Intel Management Engine, forklart den lille datamaskinen inne i CPU
Intel Management Engine har blitt inkludert på Intel-brikkesett siden 2008. Det er i utgangspunktet en liten datamaskin-i-en-datamaskin, med full tilgang til PCens minne, skjerm, nettverk og inngangsenheter. Den kjører kode skrevet av Intel, og Intel har ikke delt mye informasjon om sin indre arbeid.
Denne programvaren, også kalt Intel ME, har dukket opp i nyheten på grunn av sikkerhetshull Intel annonserte 20. november 2017. Du bør patchere systemet hvis det er sårbart. Denne programvarens dype systemtilgang og tilstedeværelse på alle moderne systemer med en Intel-prosessor betyr at det er et saftig mål for angriperne.
Hva er Intel ME?
Så hva er Intel Management Engine, uansett? Intel gir litt generell informasjon, men de unngår å forklare de fleste spesifikke oppgaver som Intel Management Engine utfører og nøyaktig hvordan det fungerer.
Som Intel setter det, er Management Engine "et lite, lavt strømdelsdelsystem". Det "utfører ulike oppgaver mens systemet er i dvale, under oppstartsprosessen, og når systemet kjører".
Med andre ord, dette er et parallelt operativsystem som kjører på en isolert chip, men med tilgang til PCens maskinvare. Den kjører når datamaskinen sover, mens den starter opp, og mens operativsystemet kjører. Den har full tilgang til maskinvare, inkludert systemminne, innholdet på skjermen, tastaturinngang og til og med nettverket.
Vi vet nå at Intel Management Engine kjører et MINIX-operativsystem. Utover det er den eksakte programvaren som kjører inne i Intel Management Engine, ukjent. Det er en liten svart boks, og bare Intel vet nøyaktig hva som er inne.
Hva er Intel Active Management Technology (AMT)?
Bortsett fra ulike lavnivåfunksjoner, inkluderer Intel Management Engine Intel Active Management Technology. AMT er en ekstern styringsløsning for servere, stasjonære datamaskiner, bærbare datamaskiner og tabletter med Intel-prosessorer. Det er ment for store organisasjoner, ikke hjemmebrukere. Det er ikke aktivert som standard, så det er egentlig ikke en "bakdør", som noen har ringt til det.
AMT kan brukes til å eksternt slå på, konfigurere, kontrollere eller tørke datamaskiner med Intel-prosessorer. I motsetning til typiske styringsløsninger virker dette selv om datamaskinen ikke kjører et operativsystem. Intel AMT kjører som en del av Intel Management Engine, slik at organisasjoner kan styre systemer eksternt uten et fungerende Windows-operativsystem.
I mai 2017 annonserte Intel en ekstern utnyttelse i AMT som ville tillate angripere å få tilgang til AMT på en datamaskin uten å gi det nødvendige passordet. Dette ville imidlertid bare påvirke folk som gikk ut av deres måte å aktivere Intel AMT-som igjen ikke er de fleste hjemmebrukere. Bare organisasjoner som brukte AMT måtte bekymre seg for dette problemet og oppdatere datamaskinens firmware.
Denne funksjonen er bare for PCer. Mens moderne Mac-maskiner med Intel-CPUer også har Intel ME, inkluderer de ikke Intel AMT.
Kan du deaktivere den?
Du kan ikke deaktivere Intel ME. Selv om du deaktiverer Intel AMT-funksjoner i systemets BIOS, er Intel ME-prosessor og programvare fortsatt aktiv og kjører. På dette punktet er det inkludert på alle systemer med Intel-prosessorer, og Intel gir ingen mulighet til å deaktivere den.
Mens Intel ikke gir noen mulighet til å deaktivere Intel ME, har andre eksperimentert med å deaktivere den. Det er ikke så enkelt som å slå en bryter, skjønt. Underholdende hackere har klart å deaktivere Intel ME med litt innsats, og Purism tilbyr nå bærbare datamaskiner (basert på eldre Intel-maskinvare) med Intel Management Engine deaktivert som standard. Intel er sannsynligvis ikke glad for denne innsatsen, og vil gjøre det enda vanskeligere å deaktivere Intel ME i fremtiden.
Men for den gjennomsnittlige brukeren er deaktivert Intel ME i utgangspunktet umulig - og det er ved design.
Hvorfor hemmeligheten?
Intel vil ikke at konkurrentene skal kjenne de nøyaktige arbeidene til Management Engine-programvaren. Intel synes også å omfavne "sikkerhet ved dunkelhet" her, og forsøker å gjøre det vanskeligere for angriperne å lære om og finne hull i Intel ME-programvaren. Men som de siste sikkerhetshullene har vist, er sikkerhet ved uklarhet ingen garantert løsning.
Dette er ikke noen form for spionprogrammer eller overvåkingsprogramvare, med mindre en organisasjon har aktivert AMT og bruker den til å overvåke sine egne PCer. Hvis Intels Management Engine kontaktet nettverket i andre situasjoner, ville vi trolig ha hørt om det takket være verktøy som Wireshark, som tillater folk å overvåke trafikk på et nettverk.
Tilstedeværelsen av programvare som Intel ME, som ikke kan deaktiveres og er lukket kilde, er imidlertid et sikkerhetsproblem. Det er en annen avenue for angrep, og vi har allerede sett sikkerhetshull i Intel ME.
Er datamaskinen din Intel ME Sårbar?
Den 20. november 2017 annonserte Intel alvorlige sikkerhetshull i Intel ME som ble oppdaget av tredjeparts sikkerhetsforskere. Disse inkluderer både feil som vil tillate en angriper å ha lokal tilgang til å kjøre kode med full systemtilgang og eksterne angrep som vil tillate angripere med ekstern tilgang til å kjøre kode med full systemtilgang. Det er uklart hvor hardt de ville være å utnytte.
Intel tilbyr et gjenkjenningsverktøy som du kan laste ned og kjøre for å finne ut om datamaskinens Intel ME er sårbar, eller om den er løst.
For å bruke verktøyet, last ned ZIP-filen for Windows, åpne den, og dobbeltklikk mappen "DiscoveryTool.GUI". Dobbeltklikk filen "Intel-SA-00086-GUI.exe" for å kjøre den. Enig med UAC-spørringen, og du vil bli fortalt om din PC er sårbar eller ikke.
Hvis PCen din er sårbar, kan du bare oppdatere Intel ME ved å oppdatere datamaskinens UEFI-firmware. Datamaskinens produsent må gi deg denne oppdateringen, så sjekk Support-delen på produsentens nettsted for å se om det er noen UEFI- eller BIOS-oppdateringer tilgjengelig.
Intel gir også en støtteside med lenker til informasjon om oppdateringer fra forskjellige PC-produsenter, og de holder den oppdatert ettersom produsenter gir ut støtteinformasjon.
AMD-systemer har noe lignende AMD TrustZone, som kjører på en dedikert ARM-prosessor.
Bilde Kreditt: Laura Houser.