Intel Management Engine е включен в Intel чипсетите от 2008 г. насам. Той е основно малък компютър в компютъра, с пълен достъп до паметта на компютъра, дисплея, мрежата и входните устройства. Той изпълнява код, написан от Intel, а Intel не споделя много информация за вътрешната си работа.
Този софтуер, наричан още Intel ME, се появи в новините, защото Intel обяви 20 ноември 2017 година. Трябва да включите вашата система, ако е уязвима. Този дълбок системен достъп и присъствие на този софтуер на всяка модерна система с процесор Intel означава, че това е сочна цел за нападателите.
И така, какъв е Intel Management Engine? Intel предоставя известна обща информация, но те избягват да обясняват повечето специфични задачи, които Intel Management Engine изпълнява и точно как работи.
Както посочва Intel, управлението на двигателя е "малка компютърна подсистема с ниска мощност". Тя изпълнява различни задачи, докато системата е в сън, по време на процеса на зареждане и когато системата ви работи ".
С други думи, това е паралелна операционна система, която работи на изолиран чип, но с достъп до хардуера на вашия компютър. Той се изпълнява, когато компютърът ви е заспал, докато се зарежда, докато операционната ви система работи. Той има пълен достъп до системния ви хардуер, включително системната памет, съдържанието на дисплея, входа на клавиатурата и дори мрежата.
Сега знаем, че Intel Management Engine поддържа операционна система MINIX. Освен това точният софтуер, който работи в Intel Management Engine, не е известен. Това е малка черна кутия и само Intel знае точно какво има вътре.
Освен различни функции на ниско ниво, Intel Management Engine включва технологията Intel Active Management Technology. AMT е решение за отдалечено управление на сървъри, настолни компютри, лаптопи и таблети с процесори на Intel. Той е предназначен за големи организации, а не за домашни потребители. Това не е разрешено по подразбиране, така че не е наистина "вратичка", както го наричат някои хора.
AMT може да се използва за дистанционно включване, конфигуриране, управление или изтриване на компютри с процесори Intel. За разлика от типичните решения за управление, това работи дори ако компютърът не работи с операционна система. Intel AMT работи като част от Intel Management Engine, така че организациите могат отдалечено да управляват системите без работеща операционна система Windows.
През май 2017 г. Intel обяви отдалечено използване в AMT, което би позволило на атакуващите да имат достъп до AMT на компютър, без да предоставят необходимата парола. Това обаче ще засегне само хора, които са излезли от пътя си, за да позволят на Intel AMT - което отново не е най-много домашни потребители. Само организациите, които използват AMT, трябва да се притесняват за този проблем и да актуализират фърмуера на своите компютри.
Тази функция е само за персонални компютри. Докато съвременните компютри с процесори на Intel също имат Intel MЕ, те не включват Intel AMT.
Не можете да деактивирате Intel ME. Дори ако деактивирате функциите на Intel AMT в BIOS на вашата система, копиращият и софтуерът на Intel ME все още е активен и работи. В този момент той е включен във всички системи с Intel процесори, а Intel не предлага никакъв начин да го деактивира.
Докато Intel не предлага никакъв начин да деактивира Intel ME, други хора са експериментирали с деактивирането му. Това не е толкова просто, колкото и превключването на превключвател. Предприемчивите хакери успяха да деактивират Intel ME с доста усилия и Purism сега предлага лаптопи (базирани на по-старите хардуерни технологии на Intel), като Intel Management Engine е деактивиран по подразбиране. Intel вероятно не е доволен от тези усилия и ще направи още по-трудно да изключи Intel MEL в бъдеще.
Но за обикновения потребител изключването на Intel ME е невъзможно - и това е по дизайн.
Intel не иска конкурентите си да знаят точното функциониране на софтуера за управление на двигателя. Intel също така изглежда, че прегръща "сигурност от неизвестност" тук, опитвайки се да затрудни нападателите да научат и намерят дупки в софтуера Intel ME. Въпреки това, както показаха неотдавнашните дупки за сигурност, сигурността по неизвестност не е гарантирано решение.
Това не е някакъв софтуер за шпиониране или мониторинг, освен ако една организация не е активирала AMT и я е използвала за наблюдение на собствените си персонални компютри. Ако управляващият двигател на Intel се свърза с мрежата в други ситуации, вероятно щяхме да го чуем благодарение на инструменти като Wireshark, които позволяват на хората да следят трафика в дадена мрежа.
Въпреки това наличието на софтуер като Intel ME, който не може да бъде деактивиран и е затворен източник, със сигурност представлява опасение за сигурността. Това е още една авеню за атака и вече видяхме дупки за сигурност в Intel ME.
На 20 ноември 2017 г. Intel обяви сериозни дупки в сигурността в Intel ME, които бяха открити от изследователи от трети страни по сигурността. Те включват и недостатъци, които биха позволили на атакуващия с локален достъп да изпълнява код с пълен системен достъп и отдалечени атаки, които биха позволили на атакуващите с отдалечен достъп да изпълняват код с пълен достъп до системата. Не е ясно колко трудно биха били те да бъдат експлоатирани.
Intel предлага инструмент за откриване, който можете да изтеглите и да стартирате, за да разберете дали компютърът на Intel ME е уязвим или дали е бил фиксиран.
За да използвате инструмента, изтеглете ZIP файла за Windows, отворете го и кликнете два пъти върху папката "DiscoveryTool.GUI". Щракнете двукратно върху файла "Intel-SA-00086-GUI.exe", за да го стартирате. Съгласете се с подкана на UAC и ще ви кажа дали вашият компютър е уязвим или не.
Ако вашият компютър е уязвим, можете да актуализирате Intel ME само като актуализирате фърмуера на UEFI на вашия компютър. Производителят на компютъра ви трябва да ви предостави тази актуализация, затова проверете раздела за поддръжка на уеб сайта на производителя, за да видите дали има налични актуализации за UEFI или BIOS.
Intel също така предоставя страница за поддръжка с връзки към информация за актуализации, предоставени от различни производители на компютри, и те го поддържат актуализирани, тъй като производителите пускат информация за поддръжка.
Системите AMD имат нещо подобно на име AMD TrustZone, който работи на специален процесор ARM.
Image Credit: Лаура Хюсер.