Intel vadības dzinējs, paskaidrojis mazo datoru savā CPU
Intel Management Engine ir iekļauts Intel mikroshēmās kopš 2008. gada. Tas būtībā ir neliels dators ar datoru, kurā ir pilnīga piekļuve datora atmiņai, displejam, tīklam un ievades ierīcēm. Tā vada kodu, ko rakstījis Intel, un Intel nav koplietojis daudz informācijas par tās iekšējo darbību.
Šī programmatūra, saukta arī par Intel ME, ir parādījusies jaunumos, jo 2017. gada 20. novembrī Intel paziņoja par drošības caurumiem. Šī programmatūras dziļa piekļuve sistēmai un klātbūtne katrā mūsdienīgā sistēmā ar Intel procesoru nozīmē, ka tas ir sulīgs mērķis uzbrucējiem.
Kas ir Intel ME?
Tātad, kāds ir Intel Management Engine? Intel sniedz dažus vispārīgus datus, taču tie izvairās izskaidrot lielāko daļu konkrēto uzdevumu, ko veic Intel Management Engine, un tieši tā, kā tā darbojas.
Kā to norāda Intel, vadības dzinējs ir „maza, mazjaudas datoru apakšsistēma”. Tā “veic dažādus uzdevumus, kamēr sistēma ir miega laikā, sāknēšanas laikā un kad sistēma darbojas”.
Citiem vārdiem sakot, tā ir paralēlā operētājsistēma, kas darbojas izolētā mikroshēmā, bet kurai ir piekļuve datora aparatūrai. Tas darbojas, kad dators ir aizmigis, kamēr tas ir palaišanas brīdī un kamēr darbojas jūsu operētājsistēma. Tai ir pilnīga piekļuve jūsu sistēmas aparatūrai, ieskaitot sistēmas atmiņu, displeja saturu, tastatūras ievadi un pat tīklu.
Tagad mēs zinām, ka Intel Management Engine izmanto MINIX operētājsistēmu. Bez tam precīza programmatūra, kas darbojas Intel Management Engine iekšpusē, nav zināma. Tas ir mazs melns kaste, un tikai Intel zina, kas ir iekšā.
Kas ir Intel aktīvās pārvaldības tehnoloģija (AMT)?
Papildus dažādām zema līmeņa funkcijām, Intel Management Engine ietver Intel Active Management Technology. AMT ir tālvadības risinājums serveriem, galddatoriem, klēpjdatoriem un planšetdatoriem ar Intel procesoriem. Tas ir paredzēts lielām organizācijām, nevis mājas lietotājiem. Tā nav iespējota pēc noklusējuma, tāpēc tā nav „aizmugurējā durvis”, kā to sauca daži cilvēki.
AMT var izmantot, lai attālināti ieslēgtu, konfigurētu, kontrolētu vai noslaucītu datorus ar Intel procesoriem. Atšķirībā no tipiskiem pārvaldības risinājumiem tas darbojas pat tad, ja dators nedarbojas ar operētājsistēmu. Intel AMT darbojas kā daļa no Intel Management Engine, tāpēc organizācijas var attālināti pārvaldīt sistēmas bez darba Windows operētājsistēmas.
2017. gada maijā Intel paziņoja par tālvadības izmantošanu AMT, kas ļautu uzbrucējiem piekļūt AMT datorā, nesniedzot vajadzīgo paroli. Tomēr tas ietekmētu tikai cilvēkus, kas devās ceļā, lai iespējotu Intel AMT, kas atkal nav lielākā daļa mājas lietotāju. Tikai organizācijām, kas izmantoja AMT, bija jāuztraucas par šo problēmu un jāatjaunina sava datora programmaparatūra.
Šī funkcija ir paredzēta tikai datoriem. Kaut arī mūsdienīgajiem Mac ar Intel CPU ir arī Intel ME, tie neietver Intel AMT.
Vai varat to atspējot?
Jūs nevarat atspējot Intel ME. Pat ja jūs atspējojat Intel AMT funkcijas jūsu sistēmas BIOS, Intel ME kopprocesors un programmatūra joprojām ir aktīva un darbojas. Šajā brīdī tas ir iekļauts visās sistēmās ar Intel CPU, un Intel nesniedz iespēju to atspējot.
Kaut arī Intel nespēj atslēgt Intel ME, citi cilvēki ir eksperimentējuši ar to atspējošanu. Tomēr tas nav tik vienkārši kā slēdzis. Uzņēmīgie hakeri ir spējuši atspējot Intel ME ar diezgan lielu piepūli, un Purisms tagad piedāvā klēpjdatorus (balstoties uz vecākiem Intel aparatūru) ar Intel Management Engine pēc noklusējuma. Intel, visticamāk, nebūs apmierināts ar šiem centieniem, un tas vēl vairāk apgrūtinās Intel ME atspējošanu nākotnē.
Bet vidējam lietotājam Intel ME atspējošana būtībā ir neiespējama, un tas ir dizaina dēļ.
Kāpēc slepenība?
Intel nevēlas, lai konkurenti zinātu precīzu vadības dzinēja programmatūras darbību. Šķiet, ka Intel šeit ietver arī „drošību, kas ir neaizsargāta”, mēģinot apgrūtināt uzbrucējus uzzināt un atrast caurumus Intel ME programmatūrā. Tomēr, kā liecina nesenie drošības caurumi, drošība ar neskaidrību nav garantēts risinājums.
Tas nav nekāda veida spiegošanas vai uzraudzības programmatūra, ja vien organizācija nav iespējojusi AMT un izmanto to, lai uzraudzītu savus datorus. Ja Intel Management Engine sazinājās ar tīklu citās situācijās, mēs, visticamāk, esam dzirdējuši par to, pateicoties tādiem instrumentiem kā Wireshark, kas ļauj cilvēkiem pārraudzīt datplūsmu tīklā.
Tomēr tādas programmatūras kā Intel ME klātbūtne, kas nevar tikt atspējota un ir slēgta, noteikti ir drošības problēma. Tas ir vēl viens uzbrukuma ceļš, un mēs jau esam redzējuši drošības caurumus Intel ME.
Vai jūsu datora Intel ME ir neaizsargāts?
2017. gada 20. novembrī Intel paziņoja par nopietniem Intel ME drošības caurumiem, ko atklājuši trešo personu drošības pētnieki. Tie ietver gan trūkumus, kas ļautu uzbrucējam ar vietējo piekļuvi palaist kodam ar pilnu sistēmas piekļuvi, gan attāliem uzbrukumiem, kas ļautu uzbrucējiem ar attālo piekļuvi palaist kodu ar pilnu sistēmas piekļuvi. Nav skaidrs, cik grūti tās izmantot.
Intel piedāvā detektēšanas rīku, ko varat lejupielādēt un palaist, lai uzzinātu, vai datora Intel ME ir neaizsargāts, vai tas ir fiksēts.
Lai izmantotu rīku, lejupielādējiet Windows ZIP failu, atveriet to un veiciet dubultklikšķi uz mapes DiscoveryTool.GUI. Veiciet dubultklikšķi uz faila “Intel-SA-00086-GUI.exe”, lai to palaistu. Piekrītu UAC uzvednei un jums tiks paziņots, vai jūsu dators ir neaizsargāts vai nē.
Ja jūsu dators ir neaizsargāts, jūs varat atjaunināt tikai Intel ME, atjauninot datora UEFI programmaparatūru. Jūsu datora ražotājam ir jāiesniedz šis atjauninājums, tāpēc pārbaudiet ražotāja vietnes atbalsta sadaļu, lai redzētu, vai ir pieejami jauni UEFI vai BIOS atjauninājumi.
Intel nodrošina arī atbalsta lapu ar saitēm uz informāciju par dažādu datoru ražotāju sniegtajiem atjauninājumiem, un viņi to atjaunina, kad ražotājs izlaiž atbalsta informāciju.
AMD sistēmām ir kaut kas līdzīgs nosaukumam AMD TrustZone, kas darbojas ar īpašu ARM procesoru.
Attēla kredīts: Laura Houser.