel ponúka detekčný nástroj, ktorý môžete prevziať a spustiť, aby ste zistili, či je počítač Intel ME zraniteľný, alebo či bol opravený.
Ak chcete tento nástroj použiť, stiahnite súbor ZIP pre systém Windows, otvorte ho a dvakrát kliknite na priečinok "DiscoveryTool.GUI". Dvakrát kliknite na súbor "Intel-SA-00086-GUI.exe", aby ste ho spustili. Súhlaste s výzvou UAC a budete informovaní, či je váš počítač zraniteľný alebo nie.
Ak je váš počítač zraniteľný, môžete aktualizovať Intel ME len aktualizáciou firmvéru UEFI vášho počítača. Výrobca vášho počítača vám musí poskytnúť túto aktualizáciu, preto skontrolujte sekciu technickej podpory na webových stránkach vášho výrobcu a zistite, či sú k dispozícii aktualizácie UEFI alebo BIOS.
Spoločnosť Intel tiež poskytuje stránku podpory s odkazmi na informácie o aktualizáciách poskytnutých rôznymi výrobcami počítačov a udržujú ju aktualizovanú, pretože výrobcovia uverejňujú informácie o podpore.
Systémy AMD majú niečo podobné nazvané AMD TrustZone, ktorý beží na špeciálnom procesore ARM.
Image Credit: Laura Houser.