מנוע ניהול אינטל, הסביר: המחשב הזעיר בתוך המעבד שלך

מנוע הניהול של אינטל נכלל בערכות שבבים של אינטל מאז 2008. זה בעצם מחשב זעיר בתוך מחשב, עם גישה מלאה לזיכרון המחשב, התצוגה, הרשת והתקני הקלט. היא מפעילה קוד שנכתב על ידי אינטל, ואינטל לא שיתפה מידע רב על פעולתה הפנימית.

תוכנה זו, הנקראת גם Intel ME, צצה בחדשות בגלל חורי אבטחה עליה הכריזה אינטל ב -20 בנובמבר 2017. עליך לתקן את המערכת שלך אם היא פגיעה. הגישה והנוכחות העמוקה של התוכנה הזו בכל מערכת מודרנית עם מעבד אינטל, פירושה שהיא יעד עסיסי לתוקפים.

מה זה אינטל ME?

אז מה בכלל מנוע הניהול של אינטל? אינטל מספקת מידע כללי כלשהו, ​​אך היא נמנעת מהסבר על רוב המשימות הספציפיות שמנוע הניהול של אינטל מבצע ומדויק כיצד היא פועלת.

כלשונו של אינטל, מנוע הניהול הוא "תת-מערכת מחשבים קטנה וחשמל". היא "מבצעת משימות שונות בזמן שהמערכת במצב שינה, במהלך תהליך האתחול וכשהמערכת פועלת".

במילים אחרות, זוהי מערכת הפעלה מקבילה הפועלת על שבב מבודד, אך עם גישה לחומרת המחשב האישי שלך. הוא פועל כאשר המחשב שלך ישן, בזמן שהוא אתחול, ובזמן שמערכת ההפעלה שלך פועלת. יש לו גישה מלאה לחומרת המערכת שלך, כולל זיכרון המערכת שלך, תוכן התצוגה, קלט המקלדת ואפילו הרשת.

כעת אנו יודעים שמנוע הניהול של אינטל מפעיל מערכת הפעלה MINIX. מעבר לכך, התוכנה המדויקת הפועלת בתוך מנוע הניהול של אינטל אינה ידועה. זו קופסה שחורה קטנה, ורק אינטל יודעת בדיוק מה יש בפנים.

מהי טכנולוגיית ניהול פעיל של אינטל (AMT)?

מלבד פונקציות שונות ברמה נמוכה, מנוע הניהול של אינטל כולל טכנולוגיית ניהול פעיל של אינטל. AMT הוא פתרון לניהול מרחוק לשרתים, מחשבים שולחניים, מחשבים ניידים וטאבלטים עם מעבדי אינטל. זה מיועד לארגונים גדולים ולא למשתמשים ביתיים. זה לא מופעל כברירת מחדל, ולכן זה לא ממש "דלת אחורית", כפי שכמה אנשים כינו זאת.

ניתן להשתמש ב- AMT להפעלה מרחוק של מחשבים באמצעות מעבדי אינטל, הגדרת תצורה, שליטה בהם או מחיקתם. שלא כמו פתרונות ניהול טיפוסיים, זה עובד גם אם המחשב אינו מפעיל מערכת הפעלה. אינטל AMT פועלת כחלק ממנוע הניהול של אינטל, כך שארגונים יכולים לנהל מרחוק מערכות ללא מערכת הפעלה פועלת של Windows.

במאי 2017 הודיעה אינטל על ניצול מרחוק ב- AMT שיאפשר לתוקפים לגשת ל- AMT במחשב מבלי לספק את הסיסמה הדרושה. עם זאת, הדבר ישפיע רק על אנשים שיצאו מגדרם כדי לאפשר את אינטל AMT - וזה, שוב, לא רוב המשתמשים הביתיים. רק ארגונים שהשתמשו ב- AMT היו צריכים לדאוג לבעיה זו ולעדכן את הקושחה של המחשבים שלהם.

תכונה זו מיועדת רק למחשבים אישיים. בעוד שמחשבי מקינטוש מודרניים עם מעבדי אינטל יש גם את אינטל ME, הם אינם כוללים אינטל AMT.

אתה יכול להשבית את זה?

אינך יכול להשבית את Intel ME. גם אם תשבית את תכונות Intel AMT ב- BIOS של המערכת שלך, מעבד התוכנה של Intel ME עדיין פעיל ופועל. בשלב זה, הוא נכלל בכל המערכות עם מעבדי אינטל ואינטל אינה מספקת דרך להשבית אותו.

בעוד שאינטל אינה מספקת דרך להשבית את ה- Intel ME, אנשים אחרים התנסו בהשבתה. זה לא פשוט כמו להעיף מתג. האקרים יוזמים הצליחו להשבית את אינטל ME במאמץ לא קטן, ופוריזם מציעה כעת מחשבים ניידים (המבוססים על חומרה ישנה יותר של אינטל) כאשר מנוע הניהול של אינטל מושבת כברירת מחדל. סביר להניח שאינטל לא מרוצה מהמאמצים הללו ותקשה עוד יותר על השבתת ה- Intel ME בעתיד.

אבל מבחינת המשתמש הממוצע, השבתת ה- Intel ME היא בעצם בלתי אפשרית - וזה לפי תכנון.

מדוע הסודיות?

אינטל אינה רוצה שמתחרותיה יידעו על פעולותיה המדויקות של תוכנת ה- Management Engine. נראה שגם אינטל מאמצת כאן "ביטחון על ידי סתום", ומנסה להקשות על התוקפים ללמוד ולמצוא חורים בתוכנת Intel ME. עם זאת, כפי שהראו חורי האבטחה האחרונים, אבטחה על ידי סתום אינה פיתרון מובטח.

זה לא כל סוג של תוכנת ריגול או ניטור - אלא אם כן ארגון הפעיל את AMT ומשתמש בו כדי לפקח על המחשבים האישיים שלהם. אם מנוע הניהול של אינטל היה יוצר קשר עם הרשת במצבים אחרים, סביר להניח שהיינו שומעים על כך בזכות כלים כמו Wireshark, המאפשרים לאנשים לפקח על התעבורה ברשת.

עם זאת, נוכחות של תוכנות כמו Intel ME שלא ניתן להשבית ומקור סגור היא בהחלט דאגה ביטחונית. זו עוד דרך להתקפה, וכבר ראינו חורי אבטחה באינטל ME.

האם Intel ME של המחשב שלך פגיע?

ב- 20 בנובמבר 2017, אינטל הודיעה על חורי אבטחה רציניים באינטל ME שהתגלו על ידי חוקרי אבטחה של צד שלישי. אלה כוללים הן פגמים שיאפשרו לתוקף עם גישה מקומית להריץ קוד עם גישה מלאה למערכת, והן להתקפות מרחוק שיאפשרו לתוקפים עם גישה מרחוק להריץ קוד עם גישה מלאה למערכת. לא ברור עד כמה יהיה קשה לנצל אותם.

אינטל מציעה כלי זיהוי שתוכל להוריד ולהפעיל כדי לברר אם ה- Intel ME של המחשב שלך פגיע, או שהוא תוקן.

כדי להשתמש בכלי, הורד את קובץ ה- ZIP עבור Windows, פתח אותו ולחץ פעמיים על התיקיה "DiscoveryTool.GUI". לחץ פעמיים על הקובץ "Intel-SA-00086-GUI.exe" כדי להפעיל אותו. הסכים להנחיית ה- UAC ותאמר לך אם המחשב האישי שלך פגיע או לא.

קשורים: מהו UEFI, ובמה הוא שונה מ- BIOS?

אם המחשב האישי שלך פגיע, באפשרותך לעדכן את Intel ME רק על ידי עדכון קושחת ה- UEFI של המחשב שלך. על יצרן המחשב לספק לך עדכון זה, לכן עיין בסעיף התמיכה באתר היצרן כדי לראות אם קיימים עדכוני UEFI או BIOS.

אינטל מספקת גם דף תמיכה עם קישורים למידע על עדכונים שמספקים יצרני מחשבים שונים והם מעדכנים אותו כאשר היצרנים משחררים מידע על התמיכה.

למערכות AMD יש משהו דומה בשם AMD TrustZone, הפועל על מעבד ARM ייעודי.

קרדיט תמונה: לורה האוזר.