Intel Management Engine, forklaret: Den lille computer inde i din CPU

Intel Management Engine har været inkluderet på Intel-chipsæt siden 2008. Det er dybest set en lille computer-in-a-computer med fuld adgang til din pc's hukommelse, skærm, netværk og inputenheder. Det kører kode skrevet af Intel, og Intel har ikke delt meget information om dets indre funktion.

Denne software, også kaldet Intel ME, er dukket op i nyhederne på grund af sikkerhedshuller, som Intel annoncerede den 20. november 2017. Du skal patch dit system, hvis det er sårbart. Denne softwares dybe systemadgang og tilstedeværelse på ethvert moderne system med en Intel-processor betyder, at det er et saftigt mål for angribere.

Hvad er Intel ME?

Så hvad er Intel Management Engine, alligevel? Intel giver nogle generelle oplysninger, men de undgår at forklare de fleste af de specifikke opgaver, Intel Management Engine udfører, og præcist hvordan det fungerer.

Som Intel udtrykker det, er Management Engine "et lille computerundersystem med lav effekt". Det “udfører forskellige opgaver, mens systemet er i dvale, under opstartsprocessen, og når dit system kører”.

Med andre ord er dette et parallelt operativsystem, der kører på en isoleret chip, men med adgang til din pc's hardware. Den kører, når din computer sover, mens den starter, og mens dit operativsystem kører. Det har fuld adgang til din systemhardware, inklusive din systemhukommelse, indholdet af din skærm, tastaturindgang og endda netværket.

Vi ved nu, at Intel Management Engine kører et MINIX-operativsystem. Ud over det er den nøjagtige software, der kører inde i Intel Management Engine, ukendt. Det er en lille sort kasse, og kun Intel ved præcis, hvad der er indeni.

Hvad er Intel Active Management Technology (AMT)?

Bortset fra forskellige funktioner på lavt niveau inkluderer Intel Management Engine Intel Active Management Technology. AMT er en fjernstyringsløsning til servere, desktops, laptops og tablets med Intel-processorer. Det er beregnet til store organisationer, ikke hjemmebrugere. Det er ikke aktiveret som standard, så det er ikke rigtig en "bagdør", som nogle mennesker har kaldt det.

AMT kan bruges til at tænde, konfigurere, kontrollere eller slette computere med Intel-processorer eksternt. I modsætning til typiske styringsløsninger fungerer dette, selvom computeren ikke kører et operativsystem. Intel AMT kører som en del af Intel Management Engine, så organisationer kan administrere systemer eksternt uden et fungerende Windows-operativsystem.

I maj 2017 annoncerede Intel en fjernudnyttelse i AMT, der ville give angribere adgang til AMT på en computer uden at give den nødvendige adgangskode. Dette vil dog kun påvirke folk, der gik ud af deres måde at aktivere Intel AMT - som igen ikke er de fleste hjemmebrugere. Kun organisationer, der brugte AMT, skulle bekymre sig om dette problem og opdatere deres computers firmware.

Denne funktion er kun til pc'er. Mens moderne Mac-computere med Intel-CPU'er også har Intel ME, inkluderer de ikke Intel AMT.

Kan du deaktivere det?

Du kan ikke deaktivere Intel ME. Selvom du deaktiverer Intel AMT-funktioner i dit systems BIOS, er Intel ME-coprocessoren og softwaren stadig aktiv og kører. På dette tidspunkt er det inkluderet i alle systemer med Intel-CPU'er, og Intel giver ingen mulighed for at deaktivere det.

Mens Intel ikke giver mulighed for at deaktivere Intel ME, har andre mennesker eksperimenteret med at deaktivere den. Det er dog ikke så simpelt som at dreje på en kontakt. Underholdende hackere har formået at deaktivere Intel ME med en hel del indsats, og Purism tilbyder nu bærbare computere (baseret på ældre Intel-hardware) med Intel Management Engine deaktiveret som standard. Intel er sandsynligvis ikke tilfreds med denne indsats og vil gøre det endnu sværere at deaktivere Intel ME i fremtiden.

Men for den gennemsnitlige bruger er det grundlæggende umuligt at deaktivere Intel ME - og det er designet.

Hvorfor hemmeligholdelsen?

Intel vil ikke have sine konkurrenter til at kende den nøjagtige funktion af Management Engine-softwaren. Intel ser også ud til at omfavne "sikkerhed ved uklarhed" her og forsøger at gøre det vanskeligere for angribere at lære om og finde huller i Intel ME-softwaren. Som de seneste sikkerhedshuller har vist, er sikkerhed ved uklarhed imidlertid ingen garanteret løsning.

Dette er ikke nogen form for spionerings- eller overvågningssoftware - medmindre en organisation har aktiveret AMT og bruger den til at overvåge deres egne pc'er. Hvis Intels Management Engine kontaktede netværket i andre situationer, ville vi sandsynligvis have hørt om det takket være værktøjer som Wireshark, som giver folk mulighed for at overvåge trafik på et netværk.

Tilstedeværelsen af ​​software som Intel ME, der ikke kan deaktiveres og er lukket kilde, er dog bestemt et sikkerhedsanliggende. Det er en anden mulighed for angreb, og vi har allerede set sikkerhedshuller i Intel ME.

Er din computers Intel ME sårbar?

Den 20. november 2017 annoncerede Intel alvorlige sikkerhedshuller i Intel ME, der var blevet opdaget af tredjeparts sikkerhedsforskere. Disse inkluderer både mangler, der giver en hacker med lokal adgang til at køre kode med fuld systemadgang, og fjernangreb, der gør det muligt for angribere med fjernadgang at køre kode med fuld systemadgang. Det er uklart, hvor svært de ville være at udnytte.

Intel tilbyder et detekteringsværktøj, du kan downloade og køre for at finde ud af, om din computers Intel ME er sårbar, eller om den er rettet.

For at bruge værktøjet skal du downloade ZIP-filen til Windows, åbne den og dobbeltklikke på mappen "DiscoveryTool.GUI". Dobbeltklik på filen “Intel-SA-00086-GUI.exe” for at køre den. Enig med UAC-prompten, og du får at vide, om din pc er sårbar eller ej.

RELATERET: Hvad er UEFI, og hvordan adskiller det sig fra BIOS?

Hvis din pc er sårbar, kan du kun opdatere Intel ME ved at opdatere din computers UEFI-firmware. Din computers producent skal give dig denne opdatering, så tjek afsnittet Support på producentens websted for at se, om der er UEFI- eller BIOS-opdateringer tilgængelige.

Intel leverer også en supportside med links til oplysninger om opdateringer fra forskellige pc-producenter, og de holder den opdateret, når producenter frigiver supportoplysninger.

AMD-systemer har noget lignende ved navn AMD TrustZone, der kører på en dedikeret ARM-processor.

Billedkredit: Laura Houser.