21Aug
Intelov upravljalni mehanizem je že od leta 2008 vključen na čipov za Intel. V bistvu je majhen računalnik v računalniku s polnim dostopom do pomnilnika, zaslona, omrežja in vhodnih naprav v računalniku. Deluje s kodo, ki jo je napisal Intel, Intel pa ni delil veliko informacij o svojem notranjem delovanju.
Ta programska oprema, imenovana tudi Intel ME, se je pojavila v novicah zaradi varnostnih lukenj, ki jih je Intel naznanil 20. novembra 2017. Če je ranljiv, ga morate popraviti. Globalni dostop in prisotnost te programske opreme na vsakem sodobnem sistemu s procesorjem Intel pomeni, da je za soočence namenjen sočni cilj.
Kaj je Intel ME?
Kakšen je Intelov upravljalni mehanizem? Intel ponuja nekaj splošnih informacij, vendar se izognejo razlagi večine specifičnih nalog, ki jih izvaja Intel Management Engine, in natančno, kako to deluje.
Kot pravi Intel, je upravljalni motor "majhen računalniški podsistem z nizko porabo energije"."Opravlja različne naloge, medtem ko je sistem v stanju spanja, med zagonom in pri delovanju vašega sistema".
Z drugimi besedami, to je vzporedni operacijski sistem, ki deluje na ločenem čipu, vendar z dostopom do strojne opreme vašega računalnika. Teče, ko računalnik spi, medtem ko se širi, in medtem ko vaš operacijski sistem teče. Ima popoln dostop do sistemske strojne opreme, vključno s sistemskim pomnilnikom, vsebino zaslona, vnosom tipkovnice in celo omrežjem.
Zdaj vemo, da Intel Management Engine upravlja operacijski sistem MINIX.Poleg tega je natančna programska oprema, ki poteka znotraj Intelovega upravljalskega motorja, neznana. To je majhna črna škatla, in samo Intel natančno ve, kaj je notri.
Kakšna je tehnologija Intel Active Management( AMT)?
Poleg različnih nizkih funkcij, Intel Management Engine vključuje tehnologijo Intel Active Management. AMT je oddaljena rešitev za upravljanje strežnikov, namizij, prenosnih računalnikov in tabličnih računalnikov s procesorji Intel. Namenjen je velikim organizacijam, ne domačim uporabnikom. Privzeto ni omogočeno, zato ni res "backdoor", kot so ga nekateri poklicali.
AMT se lahko uporablja za daljinsko vklop, konfiguriranje, nadzor ali brisanje računalnikov s procesorji Intel. Za razliko od tipičnih rešitev za upravljanje, to deluje tudi, če računalnik nima operacijskega sistema. Intel AMT deluje kot del Intelovega upravljalskega motorja, zato lahko organizacije na daljavo upravljajo sisteme brez delovnega operacijskega sistema Windows.
Maja 2017 je Intel napovedal oddaljeno izkoriščanje v AMT, ki bi napadalcem omogočal dostop do AMT na računalniku brez zagotovitve potrebnega gesla. Vendar bi to vplivalo samo na ljudi, ki so šli na pot, da bi omogočili Intel AMT, ki spet ni večina domačih uporabnikov. Samo organizacije, ki so uporabljale AMT, so morale skrbeti za to težavo in posodobiti strojno programsko opremo svojih računalnikov.
Ta funkcija je namenjena samo osebnim računalnikom. Medtem ko sodobni Macovi z Intel CPU-ji imajo tudi Intel ME, ne vključujejo Intel AMT.
ga lahko onemogočite?
Intel ME ne morete onemogočiti. Tudi če onemogočite funkcije Intel AMT v BIOS-u vašega sistema, je koprocesor in programska oprema Intel ME še vedno aktivna in deluje. V tem trenutku je vključen v vse sisteme z Intel CPU-ji, Intel pa ne more onemogočiti.
Čeprav Intel ne more onemogočiti Intel ME, so drugi ljudje eksperimentirali, da ga onemogočijo.Čeprav ni tako preprosto, kot da bi z njim potiskali stikalo. Podjetniške hekerje so uspeli onemogočiti Intel ME s precej naporom, zdaj pa Purism ponuja prenosne računalnike( na podlagi starejše Intelove strojne opreme) z Intelovim upravljalnim mehanizmom privzeto onemogočen. Intel verjetno ni zadovoljna s temi prizadevanji in bo še bolj težko onemogočiti Intel ME v prihodnosti.
Ampak, za povprečnega uporabnika je onemogočanje Intel ME v osnovi nemogoče - in to je po zasnovi.
Zakaj tajnost?
Intel ne želi, da bi njegovi konkurenti vedeli natančno delovanje programske opreme Management Engine. Zdi se, da se zdi, da se zdi, da se zdi, da se zdi, da se zdi, da se zdi, da se zdi, da se napadalci naučijo in odkrijejo luknje v programski opremi Intel ME.Vendar pa so nedavne varnostne luknje pokazale, da varnost z nejasnostjo ni zajamčena rešitev.
To ni nobena vrsta špijunske ali nadzorne programske opreme, razen če je organizacija omogočila AMT in jo uporablja za spremljanje svojih osebnih računalnikov.Če je Intelov upravljalni mehanizem vzpostavil stik z omrežjem v drugih okoliščinah, bi nam verjetno slišali, zahvaljujoč orodjem, kot je Wireshark, ki ljudem omogočajo nadzor nad prometom v omrežju.
Vendar navzočnost programske opreme, kot je Intel ME, ki je ni mogoče onemogočiti in je zaprta, je gotovo varnostna skrb. To je še ena možnost za napad, v Intel ME pa smo že videli varnostne luknje.
Ali je računalnik Intel ME občutljiv?
20. novembra 2017 je Intel napovedal resne varnostne luknje v Intelu ME, ki so jih odkrili varnostni raziskovalci tretjih strank. Ti vključujejo tako pomanjkljivosti, ki bi omogočile napadalcu z lokalnim dostopom za zagon kode s popolnim dostopom do sistema in oddaljenimi napadi, ki bi napadalcem z oddaljenim dostopom omogočili izvajanje kode s popolnim dostopom do sistema. Ni jasno, kako težko bi jih izkoristili.
Intel ponuja orodje za odkrivanje, ki ga lahko prenesete in zaženete, da ugotovite, ali je računalnik Intel ME občutljiv ali pa je bil določen.
Če želite uporabiti orodje, prenesite datoteko ZIP za Windows, jo odprite in dvokliknite mapo "DiscoveryTool. GUI".Dvokliknite datoteko »Intel-SA-00086-GUI.exe«, da jo zaženete. Se strinjate s pozivom UAC in vam bo povedal, ali je vaš računalnik ranljiv ali ne.
Če je vaš računalnik ranljiv, lahko posodobite samo Intel ME, tako da posodobite vdelano programsko opremo UEFI računalnika. Proizvajalec vašega računalnika vam mora priskrbeti to posodobitev, zato v razdelku za podporo spletnega mesta proizvajalca preverite, ali so na voljo posodobitve UEFI ali BIOS.
Intel nudi tudi stran za podporo s povezavami do informacij o posodobitvah, ki jih ponujajo različni proizvajalci računalnikov, in jih posodabljajo, ko proizvajalci objavljajo informacije o podpori.
AMD sistemi imajo nekaj podobnega, imenovanega AMD TrustZone, ki deluje na namenskem procesorju ARM.
Image Credit: Laura Houser.