• Technika
  • Elektrické zařízení
  • Materiálový průmysl
  • Digitální život
  • Zásady ochrany osobních údajů
  • Ó jméno
Umístění: Domov / Technika / Intel Management Engine, vysvětleno: Malý počítač uvnitř vašeho CPU

Intel Management Engine, vysvětleno: Malý počítač uvnitř vašeho CPU

techserving |
2016

Intel Management Engine je součástí čipových sad Intel od roku 2008. Je to v podstatě malý počítač v počítači s plným přístupem k paměti, displeji, síti a vstupním zařízením vašeho počítače. Spouští kód napsaný Intelem a Intel nesdílel mnoho informací o jeho vnitřním fungování.

Tento software, nazývaný také Intel ME, se objevil ve zprávách kvůli bezpečnostním dírám, které Intel oznámil 20. listopadu 2017. Pokud je systém zranitelný, měli byste jej opravit. Díky hlubokému systémovému přístupu a přítomnosti tohoto softwaru na každém moderním systému s procesorem Intel je to šťavnatý cíl pro útočníky.

Co je Intel ME?

Co je tedy Intel Management Engine? Intel poskytuje některé obecné informace, ale vyhýbají se vysvětlování většiny konkrétních úkolů, které Intel Management Engine provádí, a toho, jak přesně funguje.

Jak říká Intel, Management Engine je „malý počítačový subsystém s nízkou spotřebou“. „Provádí různé úkoly, když je systém ve spánku, během procesu bootování a když váš systém běží“.

Jinými slovy, jedná se o paralelní operační systém běžící na izolovaném čipu, ale s přístupem k hardwaru vašeho počítače. Spouští se, když váš počítač spí, když se spouští a když je spuštěn váš operační systém. Má plný přístup k vašemu systémovému hardwaru, včetně systémové paměti, obsahu vašeho displeje, vstupu z klávesnice a dokonce i sítě.

Advertisement

Nyní víme, že Intel Management Engine běží na operačním systému MINIX. Kromě toho přesný software, který běží uvnitř Intel Management Engine, není znám. Je to malá černá skříňka a pouze Intel ví, co přesně je uvnitř.

Co je technologie Intel Active Management Technology (AMT)?

Kromě různých nízkoúrovňových funkcí obsahuje Intel Management Engine technologii Intel Active Management. AMT je řešení vzdálené správy pro servery, stolní počítače, notebooky a tablety s procesory Intel. Je určen pro velké organizace, nikoli pro domácí uživatele. Ve výchozím nastavení to není povoleno, takže to ve skutečnosti není „zadní vrátka“, jak to někteří lidé nazývali.

AMT lze použít ke vzdálenému zapnutí, konfiguraci, ovládání nebo vymazání počítačů s procesory Intel. Na rozdíl od typických řešení pro správu to funguje, i když v počítači není spuštěn operační systém. Intel AMT běží jako součást Intel Management Engine, takže organizace mohou vzdáleně spravovat systémy bez funkčního operačního systému Windows.

Intel Management Engine, Explained: The Tiny Computer Inside Your CPU

V květnu 2017 Intel oznámil vzdálený exploit v AMT, který by útočníkům umožnil přístup k AMT na počítači bez poskytnutí potřebného hesla. To by se však dotklo pouze lidí, kteří udělali vše pro to, aby povolili Intel AMT – což opět není většina domácích uživatelů. Pouze organizace, které používaly AMT, se musely tímto problémem zabývat a aktualizovat firmware svých počítačů.

Tato funkce je určena pouze pro počítače. Zatímco moderní počítače Mac s procesory Intel mají také Intel ME, neobsahují Intel AMT.

Můžete to zakázat?

Intel ME nelze deaktivovat. I když zakážete funkce Intel AMT v systému BIOS, koprocesor Intel ME a software jsou stále aktivní a běží. V tuto chvíli je součástí všech systémů s procesory Intel a společnost Intel neposkytuje žádný způsob, jak ji deaktivovat.

Advertisement

Zatímco Intel neposkytuje žádný způsob, jak deaktivovat Intel ME, jiní lidé experimentovali s jeho deaktivací. Není to však tak jednoduché jako přepnutí spínače. Podnikavým hackerům se podařilo deaktivovat Intel ME s poměrně velkým úsilím a Purism nyní nabízí notebooky (založené na starším hardwaru Intel) se standardním deaktivovaným Intel Management Engine. Intel pravděpodobně z těchto snah není nadšený a v budoucnu bude deaktivace Intel ME ještě obtížnější.

Pro běžného uživatele je však zakázání Intel ME v podstatě nemožné – a to je záměrné.

Proč Tajemství?

Intel nechce, aby jeho konkurenti znali přesné fungování softwaru Management Engine. Zdá se, že Intel zde také přijímá „zabezpečení temnotou“ a pokouší se útočníkům ztížit poznání a nalezení děr v softwaru Intel ME. Jak však ukázaly nedávné bezpečnostní díry, zabezpečení pomocí neznáma není zaručeným řešením.

Nejedná se o žádný druh špionážního nebo monitorovacího softwaru – pokud organizace nepovolila AMT a nepoužívá jej ke sledování svých vlastních počítačů. Pokud by Intel Management Engine kontaktoval síť v jiných situacích, pravděpodobně bychom o tom slyšeli díky nástrojům, jako je Wireshark, které umožňují lidem sledovat provoz v síti.

Nicméně přítomnost softwaru, jako je Intel ME, který nelze deaktivovat a je uzavřeným zdrojem, je jistě bezpečnostní problém. Je to další cesta k útoku a už jsme viděli bezpečnostní díry v Intel ME.

Je Intel ME vašeho počítače zranitelný?

Dne 20. listopadu 2017 Intel oznámil vážné bezpečnostní díry v Intel ME, které objevili bezpečnostní výzkumníci třetích stran. Patří mezi ně jak chyby, které by útočníkovi s místním přístupem umožnily spouštět kód s plným přístupem k systému, tak vzdálené útoky, které by útočníkům se vzdáleným přístupem umožnily spouštět kód s plným přístupem k systému. Není jasné, jak těžké by bylo jejich zneužití.

Advertisement

Intel nabízí detekční nástroj, který si můžete stáhnout a spustit, abyste zjistili, zda je Intel ME vašeho počítače zranitelný nebo zda byl opraven.

Chcete-li nástroj použít, stáhněte si soubor ZIP pro Windows, otevřete jej a poklepejte na složku „DiscoveryTool.GUI“. Poklepáním na soubor „Intel-SA-00086-GUI.exe“ jej spusťte. Souhlaste s výzvou UAC a budete informováni, zda je váš počítač zranitelný nebo ne.

RELATED: What Is UEFI, and How Is It Different from BIOS?

Pokud je váš počítač zranitelný, můžete Intel ME aktualizovat pouze aktualizací firmwaru UEFI vašeho počítače. Tuto aktualizaci vám musí poskytnout výrobce vašeho počítače, takže se podívejte do sekce Podpora na webu vašeho výrobce, abyste zjistili, zda nejsou k dispozici aktualizace UEFI nebo BIOS.

Intel také poskytuje stránku podpory s odkazy na informace o aktualizacích poskytovaných různými výrobci počítačů a tito ji průběžně aktualizují, jak výrobci uvolňují informace o podpoře.

Systémy AMD mají něco podobného s názvem AMD TrustZone, které běží na vyhrazeném procesoru ARM.

Obrazový kredit: Laura Houser.

READ NEXT