De Intel Management Engine is sinds 2008 op Intel-chipsets opgenomen. Het is in feite een kleine computer-in-een-computer, met volledige toegang tot het geheugen, het beeldscherm, het netwerk en de invoerapparaten van je pc. Het voert code uit die is geschreven door Intel en Intel heeft niet veel informatie gedeeld over de interne werking ervan.
Deze software, ook wel Intel ME genoemd, is in het nieuws verschenen vanwege beveiligingslekken in Intel bekend gemaakt op 20 november 2017. U moet uw systeem patchen als het kwetsbaar is. De diepe systeemtoegang en aanwezigheid van deze software op elk modern systeem met een Intel-processor betekent dat het een sappig doelwit is voor aanvallers.
Wat is Intel ME?
Dus wat is de Intel Management Engine eigenlijk? Intel biedt enige algemene informatie, maar ze vermijden de meeste specifieke taken uit te leggen die de Intel Management Engine uitvoert en hoe deze precies werkt.
Zoals Intel plaatst het is de Management Engine “een klein computersubsysteem met laag vermogen”. Het "voert verschillende taken uit terwijl het systeem in de slaapstand is, tijdens het opstartproces en wanneer uw systeem actief is".
Met andere woorden, dit is een parallel besturingssysteem dat op een geïsoleerde chip draait, maar met toegang tot de hardware van uw pc. Het werkt wanneer uw computer in slaap is, tijdens het opstarten en terwijl uw besturingssysteem actief is. Het heeft volledige toegang tot uw systeemhardware, inclusief uw systeemgeheugen, de inhoud van uw beeldscherm, toetsenbordinvoer en zelfs het netwerk.
We weten nu dat de Intel Management Engine draait een MINIX-besturingssysteem . Verder is de precieze software die in de Intel Management Engine draait, onbekend. Het is een kleine zwarte doos en alleen Intel weet precies wat erin zit.
Wat is Intel Active Management Technology (AMT)?
Afgezien van verschillende low-level-functies, bevat de Intel Management Engine Intel Active Management-technologie . AMT is een oplossing voor extern beheer voor servers, desktops, laptops en tablets met Intel-processors. Het is bedoeld voor grote organisaties, niet voor thuisgebruikers. Het is niet standaard ingeschakeld, dus het is niet echt een 'achterdeur', zoals sommige mensen het hebben genoemd.
AMT kan worden gebruikt om computers met Intel-processors op afstand in te schakelen, te configureren, te besturen of te wissen. In tegenstelling tot typische beheeroplossingen werkt dit zelfs als de computer geen besturingssysteem heeft. Intel AMT draait als onderdeel van de Intel Management Engine, zodat organisaties systemen op afstand kunnen beheren zonder een werkend Windows-besturingssysteem.
In mei 2017 kondigde Intel een remote exploit in AMT waarmee aanvallers toegang kunnen krijgen tot AMT op een computer zonder het benodigde wachtwoord op te geven. Dit zou echter alleen van invloed zijn op mensen die hun best deden om Intel AMT mogelijk te maken, wat, nogmaals, niet de meeste thuisgebruikers zijn. Alleen organisaties die AMT gebruikten, hoefden zich zorgen te maken over dit probleem en de firmware van hun computer bij te werken.
Deze functie is alleen voor pc's. Hoewel moderne Macs met Intel CPU's ook de Intel ME hebben, bevatten ze geen Intel AMT.
Kunt u het uitschakelen?
Je kunt de Intel ME niet uitschakelen. Zelfs als u Intel AMT-functies in het BIOS van uw systeem uitschakelt, zijn de Intel ME-coprocessor en software nog steeds actief en actief. Op dit moment is het opgenomen in alle systemen met Intel CPU's en biedt Intel geen manier om het uit te schakelen.
Hoewel Intel geen manier biedt om de Intel ME uit te schakelen, hebben andere mensen ermee geëxperimenteerd. Het is echter niet zo eenvoudig als een schakelaar omdraaien. Ondernemende hackers zijn erin geslaagd schakel de Intel ME met behoorlijk wat moeite uit , en Purism biedt nu laptops (gebaseerd op oudere Intel-hardware) met de Intel Management Engine standaard uitgeschakeld . Intel is waarschijnlijk niet blij met deze inspanningen en zal het in de toekomst nog moeilijker maken om de Intel ME uit te schakelen.
Maar voor de gemiddelde gebruiker is het uitschakelen van de Intel ME in principe onmogelijk - en dat is inherent aan het ontwerp.
Waarom de geheimhouding?
Intel wil niet dat zijn concurrenten de exacte werking van de Management Engine-software kennen. Intel lijkt hier ook "security by obscurity" te omarmen, in een poging het voor aanvallers moeilijker te maken om te leren over en gaten te vinden in de Intel ME-software. Zoals de recente veiligheidslekken hebben aangetoond, is beveiliging door onduidelijkheid echter geen gegarandeerde oplossing.
Dit is geen enkele vorm van spionage- of bewakingssoftware, tenzij een organisatie AMT heeft ingeschakeld en deze gebruikt om hun eigen pc's te bewaken. Als Intel's Management Engine in andere situaties contact opnam met het netwerk, hadden we er waarschijnlijk van gehoord dankzij tools zoals Wireshark , waarmee mensen verkeer op een netwerk kunnen volgen.
De aanwezigheid van software zoals Intel ME die niet kan worden uitgeschakeld en een gesloten bron is, is zeker een beveiligingsprobleem. Het is een andere manier om aan te vallen, en we hebben al beveiligingslekken gezien in Intel ME.
Is de Intel ME van uw computer kwetsbaar?
Op 20 november 2017 heeft Intel bekend gemaakt ernstige beveiligingslekken in Intel ME die waren ontdekt door externe beveiligingsonderzoekers. Deze omvatten zowel gebreken waardoor een aanvaller met lokale toegang code kan uitvoeren met volledige systeemtoegang, als aanvallen op afstand waardoor aanvallers met externe toegang code kunnen uitvoeren met volledige systeemtoegang. Het is onduidelijk hoe moeilijk ze zouden zijn om te exploiteren.
Intel biedt een detectie tool u kunt downloaden en uitvoeren om erachter te komen of de Intel ME van uw computer kwetsbaar is, of dat deze is gerepareerd.
Om de tool te gebruiken, downloadt u het ZIP-bestand voor Windows, opent u het en dubbelklikt u op de map "DiscoveryTool.GUI". Dubbelklik op het bestand "Intel-SA-00086-GUI.exe" om het uit te voeren. Ga akkoord met de UAC-prompt en u wordt verteld of uw pc kwetsbaar is of niet.
VERWANT: Wat is UEFI en hoe verschilt het van BIOS?
Als uw pc kwetsbaar is, kunt u de Intel ME alleen updaten door het UEFI-firmware . De fabrikant van uw computer moet u deze update verstrekken, dus kijk in het gedeelte Ondersteuning op de website van uw fabrikant of er UEFI- of BIOS-updates beschikbaar zijn.
Intel biedt ook een ondersteuningspagina met links naar informatie over updates die door verschillende pc-fabrikanten worden geleverd, en ze houden deze up-to-date wanneer fabrikanten ondersteuningsinformatie vrijgeven.
AMD-systemen hebben iets soortgelijks AMD TrustZone , die draait op een speciale ARM-processor.
Afbeelding tegoed: Laura Houser .
