Intel Management Engine har vært inkludert på Intel-brikkesett siden 2008. Det er i utgangspunktet en liten datamaskin-i-en-datamaskin, med full tilgang til PC-ens minne, skjerm, nettverk og inndataenheter. Den kjører kode skrevet av Intel, og Intel har ikke delt mye informasjon om sin indre funksjon.
Denne programvaren, også kalt Intel ME, har dukket opp i nyhetene på grunn av sikkerhetshull Intel kunngjort 20. november 2017. Du bør lappe systemet ditt hvis det er sårbart. Denne programvarens dype systemtilgang og tilstedeværelse på alle moderne systemer med en Intel-prosessor betyr at det er et saftig mål for angripere.
Hva er Intel ME?
Så hva er Intel Management Engine, uansett? Intel gir litt generell informasjon, men de unngår å forklare de fleste av de spesifikke oppgavene Intel Management Engine utfører og nøyaktig hvordan den fungerer.
Som Intel sier det , Management Engine er "et lite, lite strømforsyningssystem for datamaskiner". Det "utfører forskjellige oppgaver mens systemet er i dvale, under oppstartsprosessen og når systemet kjører".
Med andre ord, dette er et parallelt operativsystem som kjører på en isolert chip, men med tilgang til PC-maskinvaren. Den kjører når datamaskinen din sover, mens den starter opp og mens operativsystemet kjører. Den har full tilgang til systemmaskinvaren, inkludert systemminnet, innholdet på skjermen, tastaturinngang og til og med nettverket.
Vi vet nå at Intel Management Engine kjører et MINIX-operativsystem . Utover det er den nøyaktige programvaren som kjører inne i Intel Management Engine ukjent. Det er en liten svart boks, og bare Intel vet nøyaktig hva som er inni.
Hva er Intel Active Management Technology (AMT)?
Bortsett fra forskjellige funksjoner på lavt nivå, inkluderer Intel Management Engine Intel Active Management Technology . AMT er en ekstern administrasjonsløsning for servere, stasjonære datamaskiner, bærbare datamaskiner og nettbrett med Intel-prosessorer. Den er ment for store organisasjoner, ikke hjemmebrukere. Det er ikke aktivert som standard, så det er egentlig ikke en "bakdør", som noen har kalt det.
AMT kan brukes til å slå på, konfigurere, kontrollere eller tørke datamaskiner eksternt med Intel-prosessorer. I motsetning til typiske administrasjonsløsninger, fungerer dette selv om datamaskinen ikke kjører et operativsystem. Intel AMT kjører som en del av Intel Management Engine, slik at organisasjoner kan administrere systemer eksternt uten et fungerende Windows-operativsystem.
I mai 2017 kunngjorde Intel en ekstern utnyttelse i AMT som ville tillate angripere å få tilgang til AMT på en datamaskin uten å oppgi det nødvendige passordet. Dette vil imidlertid bare påvirke folk som gikk ut av deres måte å aktivere Intel AMT - som igjen ikke er de fleste hjemmebrukere. Bare organisasjoner som brukte AMT trengte å bekymre seg for dette problemet og oppdatere datamaskinens fastvare.
Denne funksjonen er bare for PCer. Mens moderne Mac-maskiner med Intel-prosessorer også har Intel ME, inkluderer de ikke Intel AMT.
Kan du deaktivere det?
Du kan ikke deaktivere Intel ME. Selv om du deaktiverer Intel AMT-funksjoner i systemets BIOS, er Intel ME-prosessoren og programvaren fortsatt aktiv og kjører. På dette tidspunktet er den inkludert på alle systemer med Intel-prosessorer, og Intel gir ingen måte å deaktivere den.
Mens Intel ikke gir noen måte å deaktivere Intel ME, har andre eksperimentert med å deaktivere den. Det er ikke så enkelt som å svinge en bryter. Initiativrike hackere har klart å deaktiver Intel ME med ganske mye innsats , og Purism tilbyr nå bærbare datamaskiner (basert på eldre Intel-maskinvare) med Intel Management Engine deaktivert som standard . Intel er sannsynligvis ikke fornøyd med denne innsatsen, og vil gjøre det enda vanskeligere å deaktivere Intel ME i fremtiden.
Men for den gjennomsnittlige brukeren er det i utgangspunktet umulig å deaktivere Intel ME - og det er etter design.
Hvorfor hemmeligholdet?
Intel vil ikke at konkurrentene skal få vite nøyaktig hvordan Management Engine-programvaren fungerer. Intel ser også ut til å omfavne "sikkerhet ved uklarhet" her, og prøver å gjøre det vanskeligere for angripere å lære om og finne hull i Intel ME-programvaren. Som de siste sikkerhetshullene har vist, er sikkerhet ved uklarhet imidlertid ingen garantert løsning.
Dette er ikke noen form for spionerings- eller overvåkingsprogramvare - med mindre en organisasjon har aktivert AMT og bruker den til å overvåke sine egne PC-er. Hvis Intels Management Engine kontaktet nettverket i andre situasjoner, ville vi sannsynligvis ha hørt om det takket være verktøy som Wireshark , som lar folk overvåke trafikken i et nettverk.
Tilstedeværelsen av programvare som Intel ME som ikke kan deaktiveres og er lukket kilde, er imidlertid absolutt et sikkerhetsproblem. Det er en annen vei for angrep, og vi har allerede sett sikkerhetshull i Intel ME.
Er datamaskinens Intel ME sårbar?
20. november 2017, Intel kunngjort alvorlige sikkerhetshull i Intel ME som ble oppdaget av tredjeparts sikkerhetsforskere. Disse inkluderer både feil som vil tillate en angriper med lokal tilgang å kjøre kode med full systemtilgang, og eksterne angrep som vil tillate angripere med ekstern tilgang å kjøre kode med full systemtilgang. Det er uklart hvor vanskelig de vil være å utnytte.
Intel tilbyr en gjenkjenningsverktøy du kan laste ned og løpe for å finne ut om datamaskinens Intel ME er sårbar, eller om den er løst.
For å bruke verktøyet laster du ned ZIP-filen for Windows, åpner den og dobbeltklikker på mappen "DiscoveryTool.GUI". Dobbeltklikk filen “Intel-SA-00086-GUI.exe” for å kjøre den. Godta UAC-ledeteksten, så får du beskjed om PC-en din er sårbar eller ikke.
I SLEKT: Hva er UEFI, og hvordan er det forskjellig fra BIOS?
Hvis PC-en din er sårbar, kan du bare oppdatere Intel ME ved å oppdatere datamaskinens UEFI firmware . Datamaskinprodusenten din må gi deg denne oppdateringen, så sjekk Support-delen på produsentens nettsted for å se om det er noen UEFI- eller BIOS-oppdateringer tilgjengelig.
Intel gir også en støtteside med lenker til informasjon om oppdateringer levert av forskjellige PC-produsenter, og de holder den oppdatert når produsenter gir ut støtteinformasjon.
AMD-systemer har noe lignende AMD TrustZone , som kjører på en dedikert ARM-prosessor.
Bildekreditt: Laura Houser .
