cs.phhsnews.com


cs.phhsnews.com / Intel Management Engine, vysvětleno: Malý počítač uvnitř vašeho procesoru

Intel Management Engine, vysvětleno: Malý počítač uvnitř vašeho procesoru


Intel Management Engine je od roku 2008 součástí chipsetů Intel. Je to v podstatě malý počítač uvnitř počítače plný přístup k paměti, displeji, síti a vstupním zařízením vašeho počítače. Spouští kód napsaný společností Intel a společnost Intel neposkytla dostatek informací o svém vnitřním fungování.

Tento software, nazývaný také Intel ME, se objevil ve zprávách kvůli bezpečnostním otvům Intel oznámil 20. listopadu 2017 Měl byste opravit váš systém, pokud je zranitelný. Tento hluboký systémový přístup a přítomnost tohoto softwaru na každém moderním systému s procesorem Intel znamená, že je to šťavnatý cíl pro útočníky.

Co je Intel ME?

Takže jaký je Intel Management Engine? Společnost Intel poskytuje několik obecných informací, ale vylučuje vysvětlení většiny konkrétních úkolů, které Intel Management Engine provádí a jak přesně funguje.

Řídící jednotka Engine je "malý, nízkopříkonový počítačový subsystém". Během bootovacího procesu a při spuštění systému "provádí různé úkoly během spánku různé úkoly.

Jinými slovy je to paralelní operační systém spuštěný na izolovaném čipu, ale s přístupem k počítači Hardware. Spustí se, když váš počítač spí, zatímco je zaváděn a během běhu operačního systému. Má úplný přístup k hardwaru vašeho systému, včetně systémové paměti, obsahu displeje, vstupu na klávesnici a dokonce i sítě.

Nyní víme, že Intel Management Engine provozuje operační systém MINIX. Kromě toho není přesný software, který běží uvnitř Intel Management Engine, neznámý. Je to malá černá skříň a pouze Intel přesně ví, co je uvnitř.

Co je technologie Intel Active Management Technology (AMT)?

Intel Management Engine kromě různých funkcí na nízké úrovni obsahuje technologii Intel Active Management Technology. AMT je vzdálené řešení pro správu serverů, stolních počítačů, notebooků a tabletů s procesory Intel. Je určen pro velké organizace, nikoli pro domácí uživatele. Ve výchozím nastavení není povoleno, takže není skutečně "backdoor", jak ji někteří říkali.

AMT lze použít k vzdálenému zapínání, konfiguraci, řízení nebo vymazání počítačů s procesory Intel. Na rozdíl od typických řešení pro správu funguje to i v případě, že počítač nepracuje s operačním systémem. Intel AMT běží jako součást systému Intel Management Engine, takže organizace mohou vzdáleně řídit systémy bez operačního systému Windows.

V květnu 2017 společnost Intel oznámila vzdálené využití v AMT, které by umožnilo útočníkům přístup k AMT v počítači bez poskytnutí potřebné heslo. To by ovšem ovlivnilo pouze lidi, kteří se vydali z cesty, aby povolili Intel AMT - což opět není většinou domácími uživateli. Pouze organizace, které používají systém AMT, se musí o tento problém obávat a aktualizovat firmware svých počítačů.

Tato funkce je určena pouze pro počítače. Zatímco moderní počítače s procesory Intel mají také Intel ME, nezahrnují Intel AMT.

Můžeš to vypnout?

Intel ME nelze vypnout. I když zakážete funkce Intel AMT v systému BIOS systému, koprocesor a software Intel ME jsou stále aktivní a běží. V tomto okamžiku je součástí všech systémů s procesory Intel a společnost Intel ji nemůže zakazovat.

Zatímco Intel neposkytuje žádný způsob, jak zakázat Intel ME, jiní lidé experimentovali s jeho vypnutím. Není to tak jednoduché, jako když stisknete spínač. Podnikaví hackeři se podařilo vypnout Intel ME s určitým úsilím a Purism nyní nabízí notebooky (založené na starším hardware Intel) s Intel Management Engine vypnutým ve výchozím nastavení. Intel pravděpodobně není spokojen s těmito snahami a bude to ještě obtížnější vypnout Intel ME v budoucnu.

Ale pro průměrného uživatele je zakázání Intel ME v podstatě nemožné - a to je design.

Proč tajemství?

Společnost Intel nechce, aby její konkurenti věděli přesné fungování softwaru Management Engine. Zdá se, že Intel zde pokrývá "jistotu z tmy" a snaží se pro útočníky složitější se dozvědět a nalézt díry v softwaru Intel ME. Nicméně, jak ukázaly nedávné bezpečnostní otvory, není jisté, že zabezpečení je obsaženo.

Není to žádný špionážní nebo monitorovací software - pokud organizace nepovolila AMT a nepoužívá ji k monitorování vlastních počítačů. Pokud by management společnosti Intel kontaktoval síť v jiných situacích, pravděpodobně bychom o tom slyšeli díky nástrojům jako Wireshark, které umožňují lidem monitorovat provoz v síti.

Nicméně přítomnost softwaru, jako je Intel ME, neměla by být zakázána a uzavřený zdroj je jistě bezpečnostní záležitostí. Je to další cesta pro útok, a my jsme již viděli bezpečnostní otvory v Intel ME.

Je počítač Intel ME vnímavý?

Dne ​​20. listopadu 2017 Intel oznámila závažné bezpečnostní otvory v Intel ME, bezpečnostní pracovníci třetích stran. Patří sem i chyby, které by umožnily útočníkovi s lokálním přístupem ke kódu běhu s úplným systémovým přístupem, a vzdálené útoky, které by útočníkům umožnily vzdálený přístup ke spouštění kódu s úplným systémovým přístupem. Je to nejasné, jak těžké by to bylo zneužít.

Společnost Intel nabízí detekční nástroj, který můžete stáhnout a spustit, aby zjistil, zda je počítač Intel ME zranitelný nebo zda byl opraven.

Chcete-li nástroj použít, stáhněte si soubor ZIP pro systém Windows, otevřete jej a poklepejte na složku "DiscoveryTool.GUI". Poklepejte na soubor "Intel-SA-00086-GUI.exe" a spusťte jej. Souhlasíte s příkazem UAC a budete informováni, zda je váš počítač zranitelný nebo ne.

SOUVISEJÍCÍ: Co je UEFI a jak se liší od BIOSu?

Je-li počítač zranitelný, můžete Aktualizujte Intel ME pouze aktualizací firmwaru UEFI počítače. Výrobce vašeho počítače vám musí poskytnout tuto aktualizaci, proto se podívejte na sekci Podpora na webu výrobce, abyste zjistili, zda jsou k dispozici aktualizace pro UEFI nebo BIOS.

Společnost Intel také poskytuje stránku podpory s odkazy na informace o aktualizacích poskytovaných různými Výrobci počítačů a udržují je aktualizovaný, protože výrobci zveřejňují informace o podpoře

Systémy AMD mají něco podobného AMD TrustZone, který běží na vyhrazeném procesoru ARM

Image Credit: Laura Houser


Odstranění odstavců ve službě Dokumenty Google

Odstranění odstavců ve službě Dokumenty Google

Odsazení odstavců v Dokumentu Google vyžaduje přístup k pravítku, který najdete pouze v plné verzi webu. Pravítko se v mobilních aplikacích nevyskytuje. Dokumenty Google z jakéhokoli důvodu nevytvářejí pravítko v mobilních aplikacích. Dokumenty Google vám také nedovolí vytvářet odsazení formátováním stylů.

(how-top)

Rutiny asistenta Google brzy automatizují vícenásobné příkazy

Rutiny asistenta Google brzy automatizují vícenásobné příkazy

Jak hezké by bylo projít předními dveřmi a říct "Hej Google, jsem doma", aby se světla rozsvítila, nastavte termostat a televizor se zapne a vypálí systém Netflix? S nadcházející funkcí "rutiny" pro Asistent Google to bude realita. SOUVISEJÍCÍ: Jak nastavit Alexa rutiny pro ovládání více zařízení Smarthome Myšlenka na digitální asistent, který může vzít jednoduchý příkaz a provést několik kroků od něj není nic nového - Alexa Amazon už to dokáže.

(how-top)