Intel управління двигуном, пояснити крихітний комп'ютер всередині вашого процесора
Intel Management Engine був включений в чіпсети Intel з 2008 року. Це в основному крихітний комп'ютер в комп'ютері, з повним доступом до пам'яті комп'ютера, дисплея, мережі та пристроїв введення. Вона запускає код, написаний Intel, і Intel не поділилася великою кількістю інформації про її внутрішню роботу.
Це програмне забезпечення, яке також називається Intel ME, з'явилося в новинах через отвори безпеки, які корпорація Intel оголосила 20 листопада 2017 року. Глибокий системний доступ і наявність цього програмного забезпечення в кожній сучасній системі з процесором Intel означають, що це дуже соковита мета для зловмисників.
Що таке Intel ME?
Що ж таке Intel Management Engine? Intel надає деякі загальні відомості, але вони уникають пояснення більшості конкретних завдань, які виконує Intel Management Engine, і саме те, як він працює.
Як стверджує Intel, двигун управління - це «невелика, малопотужна комп'ютерна підсистема». Він "виконує різні завдання, коли система перебуває в режимі сну, під час завантаження і під час запуску системи".
Іншими словами, це паралельна операційна система, що працює на ізольованому чіпі, але з доступом до апаратних засобів вашого комп'ютера. Він запускається, коли комп'ютер сплять, під час завантаження і під час роботи операційної системи. Він має повний доступ до апаратного забезпечення системи, включаючи системну пам'ять, вміст дисплея, введення з клавіатури і навіть мережу.
Тепер ми знаємо, що Intel Management Engine запускає операційну систему MINIX. Крім того, точне програмне забезпечення, яке працює в Intel Management Engine, невідоме. Це маленький чорний ящик, і тільки Intel точно знає, що всередині.
Що таке технологія Intel Active Management (AMT)?
Окрім різних функцій низького рівня, Intel Management Engine включає технологію Intel Active Management. AMT - це рішення для віддаленого керування для серверів, настільних комп'ютерів, ноутбуків і планшетів з процесорами Intel. Він призначений для великих організацій, а не для домашніх користувачів. За промовчанням вона не ввімкнена, тому вона не є "бекдором", як її назвали деякі люди.
AMT можна використовувати для віддаленого включення, налаштування, керування або видалення комп'ютерів з процесорами Intel. На відміну від типових управлінських рішень, це працює, навіть якщо на комп'ютері не працює операційна система. Intel AMT працює як частина Intel Management Engine, тому організації можуть віддалено керувати системами без робочої операційної системи Windows.
У травні 2017 року корпорація Intel оголосила про віддалений експлуатацію в AMT, що дозволить зловмисникам отримати доступ до AMT на комп'ютері без надання необхідного пароля. Проте це вплине лише на людей, які не в змозі включити Intel AMT, які, знову ж таки, не є більшістю домашніх користувачів. Тільки організаціям, які використовували AMT, було потрібно турбуватися про цю проблему і оновлювати прошивку своїх комп'ютерів.
Ця функція призначена лише для ПК. У той час як сучасні комп'ютери з процесорами Intel також мають Intel ME, вони не включають Intel AMT.
Ви можете відключити його?
Ви не можете вимкнути Intel ME. Навіть якщо вимкнути функції Intel AMT у BIOS вашої системи, співпроцесор Intel ME та програмне забезпечення все ще активні та працюють. На даний момент, він включений на всіх системах з процесорами Intel і Intel не дає можливості відключити його.
Хоча Intel не дає можливості відключити Intel ME, інші люди експериментували з його вимкненням. Але це не так просто, як перемикання. Працездатні хакери зуміли вимкнути Intel ME з достатньою кількістю зусиль, і пуризм тепер пропонує ноутбуки (на основі старих апаратних засобів Intel) з вимкненням Intel Management Engine за замовчуванням. Intel, ймовірно, не задоволений цими зусиллями, і ще більше ускладнить відключення Intel ME в майбутньому.
Але, для середнього користувача, відключення Intel ME є в принципі неможливим - і це за проектом.
Чому таємниця?
Intel не хоче, щоб її конкуренти знали точну роботу програмного забезпечення Management Engine. Крім того, Intel, схоже, сприймає тут "безпеку через невідомість", намагаючись утрудняти зловмисників дізнатися і знайти отвори в програмному забезпеченні Intel ME. Однак, як показали останні дірки з безпеки, безпека через невідомість не є гарантованим рішенням.
Це не будь-який шпигунський або моніторинговий програмний продукт, якщо організація не дозволила AMT і використовує її для моніторингу власних ПК. Якщо Intel Engine Management контактував з мережею в інших ситуаціях, ми, ймовірно, чули про це завдяки інструментам, таким як Wireshark, які дозволяють людям контролювати трафік у мережі.
Тим не менш, наявність програмного забезпечення, як Intel ME, які не можуть бути відключені і закриті джерело, безумовно, є проблемою безпеки. Це ще один шлях для атаки, і ми вже бачили отвори безпеки в Intel ME.
Чи є уразливий ваш комп'ютер Intel ME?
20 листопада 2017 року корпорація Intel оголосила про серйозні діри в безпеці Intel ME, які були виявлені сторонніми дослідниками безпеки. До них відносяться як недоліки, які дозволять зловмиснику з локальним доступом запускати код з повним доступом до системи, так і віддаленими атаками, які дозволять зловмисникам з віддаленим доступом запускати код з повним доступом до системи. Незрозуміло, наскільки важко їх використовувати.
Корпорація Intel пропонує інструмент для виявлення, який можна завантажити та запустити, щоб дізнатися, чи є вбудований комп'ютер Intel ME, або виправлено.
Щоб скористатися інструментом, завантажте ZIP-файл для Windows, відкрийте його та двічі клацніть папку “DiscoveryTool.GUI”. Двічі клацніть файл “Intel-SA-00086-GUI.exe”, щоб запустити його. Погодьтеся з запрошенням UAC, і вам буде сказано, чи ваш комп'ютер уразливий чи ні.
Якщо ваш комп'ютер є вразливим, можна оновити Intel ME, лише оновивши програмне забезпечення UEFI комп'ютера. Виробник комп'ютера повинен надати вам це оновлення, тому перевірте розділ підтримки на веб-сайті виробника, щоб дізнатися, чи доступні оновлення UEFI або BIOS.
Корпорація Intel також надає сторінку підтримки з посиланнями на інформацію про оновлення, що надаються різними виробниками ПК, і вони продовжують оновлюватися, коли виробники випускають інформацію щодо підтримки.
Системи AMD мають щось на зразок AMD TrustZone, який працює на спеціальному процесорі ARM.
Зображення: Лаура Хаузер.