אינטל ניהול מנוע, הסביר את המחשב זעיר בתוך המעבד שלך
Intel Management Engine נכלל במערכות שבבים של אינטל מאז 2008. זהו למעשה מחשב זעיר בתוך מחשב, עם גישה מלאה לזיכרון המחשב, לתצוגה, לרשת ולהתקני קלט. היא מפעילה קוד שנכתב על ידי אינטל, ואינטל לא חלקה הרבה מידע על פעולתה הפנימית.
תוכנה זו, המכונה גם Intel ME, צצה בחדשות בגלל חורי אבטחה שהודיעה אינטל ב -20 בנובמבר 2017. אתה צריך לתקן את המערכת שלך אם זה פגיע. זו מערכת גישה עמוקה של מערכת נוכחות על כל מערכת מודרנית עם מעבד אינטל אומר שזה יעד עסיסי עבור התוקפים.
מה זה Intel ME?
אז מה הוא Intel Management Engine, בכל זאת? אינטל מספקת מידע כללי, אך הם נמנעים מלהסביר את רוב המשימות הספציפיות ש- Intel Management Engine מבצע ובדיוק כיצד הוא פועל.
כפי שמנסחת זאת אינטל, "מנוע הניהול" הוא "תת-מחשב קטן בעל הספק נמוך". זה "מבצע משימות שונות בזמן שהמערכת נמצאת במצב שינה, במהלך תהליך האתחול, וכאשר המערכת פועלת".
במילים אחרות, זוהי מערכת הפעלה מקבילה פועלת על שבב מבודד, אבל עם גישה לחומרה של המחשב. הוא פועל כאשר המחשב ישן, בזמן שהוא מאתחל, ובעוד מערכת ההפעלה שלך פועל. יש לו גישה מלאה לחומרת המערכת, כולל זיכרון המערכת, תוכן התצוגה, קלט המקלדת ואפילו הרשת.
כעת אנו יודעים כי Intel Management Engine מפעילה מערכת הפעלה MINIX. מעבר לכך, התוכנה המדויקת שפועלת בתוך Intel Management Engine אינה ידועה. זו קופסה שחורה קטנה, ורק אינטל יודעת בדיוק מה יש בפנים.
מהי טכנולוגיית Intel Active Management Technology (AMT)?
מלבד פונקציות שונות ברמה נמוכה, Intel Management Engine כולל את Intel Active Management Technology. AMT הוא פתרון לניהול מרחוק עבור שרתים, מחשבים שולחניים, מחשבים נישאים וטאבלטים עם מעבדי Intel. הוא מיועד לארגונים גדולים, לא למשתמשים ביתיים. זה לא מופעל כברירת מחדל, אז זה לא באמת "אחורית", כמו כמה אנשים כינו אותו.
AMT יכול לשמש מרחוק כוח, להגדיר, לשלוט או למחוק מחשבים עם מעבדי אינטל. שלא כמו פתרונות ניהול טיפוסיים, זה עובד גם אם המחשב אינו מפעיל מערכת הפעלה. Intel AMT פועל כחלק מ- Intel Management Engine, כך שארגונים יכולים לנהל מרחוק מערכות ללא מערכת הפעלה Windows פעילה.
במאי 2017 הודיעה אינטל על ניצול מרחוק ב- AMT שיאפשר לתוקפים לגשת ל- AMT במחשב מבלי לספק את הסיסמה הדרושה. עם זאת, הדבר ישפיע רק על אנשים שיצאו מדרכם כדי לאפשר ל- Intel AMT - אשר, שוב, אינו משתמש ביתי ביותר. רק ארגונים שהשתמשו ב- AMT היו צריכים לדאוג לבעיה זו ולעדכן את הקושחה של המחשבים שלהם.
תכונה זו היא רק עבור מחשבים אישיים. בעוד שבמחשבים מודרניים עם מעבדי Intel יש גם את Intel ME, הם אינם כוללים את Intel AMT.
אתה יכול לבטל את זה?
לא ניתן להשבית את Intel ME. גם אם תשבית תכונות Intel AMT ב- BIOS של המערכת, מעבד המעבד והתוכנה של Intel ME עדיין פעילים ופועלים. בשלב זה, זה כלול על כל המערכות עם אינטל CPUs ואינטל מספקת שום דרך לבטל את זה.
בעוד ש- Intel אינה מספקת דרך להשבית את Intel ME, אנשים אחרים ניסו להשבית אותו. זה לא פשוט כמו קפיצי מתג. האקרים מפתיעים הצליחו להשבית את ה- Intel ME עם קצת מאמץ, והטהור מציע כעת מחשבים ניידים (המבוססים על חומרה ישנה יותר של אינטל) כאשר Intel Management Engine מושבת כברירת מחדל. אינטל כנראה אינה מרוצה ממאמצים אלה, ותקשה עוד יותר על השבתת Intel ME בעתיד.
אבל, עבור המשתמש הממוצע, השבתת Intel ME היא בלתי אפשרית ביסודה - וזה לפי עיצוב.
למה הסודיות??
אינטל לא רוצה שהמתחרים שלה יידעו בדיוק את אופן פעולתה של תוכנת Management Engine. נראה שגם אינטל מחבקת "אבטחה על ידי חשש" כאן, ומנסה להקשות על התוקפים ללמוד ולמצוא חורים בתוכנת Intel ME. עם זאת, כפי שחורי האבטחה האחרונים הראו, הביטחון על ידי חשאיות אינו פתרון מובטח.
זה לא כל סוג של תוכנות ריגול או ניטור, אלא אם כן הארגון איפשר AMT והוא משתמש בו כדי לפקח על המחשבים האישיים שלהם. אם Intel's Management Engine יצר קשר עם הרשת במצבים אחרים, סביר להניח ששמענו עליה הודות לכלים כמו Wireshark, המאפשרים לאנשים לעקוב אחר התנועה ברשת.
עם זאת, הנוכחות של תוכנות כמו Intel ME שלא ניתן להשבית ונסגר המקור הוא בהחלט דאגה אבטחה. זוהי דרך נוספת להתקפה, וכבר ראינו חורי אבטחה ב- Intel ME.
האם המחשב שלך Intel ME פגיע?
ב -20 בנובמבר, 2017, הודיעה אינטל על חורי אבטחה חמורים ב- Intel ME שהתגלו על ידי חוקרי אבטחה של צד שלישי. אלה כוללים הן את הפגמים שיאפשרו לתוקף עם גישה מקומית להריץ קוד עם גישה מערכתית מלאה, והתקפות מרחוק שיאפשרו לתוקפים עם גישה מרחוק להריץ קוד עם גישה מערכתית מלאה. לא ברור כמה קשה יהיה לנצל.
Intel מציעה כלי איתור שבאפשרותך להוריד ולהפעיל כדי לברר אם ה- Intel ME של המחשב שלך פגיע, או אם הוא תוקן.
כדי להשתמש בכלי, הורד את קובץ ה- ZIP עבור Windows, פתח אותו ולחץ פעמיים על התיקייה DiscoveryTool.GUI. לחץ פעמיים על "Intel-SA-00086-GUI.exe" כדי להפעיל אותו. להסכים להנחיית UAC ותיאמר לך אם המחשב שלך פגיע או לא.
אם המחשב שלך פגיע, באפשרותך לעדכן את Intel ME רק על-ידי עדכון קושחת ה- UEFI במחשב שלך. יצרן המחשב שלך חייב לספק לך עדכון זה, לכן בדוק את הקטע תמיכה באתר האינטרנט של היצרן כדי לבדוק אם קיימים עדכוני UEFI או BIOS.
אינטל מספקת גם דף תמיכה עם קישורים למידע על עדכונים המסופקים על ידי יצרני מחשבים אישיים שונים, והם שומרים אותו מעודכן כאשר יצרנים מפרסמים מידע תמיכה.
מערכות AMD יש משהו דומה בשם AMD TrustZone, אשר פועל על מעבד ARM ייעודי.
קרדיט תמונה: לורה האוזר.