מנוע ניהול אינטל, הסביר: המחשב הזעיר שבתוך המעבד שלך

מנוע הניהול של אינטל נכלל בערכות השבבים של אינטל מאז 2008. זה בעצם מחשב זעיר בתוך מחשב, עם גישה מלאה לזיכרון המחשב, התצוגה, הרשת והתקני הקלט. היא מפעילה קוד שנכתב על ידי אינטל, ואינטל לא שיתפה מידע רב על פעולתה הפנימית.

תוכנה זו, הנקראת גם Intel ME, צצה בחדשות בגלל חורי האבטחה של אינטל הוכרז ב -20 בנובמבר 2017. עליך לתקן את המערכת שלך אם היא פגיעה. גישה ומערכת נוכחות עמוקה של תוכנה זו בכל מערכת מודרנית עם מעבד אינטל, פירושה שהיא מטרה עסיסית לתוקפים.

מה זה אינטל ME?

אז מה בכלל מנוע הניהול של אינטל? אינטל מספקת מידע כללי כלשהו, ​​אך היא נמנעת מהסבר על מרבית המשימות הספציפיות שמנוע הניהול של אינטל מבצע ומדויק כיצד היא פועלת.

בתור אינטל שם את זה , מנוע הניהול הוא "תת מערכת קטנה למחשבים עם הספק נמוך". זה "מבצע משימות שונות בזמן שהמערכת במצב שינה, במהלך תהליך האתחול וכשהמערכת פועלת".

במילים אחרות, מדובר במערכת הפעלה מקבילה הפועלת על שבב מבודד, אך עם גישה לחומרה של המחשב האישי שלך. הוא פועל כאשר המחשב שלך ישן, בזמן שהוא אתחול, ובזמן שמערכת ההפעלה שלך פועלת. יש לו גישה מלאה לחומרת המערכת שלך, כולל זיכרון המערכת שלך, תוכן הצג, קלט המקלדת ואפילו הרשת.

כעת אנו יודעים שמנוע הניהול של אינטל פועל מערכת הפעלה MINIX . מעבר לכך, התוכנה המדויקת הפועלת בתוך מנוע הניהול של אינטל אינה ידועה. זו קופסה שחורה קטנה, ורק אינטל יודעת בדיוק מה יש בפנים.

מהי טכנולוגיית ניהול פעיל של אינטל (AMT)?

מלבד פונקציות שונות ברמה נמוכה, מנוע הניהול של אינטל כולל טכנולוגיית ניהול אקטיבי של אינטל . AMT הוא פתרון לניהול מרחוק לשרתים, מחשבים שולחניים, מחשבים ניידים וטאבלטים עם מעבדי אינטל. זה מיועד לארגונים גדולים ולא למשתמשים ביתיים. זה לא מופעל כברירת מחדל, ולכן זה לא ממש "דלת אחורית", כפי שכמה אנשים כינו זאת.

ניתן להשתמש ב- AMT להפעלה מרחוק, קביעת תצורה, בקרה או מחיקה של מחשבים עם מעבדי אינטל. בניגוד לפתרונות ניהול טיפוסיים, זה עובד גם אם המחשב אינו מריץ מערכת הפעלה. אינטל AMT פועלת כחלק ממנוע הניהול של אינטל, כך שארגונים יכולים לנהל מרחוק מערכות ללא מערכת הפעלה פועלת של Windows.

במאי 2017 הודיעה אינטל על ניצול מרחוק ב- AMT שיאפשר לתוקפים לגשת ל- AMT במחשב מבלי לספק את הסיסמה הדרושה. עם זאת, הדבר ישפיע רק על אנשים שיצאו מגדרם כדי לאפשר את אינטל AMT - וזה, שוב, לא רוב המשתמשים הביתיים. רק ארגונים שהשתמשו ב- AMT היו צריכים לדאוג לבעיה זו ולעדכן את הקושחה של המחשבים שלהם.

תכונה זו מיועדת רק למחשבים אישיים. בעוד שמחשבי מקינטוש מודרניים עם מעבדי אינטל יש גם את אינטל ME, הם אינם כוללים אינטל AMT.

אתה יכול להשבית את זה?

אינך יכול להשבית את Intel ME. גם אם תשבית את תכונות Intel AMT ב- BIOS של המערכת שלך, מעבד התוכנה של Intel ME עדיין פעיל ופועל. בשלב זה, הוא נכלל בכל המערכות עם מעבדי אינטל ואינטל אינה מספקת דרך להשבית אותו.

בעוד שאינטל אינה מספקת דרך להשבית את Intel ME, אנשים אחרים התנסו בהשבתה. זה לא פשוט כמו להעיף מתג. האקרים יוזמים הצליחו השבת את ה- Intel ME עם מעט מאמץ , ו- Purism מציעה כעת מחשבים ניידים (מבוססים על חומרה ישנה יותר של אינטל) עם מנוע הניהול של אינטל מושבת כברירת מחדל . סביר להניח שאינטל לא מרוצה מהמאמצים הללו, ותקשה עוד יותר על השבתת ה- Intel ME בעתיד.

אבל מבחינת המשתמש הממוצע, השבתת ה- Intel ME היא בעצם בלתי אפשרית - וזה לפי תכנון.

מדוע הסודיות?

אינטל לא רוצה שמתחרותיה יידעו על פעולותיה המדויקות של תוכנת ה- Management Engine. נראה שגם אינטל מחבקת כאן "אבטחה על ידי סתום", ומנסה להקשות על התוקפים ללמוד ולמצוא חורים בתוכנת Intel ME. עם זאת, כפי שהראו חורי האבטחה האחרונים, אבטחה על ידי סתום אינה פיתרון מובטח.

זה לא כל סוג של תוכנת ריגול או ניטור - אלא אם כן ארגון הפעיל את AMT ומשתמש בו כדי לפקח על המחשבים האישיים שלו. אם מנוע הניהול של אינטל היה יוצר קשר עם הרשת במצבים אחרים, סביר להניח שהיינו שומעים על כך בזכות כלים כמו Wireshark , המאפשרים לאנשים לפקח על התעבורה ברשת.

עם זאת, נוכחות של תוכנות כמו Intel ME שלא ניתן להשבית ומקור סגור היא בהחלט דאגה ביטחונית. זו עוד דרך להתקפה, וכבר ראינו חורי אבטחה באינטל ME.

האם ה- Intel ME של המחשב שלך פגיע?

ב- 20 בנובמבר 2017, אינטל הוכרז חורי אבטחה רציניים באינטל ME שהתגלו על ידי חוקרי אבטחה של צד שלישי. אלה כוללים הן פגמים שיאפשרו לתוקף עם גישה מקומית להפעיל קוד עם גישה מלאה למערכת, והן להתקפות מרחוק שיאפשרו לתוקפים עם גישה מרחוק להריץ קוד עם גישה מלאה למערכת. לא ברור עד כמה יהיה קשה לנצל אותם.

אינטל מציעה כלי זיהוי אתה יכול להוריד ולהפעיל כדי לברר אם ה- Intel ME של המחשב שלך פגיע, או שהוא תוקן.

כדי להשתמש בכלי, הורד את קובץ ה- ZIP עבור Windows, פתח אותו ולחץ פעמיים על התיקיה "DiscoveryTool.GUI". לחץ פעמיים על הקובץ "Intel-SA-00086-GUI.exe" כדי להפעיל אותו. הסכים להנחיית ה- UAC ותאמר לך אם המחשב האישי שלך פגיע או לא.

קָשׁוּר: מהו UEFI, וכיצד הוא שונה מ- BIOS?

אם המחשב האישי שלך פגיע, תוכל לעדכן את ה- Intel ME רק על ידי עדכון המחשב שלך קושחת UEFI . יצרן המחשב שלך צריך לספק לך עדכון זה, לכן עיין בסעיף התמיכה באתר היצרן כדי לראות אם קיימים עדכוני UEFI או BIOS.

אינטל מספקת גם דף תמיכה עם קישורים למידע על עדכונים שמספקים יצרני מחשבים שונים, והם מעדכנים אותו כאשר היצרנים משחררים מידע תומך.

למערכות AMD יש שם דומה AMD TrustZone , הפועל על מעבד ARM ייעודי.

אשראי תמונה: לורה האוזר .