Intel Management Engine, vysvětleno: Malý počítač uvnitř vašeho CPU

Intel Management Engine je součástí čipových sad Intel od roku 2008. Je to v podstatě malý počítač v počítači s plným přístupem k paměti, displeji, síti a vstupním zařízením vašeho počítače. Spouští kód napsaný společností Intel a Intel nesdílel mnoho informací o svém vnitřním fungování.

Tento software, nazývaný také Intel ME, se objevil ve zprávách kvůli bezpečnostním mezerám, které společnost Intel oznámila 20. listopadu 2017. Pokud je zranitelný, měli byste opravit svůj systém. Hluboký přístup a přítomnost tohoto softwaru na každém moderním systému s procesorem Intel znamená, že je pro útočníky šťavnatým cílem.

Co je Intel ME?

Co je vlastně Intel Management Engine? Intel poskytuje některé obecné informace, ale nevyhýbají se vysvětlení většiny konkrétních úkolů, které Intel Management Engine provádí, a přesně tomu, jak to funguje.

Jak říká Intel, Management Engine je „malý počítačový subsystém s nízkou spotřebou energie“. „Provádí různé úkoly, když je systém v režimu spánku, během procesu spouštění a když je váš systém spuštěn“.

Jinými slovy, jedná se o paralelní operační systém běžící na izolovaném čipu, ale s přístupem k hardwaru vašeho počítače. Spouští se, když váš počítač spí, zatímco se spouští a běží váš operační systém. Má plný přístup k hardwaru vašeho systému, včetně systémové paměti, obsahu displeje, vstupu z klávesnice a dokonce i k síti.

Nyní víme, že Intel Management Engine provozuje operační systém MINIX. Kromě toho není známý přesný software, který běží uvnitř Intel Management Engine. Je to malá černá skříňka a pouze Intel přesně ví, co je uvnitř.

Co je technologie Intel Active Management (AMT)?

Kromě různých funkcí na nízké úrovni obsahuje Intel Management Engine technologii Intel Active Management. AMT je řešení vzdálené správy pro servery, stolní počítače, notebooky a tablety s procesory Intel. Je určen pro velké organizace, nikoli pro domácí uživatele. Ve výchozím nastavení není povoleno, takže nejde o „zadní vrátka“, jak jej někteří lidé nazvali.

AMT lze použít ke vzdálenému zapnutí, konfiguraci, ovládání nebo vymazání počítačů pomocí procesorů Intel. Na rozdíl od typických řešení pro správu to funguje, i když v počítači není spuštěn operační systém. Intel AMT běží jako součást Intel Management Engine, takže organizace mohou vzdáleně spravovat systémy bez funkčního operačního systému Windows.

V květnu 2017 společnost Intel oznámila vzdálené zneužití v AMT, které by útočníkům umožnilo přístup k AMT v počítači bez poskytnutí potřebného hesla. To by však ovlivnilo pouze lidi, kteří zkusili povolit Intel AMT - což opět není většina domácích uživatelů. Pouze organizace, které používaly AMT, se musely starat o tento problém a aktualizovat firmware svých počítačů.

Tato funkce je pouze pro PC. Zatímco moderní počítače Mac s procesory Intel mají také Intel ME, neobsahují Intel AMT.

Můžete to deaktivovat?

Intel ME nelze deaktivovat. I když deaktivujete funkce Intel AMT v systému BIOS vašeho systému, koprocesor a software Intel ME jsou stále aktivní a běží. V tomto okamžiku je součástí všech systémů s procesory Intel a Intel neposkytuje žádný způsob, jak jej deaktivovat.

Zatímco Intel neposkytuje žádný způsob, jak deaktivovat Intel ME, ostatní lidé experimentovali s jeho deaktivací. Není to však tak jednoduché jako stisknutí vypínače. Podnikaví hackeři dokázali Intel ME s jistým úsilím deaktivovat a Purism nyní nabízí notebooky (založené na starším hardwaru Intel) s výchozím nastavením Intel Management Engine. Intel pravděpodobně není nadšený z těchto snah a v budoucnu bude ještě obtížnější deaktivovat Intel ME.

Pro průměrného uživatele je ale deaktivace Intel ME v zásadě nemožná - a to záměrně.

Proč tajemství?

Intel nechce, aby jeho konkurenti znali přesné fungování softwaru Management Engine. Zdá se, že Intel zde také zahrnuje „zabezpečení temnotou“ a pokouší se útočníkům ztížit poznávání a hledání mezer v softwaru Intel ME. Jak však ukázaly nedávné bezpečnostní díry, zabezpečení pomocí neznáma není zaručeným řešením.

Nejedná se o žádný druh špionážního nebo monitorovacího softwaru - pokud organizace neaktivovala AMT a nepoužívá ji ke sledování svých vlastních počítačů. Pokud by Intel Management Engine kontaktoval síť v jiných situacích, pravděpodobně bychom o tom slyšeli díky nástrojům, jako je Wireshark, které lidem umožňují sledovat provoz v síti.

Přítomnost softwaru, jako je Intel ME, který nelze deaktivovat a je uzavřeným zdrojem, je však jistě otázkou zabezpečení. Je to další cesta k útoku a v Intel ME jsme již viděli bezpečnostní mezery.

Je Intel ME vašeho počítače zranitelný?

Dne 20. listopadu 2017 společnost Intel oznámila závažné bezpečnostní mezery v Intel ME, které objevily bezpečnostní vědci třetích stran. Patří mezi ně chyby, které by útočníkovi s místním přístupem umožnily spustit kód s plným přístupem k systému, a vzdálené útoky, které by umožnily útočníkům se vzdáleným přístupem spustit kód s plným přístupem k systému. Není jasné, jak těžké by bylo zneužít.

Intel nabízí detekční nástroj, který si můžete stáhnout a spustit, abyste zjistili, zda je Intel ME vašeho počítače zranitelný nebo zda byl opraven.

Chcete-li nástroj použít, stáhněte si soubor ZIP pro Windows, otevřete jej a poklepejte na složku „DiscoveryTool.GUI“. Poklepáním na soubor „Intel-SA-00086-GUI.exe“ jej spusťte. Souhlasíte s výzvou UAC a budete informováni, zda je váš počítač zranitelný nebo ne.

SOUVISEJÍCÍ: Co je UEFI a jak se liší od BIOSu?

Pokud je váš počítač zranitelný, můžete Intel ME aktualizovat pouze aktualizací firmwaru UEFI vašeho počítače. Tuto aktualizaci vám musí poskytnout výrobce vašeho počítače, proto zkontrolujte část Podpora na webu výrobce, zda jsou k dispozici nějaké aktualizace UEFI nebo BIOS.

Společnost Intel také poskytuje stránku podpory s odkazy na informace o aktualizacích poskytovaných různými výrobci počítačů a průběžně ji aktualizuje, když výrobci vydávají informace o podpoře.

Systémy AMD mají něco podobného s názvem AMD TrustZone, který běží na vyhrazeném procesoru ARM.

Uznání: Laura Houser.