Intel Management Engine uključen jeIntelovi skupovi čipova od 2008. To je u osnovi maleno računalo unutar računala s potpunim pristupom memoriji, zaslonu, mreži i ulaznim uređajima vašeg računala. Ona pokreće kôd koji je napisao Intel, a Intel nije podijelio puno informacija o svom unutarnjem djelovanju.
Ovaj softver, koji se naziva i Intel ME, je iskočiou vijestima zbog sigurnosnih rupa koje je Intel objavio 20. studenoga 2017. Trebali biste zakrpati vaš sustav ako je ranjiv. Ovaj duboki pristup i prisustvo ovog softvera svakom modernom sustavu s Intelovim procesorom znači da je to sočna meta napadača.
Što je Intel ME?
Pa, što je onda Intel Management Engine? Intel pruža neke opće informacije, ali oni izbjegavaju objasniti većinu specifičnih zadataka koje Intel upravljački mehanizam obavlja i točno kako to rade.
Kako Intel navodi, Upravljački motor je "mali računalni podsustav male snage". "Izvršava različite zadatke dok je sustav u stanju mirovanja, tijekom postupka dizanja i tijekom rada sustava".
Drugim riječima, ovo je paralelno djelovanjesustav koji radi na izoliranom čipu, ali s pristupom hardveru vašeg računala. Pokreće se kada vaše računalo spava, dok se podiže i dok vaš operativni sustav radi. Ima pun pristup hardveru vašeg sustava, uključujući memoriju sustava, sadržaj vašeg zaslona, unos tipkovnice, pa čak i mrežu.
Sada znamo da se pokreće Intel Management Engineoperativni sustav MINIX. Dalje od toga, nepoznat je precizan softver koji radi unutar Intel Management Engine-a. To je mala crna kutija, a samo Intel točno zna što je unutra.
Što je Intel Active Management Technology (AMT)?
Pored raznih funkcija niske razine, IntelMehanizam upravljanja uključuje Intel Active Management tehnologiju. AMT je rješenje za daljinsko upravljanje poslužiteljima, radnim površinama, prijenosnim računalima i tabletima s Intelovim procesorima. Namijenjen je velikim organizacijama, a ne kućnim korisnicima. Nije omogućeno prema zadanim postavkama, pa zapravo nije "stražnja vrata", kako su to neki ljudi nazvali.
AMT se može koristiti za daljinsko uključivanje, konfiguriranje,kontrolirajte ili obrišite računala s Intelovim procesorima. Za razliku od tipičnih rješenja za upravljanje, ovo funkcionira čak i ako računalo nema operativni sustav. Intel AMT radi kao dio Intelovog upravljačkog motora, tako da organizacije mogu daljinski upravljati sustavima bez operativnog sustava Windows.
U svibnju 2017. Intel je najavio daljinski eksploataciju uAMT koji bi napadačima omogućio pristup AMT-u na računalu bez davanja potrebne lozinke. Međutim, to bi se odrazilo samo na ljude koji su krenuli svojim putem da omoguće Intel AMT - što, opet, nije većina kućnih korisnika. Samo su se organizacije koje su koristile AMT morale brinuti o ovom problemu i ažurirati softver svog računala.
Ova je značajka namijenjena samo osobnim računalima. Iako moderni Mac-ovi s Intelovim CPU-om također imaju Intel ME, oni ne uključuju Intel AMT.
Možete li ga onesposobiti?
Intel ME ne možete onemogućiti. Čak i ako onemogućite Intel AMT značajke u BIOS-u vašeg sustava, Intel ME koprocesor i softver su i dalje aktivni. U ovom trenutku uključen je u sve sustave s Intelovim CPU-om, a Intel ne pruža mogućnost da ga onemoguće.
Iako Intel ne pruža način da se onemogući IntelME, drugi ljudi su eksperimentirali s tim onesposobljavanjem. Međutim, to nije tako jednostavno kao kliknuti na prekidač. Poduzetni hakeri uspjeli su onemogućiti Intel ME uz prilično napora, a Purism sada nudi prijenosna računala (koja se temelje na starijem Intelovom hardveru), a Intel Management Engine je zadano onemogućen. Intel vjerojatno nije zadovoljan tim naporima, pa će još više otežati onemogućavanje Intel ME-a u budućnosti.
Ali, za prosječnog korisnika onemogućavanje Intel ME-a u osnovi je nemoguće - i to je dizajnirano.
Zašto tajnost?
Intel ne želi da njegovi konkurenti znajutočan rad softvera Management Engine. Čini se da Intel također prihvaća "sigurnost zbog nesigurnosti" ovdje, pokušavajući da napadačima oteža učenje i pronalazak rupa u softveru Intel ME. Međutim, kao što su pokazale nedavne rupe u sigurnosti, sigurnost zbog nesigurnosti nije zajamčeno rješenje.
To nije vrsta špijuniranja ili nadzorasoftver - osim ako neka organizacija nije omogućila AMT i koristi ga za nadziranje vlastitih računala. Ako je Intelov upravljački mehanizam kontaktirao mrežu u drugim situacijama, vjerovatno smo to čuli zahvaljujući alatima poput Wiresharka koji ljudima omogućuju nadzor prometa na mreži.
Međutim, prisutnost softvera poput Intel MEkoje se ne može isključiti i zatvoren je izvor sigurno zabrinut. To je još jedan put za napad i već smo vidjeli sigurnosne rupe u Intel ME-u.
Je li ratom Intel ME ranjiv na vašem računalu?
20. studenoga 2017. Intel je najavio ozbiljnusigurnosne rupe u Intel ME-u koje su otkrili treći istraživači sigurnosti. Oni uključuju obje mane koje bi omogućile napadaču s lokalnim pristupom pokretanje koda s potpunim pristupom sustavu i udaljene napade koji bi omogućili napadačima s udaljenim pristupom da pokreću kod s potpunim pristupom sustavu. Nije jasno koliko bi ih bilo teško iskoristiti.
Intel nudi alat za otkrivanje koji možete preuzeti i pokrenuti kako biste otkrili je li rangiranje računara Intel ME ranjivo ili je to ispravljeno.
Da biste koristili alat, preuzmite ZIP datoteku zaWindows, otvorite ga i dvokliknite mapu "DiscoveryTool.GUI". Dvaput kliknite datoteku "Intel-SA-00086-GUI.exe" da biste je pokrenuli. Pristanite na prompt za UAC i bit će vam poznato je li vaše računalo ranjivo ili ne.
ODNOSE: Što je UEFI i u čemu se razlikuje od BIOS-a?
Ako je vaše računalo ranjivo, možete samo ažuriratiIntel ME ažuriranjem UEFI softvera vašeg računala. Proizvođač vašeg računala mora vam dostaviti ovo ažuriranje, pa provjerite odjeljak za podršku na web mjestu proizvođača da biste vidjeli postoje li ažuriranja UEFI ili BIOS.
Intel također nudi stranicu podrške s vezama do informacija o ažuriranjima različitih proizvođača računala, a oni se ažuriraju kako proizvođači objavljuju informacije o podršci.
AMD-ovi sustavi imaju nešto slično pod nazivom AMD TrustZone, koji se pokreće na ARM procesoru.
Kreditna slika: Laura Houser.
