Domača » kako » Intelov upravljalni motor, pojasnil majhen računalnik znotraj vaše CPU

    Intelov upravljalni motor, pojasnil majhen računalnik znotraj vaše CPU

    Intel Management Engine je bil vključen v Intelove čipove od leta 2008. To je v bistvu majhen računalnik v računalniku, s polnim dostopom do pomnilnika računalnika, prikazovalnika, omrežja in vhodnih naprav. Deluje kodo, ki jo je napisal Intel, in Intel ni delil veliko informacij o svojem notranjem delovanju.

    Ta programska oprema, imenovana tudi Intel ME, se je pojavila v novicah zaradi varnostnih lukenj, ki jih je Intel objavil 20. novembra 2017. Sistem bi morali popraviti, če je ranljiv. Globok sistemski dostop do te programske opreme in prisotnost na vsakem sodobnem sistemu z Intelovim procesorjem pomeni, da je to sočna tarča za napadalce.

    Kaj je Intel ME?

    Kaj je torej Intel Management Engine? Intel ponuja nekatere splošne informacije, vendar se izogiba pojasnjevanju večine specifičnih nalog, ki jih izvaja Intel Management Engine, in natančneje, kako deluje.

    Kot pravi Intel, je Engine Management »majhen, nizkoenergijski računalniški podsistem«. »Opravlja različne naloge, ko je sistem v načinu spanja, med zagonom in ko se sistem izvaja«.

    Z drugimi besedami, to je vzporedni operacijski sistem, ki deluje na izoliranem čipu, vendar ima dostop do strojne opreme vašega računalnika. Zažene se, ko računalnik spi, medtem ko zaganja in ko se izvaja operacijski sistem. Ima popoln dostop do strojne opreme vašega sistema, vključno s sistemskim pomnilnikom, vsebino zaslona, ​​vnosom s tipkovnice in celo omrežjem.

    Zdaj vemo, da upravljavec Intel upravlja operacijski sistem MINIX. Poleg tega je natančna programska oprema, ki se izvaja v Intelovem upravljalnem mehanizmu, neznana. To je majhna črna škatla in samo Intel ve točno, kaj je notri.

    Kaj je tehnologija Intel Active Management (AMT)?

    Poleg različnih funkcij nizke ravni ima Intel Management Engine tehnologijo Intel Active Management. AMT je rešitev za upravljanje na daljavo za strežnike, namizne računalnike, prenosne računalnike in tablične računalnike s procesorji Intel. Namenjen je velikim organizacijam, ne domačim uporabnikom. Privzeto ni omogočen, zato v resnici ni »backdoor«, kot so ga nekateri imenovali.

    AMT lahko uporabite za oddaljeno napajanje, konfiguriranje, nadzor ali brisanje računalnikov s procesorji Intel. Za razliko od tipičnih rešitev za upravljanje to deluje, tudi če računalnik ne izvaja operacijskega sistema. Intel AMT deluje kot del Intelovega mehanizma za upravljanje, zato lahko organizacije na daljavo upravljajo sisteme brez delujočega operacijskega sistema Windows.

    V maju 2017 je Intel objavil oddaljeni izkoristek v AMT, ki bi napadalcem omogočil dostop do AMT na računalniku, ne da bi zagotovil potrebno geslo. Vendar pa bi to vplivalo samo na ljudi, ki so se izognili, da bi omogočili Intel AMT, kar pa ni večina domačih uporabnikov. Samo organizacije, ki so uporabljale AMT, so morale skrbeti za to težavo in posodobiti vdelano programsko opremo svojih računalnikov.

    Ta funkcija je samo za osebne računalnike. Medtem ko imajo sodobni računalniki z procesorji Intel tudi Intel ME, ne vključujejo Intel AMT.

    Lahko jo onemogočite?

    Intel ME ne morete onemogočiti. Tudi če onemogočite funkcije Intel AMT v BIOS-u sistema, je koprocesor Intel ME in programska oprema še vedno aktivna in deluje. Na tej točki je vključen v vse sisteme s procesorji Intel in Intel ne omogoča nobenega načina, da bi ga onemogočil.

    Medtem ko Intel ne omogoča nobenega načina, da bi onemogočil Intel ME, so drugi ljudje eksperimentirali z onemogočanjem. Vendar ni tako preprosto, kot da bi preklopili stikalo. Podjetni hekerji so uspeli onesposobiti Intel ME s precej napora, Purism pa zdaj ponuja prenosne računalnike (na podlagi starejše strojne opreme Intel), pri čemer je Intel Management Engine privzeto onemogočen. Intel verjetno ni zadovoljen s temi prizadevanji in bo še bolj težko onemogočiti Intel ME v prihodnosti.

    Vendar pa je za povprečnega uporabnika onemogočanje Intel ME v bistvu nemogoče - in to je z načrtovanjem.

    Zakaj tajnost?

    Intel ne želi, da bi njegovi konkurenti poznali natančno delovanje programske opreme Management Engine. Zdi se, da Intel pri tem sprejema tudi "varnost zaradi nejasnosti" in poskuša napadalcem otežiti spoznavanje in iskanje lukenj v programski opremi Intel ME. Vendar, kot so pokazale nedavne varnostne luknje, varnost z nejasnostjo ni zagotovljena rešitev.

    To ni nobena programska oprema za vohunjenje ali spremljanje - razen če je organizacija omogočila AMT in jo uporablja za spremljanje svojih osebnih računalnikov. Če je Intelov upravljalni mehanizem vzpostavil stik z omrežjem v drugih situacijah, smo verjetno slišali za to zaradi orodij, kot je Wireshark, ki ljudem omogoča, da spremljajo promet na omrežju..

    Vendar pa je prisotnost programske opreme, kot je Intel ME, ki jih ni mogoče onemogočiti in je zaprt vir, zagotovo zaskrbljujoča varnost. To je še en način za napad, in že smo videli varnostne luknje v Intel ME.

    Ali je ranljivost vašega računalnika Intel ME?

    20. novembra 2017 je Intel napovedal resne varnostne luknje v Intel ME, ki so jih odkrili zunanji varnostni raziskovalci. Te vključujejo tako napake, ki bi napadalcu omogočile lokalni dostop do zagona kode s popolnim dostopom do sistema, kot tudi oddaljene napade, ki bi napadalcem z oddaljenim dostopom omogočili zagon kode s popolnim dostopom do sistema. Ni jasno, kako težko bi jih izkoristili.

    Intel ponuja orodje za odkrivanje, ki ga lahko prenesete in zaženete, da bi ugotovili, ali je računalnik Intel ME ranljiv ali pa je bil popravljen.

    Če želite orodje uporabiti, prenesite datoteko ZIP za Windows, jo odprite in dvokliknite mapo »DiscoveryTool.GUI«. Dvokliknite datoteko “Intel-SA-00086-GUI.exe”, da jo zaženete. Se strinjate z UAC pozivom in vam bo povedano, ali je vaš računalnik ranljiv ali ne.

    Če je vaš računalnik ranljiv, lahko Intel ME posodobite samo s posodobitvijo strojne programske opreme UEFI za računalnik. Proizvajalec računalnika vam mora zagotoviti to posodobitev, zato preverite razdelek Podpora na spletnem mestu vašega proizvajalca, da vidite, ali so na voljo posodobitve UEFI ali BIOS..

    Podjetje Intel ponuja tudi stran za podporo s povezavami do informacij o posodobitvah, ki jih nudijo različni proizvajalci osebnih računalnikov, in jo posodabljajo, ko proizvajalci izdajo informacije o podpori.

    AMD sistemi imajo nekaj podobnega z imenom AMD TrustZone, ki deluje na namenskem ARM procesorju.

    Zasluge za sliko: Laura Houser.

    Intently Zamenja tradicionalne oglase s čudovito grafiko
    Vodnik za oblikovanje interakcij za ustvarjanje oseb
    Vključitev enostavnih postavitev CSS Grid v WordPress
    Naslednji članek
    Intelova nova serija procesorjev navdušencev X, pojasnjeno
    Prejšnji članek
    Intel AppUp Center je App Store za Netbooks