Intelov upravljački motor, objasnio je maleno računalo unutar vašeg procesora
Intel Management Engine je uključen u Intelove čipsete od 2008. To je u osnovi maleno računalo u računalu, s punim pristupom memoriji, zaslonu, mreži i ulaznim uređajima vašeg računala. Pokreće kod koji je napisao Intel, a Intel nije dijelio mnogo informacija o svojim unutarnjim radovima.
Ovaj softver, koji se naziva i Intel ME, pojavio se u vijestima zbog sigurnosnih rupa koje je Intel objavio 20. studenog 2017. Trebali biste zakrpiti vaš sustav ako je ranjiv. Duboki pristup sustava i prisutnost ovog softvera na svakom suvremenom sustavu s Intelovim procesorom znači da je to sočna meta za napadače.
Što je Intel ME?
Što je uopće Intelov upravljački sustav? Intel pruža neke opće informacije, ali oni izbjegavaju objašnjavanje većine specifičnih zadataka koje Intel upravljački pogon obavlja i točno kako funkcionira.
Kao što Intel kaže, Upravljački motor je “mali, niskoenergetski podsustav”. "Obavlja razne zadatke dok je sustav u stanju mirovanja, tijekom procesa pokretanja sustava i kada se sustav izvodi".
Drugim riječima, ovo je paralelni operativni sustav koji radi na izoliranom čipu, ali s pristupom hardveru vašeg računala. Pokreće se kada je računalo u stanju mirovanja, dok se pokreće sustav i dok je operativni sustav pokrenut. Ima potpuni pristup hardveru vašeg sustava, uključujući memoriju sustava, sadržaj zaslona, unos tipkovnice, pa čak i mrežu.
Sada znamo da Intel Management Engine pokreće operativni sustav MINIX. Osim toga, precizan softver koji se pokreće unutar Intel Management Enginea nije poznat. To je mala crna kutija i samo Intel točno zna što je unutra.
Što je Intelova aktivna tehnologija upravljanja (AMT)?
Osim raznih funkcija niske razine, Intel Management Engine uključuje Intelovu tehnologiju Active Management. AMT je rješenje za daljinsko upravljanje za poslužitelje, stolna računala, prijenosna računala i tablete s procesorima Intel. Namijenjen je velikim organizacijama, a ne kućnim korisnicima. On nije omogućen prema zadanim postavkama, tako da zapravo nije "backdoor", kako su ga neki ljudi nazvali.
AMT se može koristiti za daljinsko uključivanje, konfiguriranje, upravljanje ili brisanje računala s Intelovim procesorima. Za razliku od tipičnih upravljačkih rješenja, to radi čak i ako na računalu nije instaliran operacijski sustav. Intel AMT radi kao dio Intel Management Enginea, tako da organizacije mogu daljinski upravljati sustavima bez operativnog sustava Windows.
U svibnju 2017., Intel je najavio daljinsko iskorištavanje u AMT-u koji će napadačima omogućiti pristup AMT-u na računalu bez pružanja potrebne lozinke. Međutim, to bi utjecalo samo na osobe koje su imale na putu omogućiti Intel AMT, što opet nije većina kućnih korisnika. Samo organizacije koje su koristile AMT morale su brinuti o ovom problemu i ažurirati firmver svojih računala.
Ova značajka je samo za računala. Iako moderni Macovi s Intelovim procesorima također imaju Intel ME, oni ne uključuju Intel AMT.
Možete li ga onemogućiti?
Ne možete onemogućiti Intel ME. Čak i ako onemogućite značajke Intel AMT u BIOS-u sustava, Intel ME koprocesor i softver su još uvijek aktivni i pokrenuti. U ovom trenutku, uključen je u sve sustave s Intelovim procesorima, a Intel ne nudi nikakav način da ga onemogući.
Iako Intel ne nudi nikakav način da onemogući Intel ME, drugi ljudi su eksperimentirali s njegovim onemogućavanjem. Ipak, nije tako jednostavno kao što je prebacivanje prekidača. Poduzetni hakeri uspjeli su onesposobiti Intel ME s dosta truda, a Purism sada nudi prijenosna računala (na temelju starijih Intelovih hardvera) s Intelovim upravljačkim sustavom koji je po zadanoj postavci onemogućen. Intel vjerojatno nije sretan zbog tih napora i još više će otežati onemogućavanje Intel ME u budućnosti.
No, za prosječnog korisnika, onemogućavanje Intel ME je u osnovi nemoguće - a to je po dizajnu.
Zašto tajnost?
Intel ne želi da njegovi konkurenti znaju točan rad softvera Management Engine. Čini se da Intel i ovdje prihvaća "sigurnost opskurnošću", pokušavajući napadačima otežati učenje i pronalaženje rupa u Intel ME softveru. Međutim, kako su nedavne sigurnosne rupe pokazale, sigurnost zbog nejasnoća nije zajamčeno rješenje.
To nije nikakav program za špijuniranje ili nadgledanje - osim ako je organizacija omogućila AMT i koristi ga za nadzor vlastitih računala. Ako je Intelov upravljački sustav kontaktirao mrežu u drugim situacijama, vjerojatno bismo čuli za to zahvaljujući alatima kao što je Wireshark, koji ljudima omogućuju praćenje prometa na mreži.
Međutim, prisutnost softvera kao što je Intel ME koji ne može biti onemogućen i zatvoren je svakako sigurnosni problem. To je još jedan put za napad, a već smo vidjeli sigurnosne rupe u Intel ME-u.
Je li vaše računalo Intel ME ranjivo?
Intel je 20. studenog 2017. najavio ozbiljne sigurnosne rupe u Intel ME-u koje su otkrili istraživači drugih proizvođača. To uključuje i nedostatke koji bi omogućili napadaču lokalni pristup pokretanju koda s potpunim pristupom sustavu i udaljenim napadima koji bi omogućili napadačima s daljinskim pristupom pokretanje koda s punim pristupom sustavu. Nejasno je koliko bi se teško iskorištavali.
Intel nudi alat za otkrivanje koji možete preuzeti i pokrenuti da biste saznali je li Intel ME na računalu osjetljiv, ili je li popravljen.
Da biste koristili alat, preuzmite ZIP datoteku za Windows, otvorite je i dvaput kliknite mapu “DiscoveryTool.GUI”. Dvaput kliknite datoteku "Intel-SA-00086-GUI.exe" da biste je pokrenuli. Slažem se s UAC promptom i bit će vam rečeno je li vaše računalo ranjivo ili ne.
Ako je vaše računalo ranjivo, Intel ME možete ažurirati samo ažuriranjem UEFI firmvera na računalu. Proizvođač vašeg računala mora vam dati ovo ažuriranje, pa provjerite odjeljak Podrška na web-mjestu proizvođača kako biste provjerili ima li dostupnih ažuriranja za UEFI ili BIOS.
Intel također nudi stranicu za podršku s vezama do informacija o ažuriranjima različitih proizvođača računala te je ažuriraju kako proizvođači objavljuju informacije o podršci.
AMD sustavi imaju nešto slično AMD TrustZone, koji radi na namjenskom ARM procesoru.
Zasluge za sliku: Laura Houser.