Intel Management Engine je součástí čipových sad Intel od roku 2008. Je to v podstatě malý počítač v počítači s plným přístupem k paměti, displeji, síti a vstupním zařízením vašeho počítače. Spouští kód napsaný společností Intel a Intel nesdílel mnoho informací o svém vnitřním fungování.
Tento software, nazývaný také Intel ME, se objevil ve zprávách kvůli bezpečnostním mezerám Intel oznámil 20. listopadu 2017. Pokud je váš systém zranitelný, měli byste jej opravit. Hluboký přístup a přítomnost tohoto softwaru v každém moderním systému s procesorem Intel znamená, že je to šťavnatý cíl pro útočníky.
Co je Intel ME?
Co je vlastně Intel Management Engine? Intel poskytuje některé obecné informace, ale nevyhýbají se vysvětlení většiny konkrétních úkolů, které Intel Management Engine provádí, a přesně tomu, jak to funguje.
Jako Intel říká to , Management Engine je „malý počítačový subsystém s nízkou spotřebou energie“. „Provádí různé úkoly, když je systém v režimu spánku, během procesu spouštění a když je váš systém spuštěn“.
Jinými slovy, jedná se o paralelní operační systém běžící na izolovaném čipu, ale s přístupem k hardwaru vašeho počítače. Spouští se, když váš počítač spí, zatímco se spouští a je spuštěný váš operační systém. Má plný přístup k hardwaru vašeho systému, včetně systémové paměti, obsahu displeje, vstupu z klávesnice a dokonce i k síti.
Nyní víme, že běží Intel Management Engine operační systém MINIX . Kromě toho není známý přesný software, který běží uvnitř Intel Management Engine. Je to malá černá skříňka a pouze Intel přesně ví, co je uvnitř.
Co je technologie Intel Active Management (AMT)?
Kromě různých funkcí na nízké úrovni obsahuje Intel Management Engine Technologie Intel Active Management . AMT je řešení vzdálené správy pro servery, stolní počítače, notebooky a tablety s procesory Intel. Je určen pro velké organizace, nikoli pro domácí uživatele. Ve výchozím nastavení není povoleno, takže nejde o „zadní vrátka“, jak jej někteří lidé nazvali.
AMT lze použít ke vzdálenému zapnutí, konfiguraci, ovládání nebo vymazání počítačů pomocí procesorů Intel. Na rozdíl od typických řešení pro správu to funguje, i když v počítači není spuštěn operační systém. Intel AMT běží jako součást Intel Management Engine, takže organizace mohou vzdáleně spravovat systémy bez funkčního operačního systému Windows.
V květnu 2017 společnost Intel oznámila a vzdálené zneužití v AMT to by umožnilo útočníkům přístup k AMT v počítači bez poskytnutí potřebného hesla. To by se však dotklo pouze lidí, kteří zkusili povolit Intel AMT - což opět není většina domácích uživatelů. Pouze organizace, které používaly AMT, se musely starat o tento problém a aktualizovat firmware svých počítačů.
Tato funkce je pouze pro PC. Zatímco moderní počítače Mac s procesory Intel mají také Intel ME, neobsahují Intel AMT.
Můžete to deaktivovat?
Intel ME nelze deaktivovat. I když deaktivujete funkce Intel AMT v systému BIOS vašeho systému, koprocesor a software Intel ME jsou stále aktivní a běží. V tomto okamžiku je součástí všech systémů s CPU Intel a Intel neposkytuje žádný způsob, jak jej deaktivovat.
Zatímco Intel neposkytuje žádný způsob, jak deaktivovat Intel ME, ostatní lidé experimentovali s jeho deaktivací. Není to však tak jednoduché jako stisknutí vypínače. Podnikavým hackerům se to podařilo deaktivovat Intel ME s docela velkým úsilím a Purism nyní nabízí notebooky (založené na starším hardwaru Intel) s Intel Management Engine ve výchozím nastavení zakázáno . Intel pravděpodobně není nadšen z těchto snah a v budoucnu bude ještě obtížnější deaktivovat Intel ME.
Pro průměrného uživatele je ale deaktivace Intel ME v zásadě nemožná - a to je záměrné.
Proč tajemství?
Společnost Intel nechce, aby její konkurenti znali přesné fungování softwaru Management Engine. Zdá se, že se zde také Intel zavazuje k „zabezpečení temnotou“ a snaží se útočníkům ztížit poznávání a hledání mezer v softwaru Intel ME. Jak však ukázaly nedávné bezpečnostní díry, zabezpečení pomocí neznáma není zaručeným řešením.
Nejedná se o žádný druh špionážního nebo monitorovacího softwaru - pokud organizace neaktivovala AMT a nepoužívá ji ke sledování svých vlastních počítačů. Pokud by Intel Management Engine kontaktoval síť v jiných situacích, pravděpodobně bychom o tom slyšeli díky podobným nástrojům Wireshark , které lidem umožňují sledovat provoz v síti.
Přítomnost softwaru, jako je Intel ME, který nelze deaktivovat a je uzavřeným zdrojem, je však jistě otázkou zabezpečení. Je to další cesta k útoku a v Intel ME jsme již viděli bezpečnostní mezery.
Je váš počítač Intel ME zranitelný?
20. listopadu 2017, Intel oznámil vážné bezpečnostní díry v Intel ME, které byly objeveny bezpečnostními vědci třetích stran. Patří mezi ně chyby, které by útočníkovi s místním přístupem umožnily spustit kód s plným přístupem k systému, a vzdálené útoky, které by umožnily útočníkům se vzdáleným přístupem spustit kód s plným přístupem k systému. Není jasné, jak těžké by bylo zneužít.
Intel nabízí a detekční nástroj můžete si stáhnout a spustit a zjistit, zda je Intel ME vašeho počítače zranitelný nebo zda byl opraven.
Chcete-li nástroj použít, stáhněte si soubor ZIP pro Windows, otevřete jej a poklepejte na složku „DiscoveryTool.GUI“. Poklepáním na soubor „Intel-SA-00086-GUI.exe“ jej spusťte. Souhlasíte s výzvou UAC a budete informováni, zda je váš počítač zranitelný nebo ne.
PŘÍBUZNÝ: Co je UEFI a v čem se liší od systému BIOS?
Pokud je váš počítač zranitelný, můžete Intel ME aktualizovat pouze aktualizací počítače Firmware UEFI . Tuto aktualizaci vám musí poskytnout výrobce vašeho počítače, proto zkontrolujte část Podpora na webu výrobce, zda jsou k dispozici nějaké aktualizace UEFI nebo BIOS.
Intel také poskytuje stránka podpory s odkazy na informace o aktualizacích poskytovaných různými výrobci počítačů a průběžně je aktualizují, když výrobci vydávají informace o podpoře.
Systémy AMD mají něco podobného pojmenovaného AMD TrustZone , který běží na vyhrazeném procesoru ARM.
Kredit obrázku: Laura Houser .
