Intel Management Engine er inkludert iIntel-brikkesett siden 2008. Det er i utgangspunktet en liten datamaskin-i-en-datamaskin, med full tilgang til PC-ens minne, skjerm, nettverk og inndataenheter. Den kjører kode skrevet av Intel, og Intel har ikke delt mye informasjon om sin indre funksjon.
Denne programvaren, også kalt Intel ME, har dukket oppopp i nyhetene på grunn av sikkerhetshull Intel kunngjorde 20. november 2017. Du bør lappe systemet ditt hvis det er sårbart. Denne programvarens dype systemtilgang og tilstedeværelse på alle moderne systemer med en Intel-prosessor betyr at det er et saftig mål for angripere.
Hva er Intel ME?
Så hva er Intel Management Engine, uansett? Intel gir generell informasjon, men de unngår å forklare de fleste av de spesifikke oppgavene Intel Management Engine utfører og nøyaktig hvordan den fungerer.
Som Intel uttrykker det, er Management Engine "et lite, lite strømforsyningssystem". Den "utfører forskjellige oppgaver mens systemet er i dvale, under oppstartsprosessen og når systemet kjører".
Dette er med andre ord en parallell operasjonsystemet som kjører på en isolert brikke, men med tilgang til maskinvaren til din PC. Den kjører når datamaskinen din sover, mens den starter opp og mens operativsystemet kjører. Den har full tilgang til systemmaskinvaren, inkludert systemminnet, innholdet på skjermen, tastaturinngang og til og med nettverket.
We now know that the Intel Management Engine runs et MINIX-operativsystem. Utover det er den nøyaktige programvaren som kjører inne i Intel Management Engine ukjent. Det er en liten svart boks, og bare Intel vet nøyaktig hva som er inni.
Hva er Intel Active Management Technology (AMT)?
Bortsett fra forskjellige funksjoner på lavt nivå, IntelManagement Engine inkluderer Intel Active Management Technology. AMT er en ekstern administrasjonsløsning for servere, stasjonære datamaskiner, bærbare datamaskiner og nettbrett med Intel-prosessorer. Den er ment for store organisasjoner, ikke hjemmebrukere. Det er ikke aktivert som standard, så det er egentlig ikke en "bakdør", som noen har kalt det.
AMT kan brukes til å slå på, konfigurere,kontrollere, eller tørke datamaskiner med Intel-prosessorer. I motsetning til typiske administrasjonsløsninger, fungerer dette selv om datamaskinen ikke kjører et operativsystem. Intel AMT kjører som en del av Intel Management Engine, slik at organisasjoner kan administrere systemer eksternt uten et fungerende Windows-operativsystem.
I mai 2017 kunngjorde Intel en ekstern utnyttelse iAMT som tillater angripere å få tilgang til AMT på en datamaskin uten å oppgi det nødvendige passordet. Dette vil imidlertid bare påvirke folk som gikk ut av deres måte å aktivere Intel AMT - som igjen ikke er de fleste hjemmebrukere. Bare organisasjoner som brukte AMT trengte å bekymre seg for dette problemet og oppdatere datamaskinens fastvare.
Denne funksjonen er bare for PCer. Mens moderne Mac-maskiner med Intel-prosessorer også har Intel ME, inkluderer de ikke Intel AMT.
Kan du deaktivere det?
Du kan ikke deaktivere Intel ME. Selv om du deaktiverer Intel AMT-funksjoner i systemets BIOS, er Intel ME-prosessor og programvare fortsatt aktiv og kjører. På dette tidspunktet er den inkludert på alle systemer med Intel-prosessorer, og Intel gir ingen måte å deaktivere den.
Mens Intel ikke gir noen måte å deaktivere Intel påME, andre mennesker har eksperimentert med å deaktivere det. Det er ikke så enkelt som å slå en bryter. Initiativrike hackere har klart å deaktivere Intel ME med ganske mye innsats, og Purism tilbyr nå bærbare datamaskiner (basert på eldre Intel-maskinvare) med Intel Management Engine deaktivert som standard. Intel er sannsynligvis ikke fornøyd med denne innsatsen, og vil gjøre det enda vanskeligere å deaktivere Intel ME i fremtiden.
Men for den gjennomsnittlige brukeren er deaktivering av Intel ME i utgangspunktet umulig - og det er etter design.
Hvorfor hemmeligholdet?
Intel vil ikke at konkurrentene skal vitenøyaktig arbeid med Management Engine-programvaren. Intel ser også ut til å omfavne "sikkerhet ved uklarhet" her, og prøver å gjøre det vanskeligere for angripere å lære om og finne hull i Intel ME-programvaren. Som de siste sikkerhetshullene har vist, er sikkerhet ved uklarhet imidlertid ingen garantert løsning.
Dette er ikke noen form for spionasje eller overvåkingprogramvare - med mindre en organisasjon har aktivert AMT og bruker den til å overvåke sine egne PC-er. Hvis Intels Management Engine kontaktet nettverket i andre situasjoner, ville vi sannsynligvis ha hørt om det takket være verktøy som Wireshark, som lar folk overvåke trafikken i et nettverk.
Imidlertid tilstedeværelsen av programvare som Intel MEsom ikke kan deaktiveres, og som er lukket kilde, er absolutt et sikkerhetsproblem. Det er en annen vei for angrep, og vi har allerede sett sikkerhetshull i Intel ME.
Er datamaskinens Intel ME sårbar?
20. november 2017 kunngjorde Intel alvorsikkerhetshull i Intel ME som ble oppdaget av tredjeparts sikkerhetsforskere. Disse inkluderer både feil som vil tillate en angriper med lokal tilgang å kjøre kode med full systemtilgang, og eksterne angrep som vil tillate angripere med ekstern tilgang å kjøre kode med full systemtilgang. Det er uklart hvor vanskelig de vil være å utnytte.
Intel tilbyr et gjenkjenningsverktøy du kan laste ned og kjøre for å finne ut om datamaskinens Intel ME er sårbar, eller om den er løst.
For å bruke verktøyet, last ned ZIP-filen forWindows, åpne den og dobbeltklikk på mappen "DiscoveryTool.GUI". Dobbeltklikk filen “Intel-SA-00086-GUI.exe” for å kjøre den. Godta UAC-ledeteksten, så får du beskjed om PC-en din er sårbar eller ikke.
I SLEKT: Hva er UEFI, og hvordan skiller det seg fra BIOS?
Hvis PC-en din er sårbar, kan du bare oppdatereIntel ME ved å oppdatere datamaskinens UEFI-firmware. Datamaskinprodusenten må gi deg denne oppdateringen, så sjekk Support-delen på produsentens nettsted for å se om det er tilgjengelige UEFI- eller BIOS-oppdateringer.
Intel tilbyr også en supportside med lenker til informasjon om oppdateringer levert av forskjellige PC-produsenter, og de holder den oppdatert når produsentene frigjør støtteinformasjon.
AMD-systemer har noe lignende som heter AMD TrustZone, som kjører på en dedikert ARM-prosessor.
Bildekreditt: Laura Houser.
