Intel Management Engine, vysvětlil ten malý počítač uvnitř procesoru
Intel Management Engine je od roku 2008 součástí chipsetů Intel. Je to v podstatě malý počítač v počítači, který má plný přístup k paměti, displeji, síti a vstupním zařízením vašeho počítače. Spustí kód napsaný společností Intel a společnost Intel neposkytla dostatek informací o svém vnitřním fungování.
Tento software, nazývaný také Intel ME, se objevil ve zprávách kvůli bezpečnostním otvům, které společnost Intel oznámila 20. listopadu 2017. Měli byste opravit váš systém, pokud je zranitelný. Tento hluboký systémový přístup a přítomnost tohoto softwaru na každém moderním systému s procesorem Intel znamená, že je to šťavnatý cíl pro útočníky.
Co je Intel ME?
Takže jaký je Intel Management Engine? Společnost Intel poskytuje některé obecné informace, ale vyhnout se vysvětlení většiny konkrétních úkolů, které Intel Management Engine provádí a jak přesně funguje.
Jak to říká Intel, řídící stroj je "malý, nízkopříkonový počítačový subsystém". Během bootovacího procesu provádí různé úlohy, když je systém v režimu spánku, a když systém běží ".
Jinými slovy, jedná se o paralelní operační systém běžící na izolovaném čipu, ale s přístupem k hardwaru počítače. Spustí se, když váš počítač spí, zatímco je zaváděn a během běhu operačního systému. Má úplný přístup k hardwaru vašeho systému, včetně systémové paměti, obsahu displeje, vstupu klávesnice a dokonce i sítě.
Nyní víme, že Intel Management Engine provozuje operační systém MINIX. Kromě toho není přesný software, který běží uvnitř Intel Management Engine, neznámý. Je to malá černá skříň a pouze Intel přesně ví, co je uvnitř.
Co je technologie Intel Active Management Technology (AMT)?
Vedle různých funkcí na nízké úrovni obsahuje Intel Management Engine technologii Intel Active Management Technology. AMT je vzdálené řešení pro správu serverů, stolních počítačů, notebooků a tabletů s procesory Intel. Je určen pro velké organizace, nikoli pro domácí uživatele. Ve výchozím nastavení není povoleno, takže není skutečně "backdoor", jak ji nazvali někteří lidé.
AMT lze použít k vzdálenému zapnutí, konfiguraci, řízení nebo vymazání počítačů s procesory Intel. Na rozdíl od typických řešení pro správu to funguje i v případě, že počítač nepracuje s operačním systémem. Intel AMT běží jako součást Intel Management Engine, takže organizace mohou vzdáleně řídit systémy bez fungujícího operačního systému Windows.
V květnu 2017 společnost Intel oznámila vzdálené využití v AMT, které by útočníkům umožnilo přistupovat k AMT v počítači bez nutnosti zadat potřebné heslo. To by ovšem ovlivnilo pouze lidi, kteří se dostali z cesty, aby povolili Intel AMT - což opět není většinou domácími uživateli. Pouze organizace, které používaly AMT, se musely starat o tento problém a aktualizovat firmware svých počítačů.
Tato funkce je určena pouze pro počítače. Zatímco moderní počítače Mac s CPU Intel mají také Intel ME, nezahrnují Intel AMT.
Můžete jej zakázat?
Intel ME nelze vypnout. Dokonce i když vypnete funkce Intel AMT v systému BIOS systému, kopírka a software Intel ME jsou stále aktivní a běží. V tomto okamžiku je součástí všech systémů s procesory Intel a společnost Intel nemá žádný způsob, jak ji zakázat.
Zatímco Intel neposkytuje žádný způsob, jak vypnout Intel ME, jiní lidé experimentovali s jeho vypnutím. Není to tak jednoduché, jako když stisknete spínač. Podnikaví hackeři se podařilo vypnout Intel ME s určitým úsilím a Purism nyní nabízí notebooky (založené na starším hardware Intel) s Intel Management Engine vypnutým ve výchozím nastavení. Intel pravděpodobně není spokojen s těmito snahami a bude ještě obtížnější vypnout Intel ME v budoucnu.
Ale pro průměrného uživatele je vypnutí technologie Intel ME prakticky nemožné - a to je podle návrhu.
Proč tajemství?
Společnost Intel nechce, aby její konkurenti znal přesnou práci softwaru Management Engine. Zdá se, že Intel zde pokrývá "jistotu z tmy" a snaží se pro útočníky složitější se dozvědět a nalézt díry v softwaru Intel ME. Nicméně, jak ukázaly nedávné bezpečnostní otvory, není jisté, že jistota je obsažena.
Není to žádný špionážní nebo monitorovací software - pokud organizace nepovolila AMT a nepoužívá ji k monitorování vlastních počítačů. Pokud by management společnosti Intel kontaktoval síť v jiných situacích, pravděpodobně bychom o tom slyšeli díky nástrojům jako Wireshark, které umožňují lidem monitorovat provoz v síti.
Nicméně přítomnost softwaru, jako je Intel ME, která nemůže být zakázána a je uzavřeným zdrojem, je jistě bezpečnostní záležitostí. Je to další cesta pro útok, a my jsme již viděli bezpečnostní díry v Intel ME.
Je zranitelný počítač Intel ME??
Dne 20. listopadu 2017 společnost Intel oznámila závažné bezpečnostní otvory v zařízení Intel ME, které objevily výzkumní pracovníci v oblasti bezpečnosti. Patří sem i chyby, které by umožňovaly útočníkovi s lokálním přístupem ke spouštěcímu kódu s plným systémovým přístupem a vzdáleným útokům, které by útočníkům umožnily vzdálený přístup ke spouštění kódu s úplným systémovým přístupem. Není jasné, jak těžké by bylo zneužívání.
Společnost Intel nabízí detekční nástroj, který můžete stáhnout a spustit, aby zjistil, zda je počítač Intel ME zranitelný nebo zda byl opraven.
Chcete-li nástroj použít, stáhněte soubor ZIP pro systém Windows, otevřete jej a poklepejte na složku "DiscoveryTool.GUI". Poklepejte na soubor "Intel-SA-00086-GUI.exe" a spusťte jej. Souhlasíte s příkazem UAC a budete informováni, zda je váš počítač zranitelný nebo ne.
Je-li počítač zranitelný, můžete aktualizovat systém Intel ME pouze aktualizací firmwaru UEFI počítače. Výrobce vašeho počítače vám musí poskytnout tuto aktualizaci. Zkontrolujte prosím sekci podpory webové stránky výrobce, abyste zjistili, zda jsou k dispozici aktualizace systému UEFI nebo BIOS.
Společnost Intel také poskytuje stránku podpory s odkazy na informace o aktualizacích poskytovaných různými výrobci počítačů a průběžně jej aktualizuje, protože výrobci zveřejňují informace o podpoře.
Systémy AMD mají něco podobného nazvaného AMD TrustZone, který běží na vyhrazeném procesoru ARM.
Image Credit: Laura Houser.