Intel Management Engine został dołączony do mikroukładów Intela od 2008 roku. Jest to po prostu mały komputer w komputerze, z pełnym dostępem do pamięci komputera, wyświetlacza, sieci i urządzeń wejściowych. Działa kod napisany przez Intela, a Intel nie podzielił się wieloma informacjami na temat jego wewnętrznych działań.
To oprogramowanie, nazywane również Intel ME, pojawiło się w wiadomościach z powodu luk w zabezpieczeniach, które Intel ogłosił 20 listopada 2017 r. Powinni Państwo załatać swój system, jeśli jest on podatny na ataki. Głęboki dostęp do systemu i jego obecność w każdym nowoczesnym systemie z procesorem Intel oznacza, że jest to soczysty cel dla atakujących.
Czym więc jest Intel Management Engine? Intel dostarcza pewnych ogólnych informacji, ale unikają one objaśniania większości konkretnych zadań, które wykonuje Intel Management Engine i jak dokładnie to działa.
Jak to ujął Intel, mechanizm zarządzania jest "małym podsystemem komputerowym małej mocy". "Wykonuje różne zadania, gdy system jest w stanie uśpienia, podczas procesu rozruchu i kiedy system jest uruchomiony".
Innymi słowy, jest to równoległy system operacyjny działający na izolowanym chipie, ale z dostępem do sprzętu komputera. Działa, gdy komputer śpi, podczas rozruchu i podczas działania systemu operacyjnego. Ma pełny dostęp do sprzętu systemowego, w tym pamięci systemowej, zawartości ekranu, wejścia klawiatury, a nawet sieci.
Teraz wiemy, że Intel Management Engine obsługuje system operacyjny MINIX. Poza tym dokładne oprogramowanie działające w silniku Intel Management Engine jest nieznane. To mała czarna skrzynka i tylko Intel wie dokładnie, co jest w środku.
Oprócz różnych funkcji niskiego poziomu, Intel Management Engine zawiera technologię Intel Active Management. AMT to rozwiązanie do zdalnego zarządzania serwerami, komputerami stacjonarnymi, laptopami i tabletami z procesorami Intela. Jest przeznaczony dla dużych organizacji, a nie dla użytkowników domowych. Domyślnie nie jest włączone, więc nie jest tak naprawdę "backdoorem", jak niektórzy to nazywają.
AMT może być używany do zdalnego włączania, konfigurowania, kontrolowania lub czyszczenia komputerów za pomocą procesorów Intel. W przeciwieństwie do typowych rozwiązań do zarządzania działa to nawet wtedy, gdy na komputerze nie jest uruchomiony system operacyjny. Technologia Intel AMT działa w ramach Intel Management Engine, dzięki czemu organizacje mogą zdalnie zarządzać systemami bez działającego systemu operacyjnego Windows.
W maju 2017 r. Intel ogłosił zdalny exploit w AMT, który pozwoliłby intruzom na dostęp do AMT na komputerze bez podania wymaganego hasła. Miałoby to jednak wpływ tylko na ludzi, którzy wyszli na ich drodze, aby umożliwić korzystanie z technologii Intel AMT, która ponownie nie jest dla większości użytkowników domowych. Tylko organizacje, które używają AMT, muszą martwić się o ten problem i aktualizować oprogramowanie układowe swoich komputerów.
Ta funkcja jest przeznaczona tylko dla komputerów PC. Podczas gdy współczesne komputery Mac z procesorami Intela również mają Intel ME, nie zawierają technologii Intel AMT.
Nie możesz wyłączyć Intel ME. Nawet jeśli wyłączysz funkcje Intel AMT w systemie BIOS, koprocesor Intel ME i oprogramowanie będą nadal aktywne. W tym momencie jest on dołączony do wszystkich systemów z procesorami Intela, a Intel nie ma możliwości jego wyłączenia.
Chociaż Intel nie daje możliwości wyłączenia Intel ME, inne osoby eksperymentowały z jego wyłączaniem. Nie jest to jednak tak proste jak poruszanie przełącznikiem. Przedsiębiorczym hakerom udało się wyłączyć Intel ME z dużym wysiłkiem, a Purism oferuje teraz laptopy (oparte na starszym sprzęcie firmy Intel) z domyślnie wyłączonym Intel Management Engine. Intel prawdopodobnie nie jest zadowolony z tych wysiłków i jeszcze bardziej utrudni wyłączenie Intel ME w przyszłości.
Ale dla przeciętnego użytkownika wyłączenie Intel ME jest praktycznie niemożliwe - i to według projektu.
Intel nie chce, aby jego konkurenci znali dokładne działanie oprogramowania Management Engine. Wydaje się również, że Intel stosuje tutaj "bezpieczeństwo przez zaciemnienie", próbując utrudnić atakującym poznanie i znalezienie dziur w oprogramowaniu Intel ME. Jednak, jak pokazały ostatnie luki w zabezpieczeniach, bezpieczeństwo przez zaciemnienie nie jest gwarantowanym rozwiązaniem.
To nie jest żadne oprogramowanie szpiegujące ani monitorujące - chyba że organizacja aktywuje AMT i używa go do monitorowania własnych komputerów. Jeśli mechanizm zarządzania firmy Intel skontaktowałby się z siecią w innych sytuacjach, prawdopodobnie dowiedzielibyśmy się o tym dzięki narzędziom takim jak Wireshark, które umożliwiają użytkownikom monitorowanie ruchu w sieci.
Jednak obecność oprogramowania takiego jak Intel ME, którego nie można wyłączyć i jest zamkniętym źródłem, jest z pewnością problemem związanym z bezpieczeństwem. To kolejna droga ataku i już widzieliśmy dziury w bezpieczeństwie w Intel ME.
20 listopada 2017 r. Intel ogłosił poważne luki w zabezpieczeniach w Intel ME, które zostały odkryte przez niezależnych badaczy zajmujących się bezpieczeństwem. Obejmują one zarówno luki, które umożliwiłyby osobie atakującej z dostępem lokalnym uruchomienie kodu z pełnym dostępem do systemu, jak i zdalne ataki, które umożliwiłyby atakującym z dostępem zdalnym na uruchomienie kodu z pełnym dostępem do systemu. Nie jest jasne, jak trudno byłoby je wykorzystać.
Firma Intel oferuje narzędzie do wykrywania, które można pobrać i uruchomić, aby sprawdzić, czy komputer Intel ME jest podatny na atak lub czy został naprawiony.
Aby użyć tego narzędzia, pobierz plik ZIP dla systemu Windows, otwórz go i dwukrotnie kliknij folder "DiscoveryTool.GUI". Kliknij dwukrotnie plik "Intel-SA-00086-GUI.exe", aby go uruchomić. Zgadzam się z monitem UAC, a dowiesz się, czy twój komputer jest zagrożony, czy nie.
Jeśli twój komputer jest zagrożony, możesz zaktualizować Intel ME tylko przez aktualizację oprogramowania układowego UEFI twojego komputera. Producent komputera musi udostępnić tę aktualizację, więc sprawdź sekcję Pomoc techniczna na stronie producenta, aby sprawdzić, czy dostępne są aktualizacje UEFI lub BIOS.
Firma Intel udostępnia także stronę pomocy technicznej z linkami do informacji o aktualizacjach dostarczanych przez różnych producentów komputerów i aktualizuje ją, gdy producenci udostępniają informacje o pomocy technicznej.
Systemy AMD mają coś podobnego o nazwie AMD TrustZone, która działa na dedykowanym procesorze ARM.
Zdjęcie: Laura Houser.