Intel Management Engine, Ipinaliwanag: Ang Maliliit na Computer sa Loob ng Iyong CPU

Ang Intel Management Engine ay isinama sa mga chipset ng Intel mula pa noong 2008. Karaniwan itong isang maliit na computer-inside-a-computer, na may ganap na pag-access sa memorya ng iyong PC, display, network, at mga input device. Nagpapatakbo ito ng code na isinulat ng Intel, at ang Intel ay hindi nagbahagi ng maraming impormasyon tungkol sa panloob na paggana nito.

Ang software na ito, na tinatawag ding Intel ME, ay sumikat sa balita dahil sa mga butas sa seguridad na inihayag ng Intel noong Nobyembre 20, 2017. Dapat mong i-patch ang iyong system kung mahina ito. Ang malalim na pag-access ng system ng software na ito at pagkakaroon ng bawat modernong system na may isang Intel processor ay nangangahulugang ito ay isang makatas na target para sa mga umaatake.

Ano ang Intel ME?

Kaya ano ang Intel Management Engine, gayon pa man? Nagbibigay ang Intel ng ilang pangkalahatang impormasyon, ngunit iniiwasan nilang ipaliwanag ang karamihan sa mga tukoy na gawain na ginagawa ng Intel Management Engine at tiyak kung paano ito gumagana.

Tulad ng paglalagay nito sa Intel, ang Management Engine ay "isang maliit, mababang-kapangyarihan na computer subssystem". Nagsasagawa ito ng iba't ibang mga gawain habang natutulog ang system, habang nasa proseso ng boot, at kung tumatakbo ang iyong system ".

Sa madaling salita, ito ay isang parallel operating system na tumatakbo sa isang nakahiwalay na maliit na tilad, ngunit may access sa hardware ng iyong PC. Tumatakbo ito kapag ang iyong computer ay natutulog, habang ito ay pag-boot, at habang tumatakbo ang iyong operating system. Ito ay may ganap na pag-access sa iyong system hardware, kasama ang iyong system memory, ang mga nilalaman ng iyong display, pag-input ng keyboard, at maging ang network.

Alam namin ngayon na ang Intel Management Engine ay nagpapatakbo ng isang MINIX operating system. Higit pa rito, ang tumpak na software na tumatakbo sa loob ng Intel Management Engine ay hindi kilala. Ito ay isang maliit na itim na kahon, at ang Intel lamang ang nakakaalam kung ano mismo ang nasa loob.

Ano ang Intel Active Management Technology (AMT)?

Bukod sa iba't ibang mga pag-andar na mababa ang antas, ang Intel Management Engine ay may kasamang Intel Active Management Technology. Ang AMT ay isang malayuang solusyon sa pamamahala para sa mga server, desktop, laptop, at tablet na may mga processor ng Intel. Ito ay inilaan para sa malalaking mga organisasyon, hindi mga gumagamit ng bahay. Hindi ito pinapagana bilang default, kaya hindi talaga ito isang "backdoor", tulad ng tawag sa ilang tao.

Maaaring magamit ang AMT upang malayuan ang lakas sa, i-configure, kontrolin, o punasan ang mga computer sa mga prosesor ng Intel. Hindi tulad ng mga tipikal na solusyon sa pamamahala, gagana ito kahit na ang computer ay hindi nagpapatakbo ng isang operating system. Nagpapatakbo ang Intel AMT bilang bahagi ng Intel Management Engine, kaya't malayuan mapamahalaan ng mga organisasyon ang mga system nang walang gumaganang operating system na Windows.

Noong Mayo 2017, inihayag ng Intel ang isang remote na pagsasamantala sa AMT na magpapahintulot sa mga umaatake na ma-access ang AMT sa isang computer nang hindi nagbibigay ng kinakailangang password. Gayunpaman, makakaapekto lamang ito sa mga tao na nagsumikap upang paganahin ang Intel AMT — na, muli, hindi karamihan sa mga gumagamit sa bahay. Ang mga organisasyong gumagamit lamang ng AMT ang kailangang magalala tungkol sa problemang ito at i-update ang firmware ng kanilang mga computer.

Ang tampok na ito ay para lamang sa mga PC. Habang ang mga modernong Mac na may Intel CPU ay mayroon ding Intel ME, hindi nila isinasama ang Intel AMT.

Maaari Mo Ba itong Huwag paganahin?

Hindi mo maaaring i-disable ang Intel ME. Kahit na hindi paganahin ang mga tampok ng Intel AMT sa BIOS ng iyong system, ang Intel ME coprocessor at software ay aktibo pa rin at tumatakbo. Sa puntong ito, kasama ito sa lahat ng mga system na may mga Intel CPU at hindi nagbibigay ang Intel ng paraan upang hindi ito paganahin.

Habang ang Intel ay nagbibigay ng walang paraan upang hindi paganahin ang Intel ME, ang iba pang mga tao ay nag-eksperimento sa hindi paganahin ito. Gayunpaman, hindi ito kasing simple ng pag-flick ng switch. Ang mga negosyanteng hacker ay pinamamahalaang hindi paganahin ang Intel ME nang may kaunting pagsisikap, at ang Purism ay nag-aalok ng mga laptop (batay sa mas matandang Intel hardware) na may hindi pinagana ang Intel Management Engine bilang default. Malamang na hindi nasiyahan ang Intel tungkol sa mga pagsisikap na ito, at gagawing mas mahirap upang hindi paganahin ang Intel ME sa hinaharap.

Ngunit, para sa average na gumagamit, ang hindi pagpapagana ng Intel ME ay karaniwang imposible-at iyon ay sa pamamagitan ng disenyo.

Bakit ang Lihim?

Hindi nais ng Intel na malaman ng mga kakumpitensya nito ang eksaktong paggana ng software ng Management Engine. Tila tinatanggap din ng Intel ang "seguridad sa pamamagitan ng kadiliman" dito, sinusubukang gawing mas mahirap para sa mga umaatake na malaman ang tungkol at makahanap ng mga butas sa Intel ME software. Gayunpaman, tulad ng ipinakita kamakailang mga butas sa seguridad, ang seguridad sa pamamagitan ng kadiliman ay hindi garantisadong solusyon.

Hindi ito anumang uri ng spying o monitoring software — maliban kung may isang organisasyon na pinagana ang AMT at ginagamit ito upang subaybayan ang kanilang sariling mga PC. Kung nakikipag-ugnay ang Intel's Management Engine sa network sa iba pang mga sitwasyon, malamang na narinig namin ito salamat sa mga tool tulad ng Wireshark, na nagpapahintulot sa mga tao na subaybayan ang trapiko sa isang network.

Gayunpaman, ang pagkakaroon ng software tulad ng Intel ME na hindi maaaring hindi paganahin at sarado na mapagkukunan ay tiyak na isang alalahanin sa seguridad. Ito ay isa pang avenue para sa pag-atake, at nakita na namin ang mga butas ng seguridad sa Intel ME.

Masama ba ang Intel ME ng Iyong Computer?

Noong Nobyembre 20, 2017, inihayag ng Intel ang mga seryosong butas sa seguridad sa Intel ME na natuklasan ng mga mananaliksik sa seguridad ng third-party. Kasama rito ang parehong mga bahid na magpapahintulot sa isang umaatake na may lokal na pag-access na patakbuhin ang code na may ganap na pag-access ng system, at mga remote na pag-atake na magpapahintulot sa mga magsasalakay na may remote na access na patakbuhin ang code na may ganap na pag-access ng system. Hindi malinaw kung gaano kahirap ang kanilang pagsamantalahan.

Nag-aalok ang Intel ng isang tool sa pagtuklas na maaari mong i-download at patakbuhin upang malaman kung ang Intel ME ng iyong computer ay mahina, o kung naayos ito.

Upang magamit ang tool, i-download ang ZIP file para sa Windows, buksan ito, at i-double click ang folder na "DiscoveryTool.GUI". I-double click ang file na "Intel-SA-00086-GUI.exe" upang patakbuhin ito. Sumang-ayon sa prompt ng UAC at sasabihin sa iyo kung mahina ang iyong PC o hindi.

KAUGNAYAN:Ano ang UEFI, at Paano Ito Naiiba mula sa BIOS?

Kung mahina ang iyong PC, maaari mo lamang i-update ang Intel ME sa pamamagitan ng pag-update ng firmware ng UEFI ng iyong computer. Kailangang magbigay sa iyo ng tagagawa ng iyong computer ang pag-update na ito, kaya suriin ang seksyon ng Suporta ng website ng iyong tagagawa upang makita kung mayroong magagamit na mga update sa UEFI o BIOS.

Nagbibigay din ang Intel ng isang pahina ng suporta na may mga link sa impormasyon tungkol sa mga update na ibinigay ng iba't ibang mga tagagawa ng PC, at pinapanatili nila itong na-update habang naglalabas ng impormasyon ang suporta ng mga tagagawa.

Ang mga system ng AMD ay may katulad na bagay na pinangalanang AMD TrustZone, na tumatakbo sa isang nakalaang ARM processor.

Credit sa Larawan: Laura Houser.


$config[zx-auto] not found$config[zx-overlay] not found