Intel Management Engine, Dijelaskan: Komputer Kecil Di dalam CPU Anda

Intel Management Engine telah dimasukkan ke dalam chipset Intel sejak tahun 2008. Ini pada dasarnya komputer kecil-dalam-komputer, dengan akses penuh ke memori, paparan, rangkaian, dan peranti input PC anda. Ia menjalankan kod yang ditulis oleh Intel, dan Intel tidak berkongsi banyak maklumat mengenai cara kerjanya.

Perisian ini, juga disebut Intel ME, muncul dalam berita kerana adanya lubang keselamatan yang diumumkan oleh Intel pada 20 November 2017. Anda harus menambal sistem anda jika terdedah. Akses dan kehadiran sistem perisian yang mendalam ini pada setiap sistem moden dengan pemproses Intel bererti ini adalah sasaran berair bagi penyerang.

Apa itu Intel ME?

Jadi apa itu Intel Management Engine? Intel memberikan beberapa maklumat umum, tetapi mereka tidak menerangkan sebahagian besar tugas khusus yang dilakukan oleh Intel Management Engine dan bagaimana ia berfungsi.

Seperti yang dinyatakan oleh Intel, Management Engine adalah "subsistem komputer kecil dan berkuasa rendah". Ini "melakukan berbagai tugas ketika sistem dalam keadaan tidur, selama proses boot, dan ketika sistem anda berjalan".

Dengan kata lain, ini adalah sistem operasi selari yang berjalan pada cip terpencil, tetapi dengan akses ke perkakasan PC anda. Ia berjalan semasa komputer anda dalam keadaan tidur, semasa boot, dan semasa sistem operasi anda berjalan. Ia memiliki akses penuh ke perkakasan sistem anda, termasuk memori sistem anda, isi paparan anda, input papan kekunci, dan bahkan rangkaian.

Kami sekarang tahu bahawa Intel Management Engine menjalankan sistem operasi MINIX. Di luar itu, perisian tepat yang terdapat di dalam Intel Management Engine tidak diketahui. Ini kotak hitam kecil, dan hanya Intel yang tahu betul-betul apa yang ada di dalamnya.

Apakah Teknologi Pengurusan Aktif Intel (AMT)?

Selain daripada pelbagai fungsi peringkat rendah, Intel Management Engine merangkumi Intel Active Management Technology. AMT adalah penyelesaian pengurusan jarak jauh untuk pelayan, desktop, komputer riba dan tablet dengan pemproses Intel. Ini bertujuan untuk organisasi besar, bukan pengguna rumah. Ini tidak diaktifkan secara lalai, jadi itu sebenarnya bukan "pintu belakang", kerana beberapa orang menyebutnya.

AMT dapat digunakan untuk menghidupkan, mengkonfigurasi, mengawal, atau menghapus komputer dari jauh dengan pemproses Intel. Tidak seperti penyelesaian pengurusan biasa, ini berfungsi walaupun komputer tidak menjalankan sistem operasi. Intel AMT berfungsi sebagai sebahagian daripada Intel Management Engine, jadi organisasi dapat menguruskan sistem dari jauh tanpa sistem operasi Windows yang berfungsi.

Pada bulan Mei 2017, Intel mengumumkan eksploitasi jarak jauh di AMT yang akan membolehkan penyerang mengakses AMT di komputer tanpa memberikan kata laluan yang diperlukan. Walau bagaimanapun, ini hanya akan mempengaruhi orang yang berusaha keras untuk mengaktifkan Intel AMT - yang, sekali lagi, bukan kebanyakan pengguna rumah. Hanya organisasi yang menggunakan AMT yang perlu risau tentang masalah ini dan mengemas kini firmware komputer mereka.

Ciri ini hanya untuk PC. Walaupun Mac moden dengan CPU Intel juga memiliki Intel ME, mereka tidak termasuk Intel AMT.

Bolehkah Anda Melumpuhkannya?

Anda tidak boleh mematikan Intel ME. Walaupun anda melumpuhkan ciri Intel AMT di BIOS sistem anda, pemprosesan dan perisian Intel ME masih aktif dan berjalan. Pada ketika ini, ia disertakan pada semua sistem dengan CPU Intel dan Intel tidak dapat melumpuhkannya.

Walaupun Intel tidak menyediakan cara untuk mematikan Intel ME, orang lain telah bereksperimen dengan mematikannya. Ia tidak semudah menjentikkan suis. Penggodam yang bersungguh-sungguh berjaya mematikan Intel ME dengan sedikit usaha, dan Purism kini menawarkan komputer riba (berdasarkan perkakasan Intel lama) dengan Enjin Pengurusan Intel yang dilumpuhkan secara lalai. Intel mungkin tidak senang dengan usaha ini, dan akan menjadikannya lebih sukar untuk mematikan Intel ME pada masa akan datang.

Tetapi, bagi pengguna biasa, mematikan Intel ME pada dasarnya tidak mungkin dilakukan - dan itu adalah reka bentuk.

Mengapa Kerahsiaan?

Intel tidak mahu pesaingnya mengetahui cara kerja perisian Engine Engine yang tepat. Intel juga nampaknya merangkul "keamanan oleh ketidakjelasan" di sini, berusaha menjadikan penyerang lebih sukar untuk belajar dan mencari lubang dalam perisian Intel ME. Walau bagaimanapun, seperti yang ditunjukkan oleh lubang keselamatan baru-baru ini, keselamatan oleh ketidakjelasan bukanlah penyelesaian yang dijamin.

Ini bukan jenis perisian pengintipan atau pemantauan — kecuali jika organisasi telah mengaktifkan AMT dan menggunakannya untuk memantau PC mereka sendiri. Sekiranya Intel Management Engine menghubungi rangkaian dalam situasi lain, kami mungkin pernah mendengarnya berkat alat seperti Wireshark, yang membolehkan orang memantau lalu lintas di rangkaian.

Namun, kehadiran perisian seperti Intel ME yang tidak dapat dilumpuhkan dan merupakan sumber tertutup tentunya menjadi perhatian keselamatan. Ini jalan lain untuk menyerang, dan kita sudah melihat lubang keselamatan di Intel ME.

Adakah Intel ME Komputer Anda Rentan?

Pada 20 November 2017, Intel mengumumkan lubang keselamatan serius di Intel ME yang telah ditemui oleh penyelidik keselamatan pihak ketiga. Ini merangkumi kedua-dua kelemahan yang memungkinkan penyerang dengan akses tempatan menjalankan kod dengan akses sistem penuh, dan serangan jarak jauh yang membolehkan penyerang dengan akses jarak jauh menjalankan kod dengan akses sistem penuh. Tidak jelas betapa sukarnya mereka mengeksploitasi.

Intel menawarkan alat pengesanan yang boleh anda muat turun dan jalankan untuk mengetahui apakah Intel ME komputer anda rentan, atau adakah ia telah diperbaiki.

Untuk menggunakan alat ini, muat turun fail ZIP untuk Windows, buka, dan klik dua kali folder "DiscoveryTool.GUI". Klik dua kali fail "Intel-SA-00086-GUI.exe" untuk menjalankannya. Setuju dengan permintaan UAC dan anda akan diberitahu sama ada PC anda terdedah atau tidak.

BERKAITAN: Apakah UEFI, dan Bagaimana Ia Berbeza dari BIOS?

Sekiranya PC anda terdedah, anda hanya boleh mengemas kini Intel ME dengan mengemas kini firmware UEFI komputer anda. Pengilang komputer anda harus memberi anda kemas kini ini, jadi periksa bahagian Sokongan di laman web pengeluar anda untuk melihat apakah ada kemas kini UEFI atau BIOS yang tersedia.

Intel juga menyediakan halaman sokongan dengan pautan ke maklumat mengenai kemas kini yang disediakan oleh pengeluar PC yang berlainan, dan mereka terus memperbaharui ketika pengeluar mengeluarkan maklumat sokongan.

Sistem AMD mempunyai sesuatu yang serupa bernama AMD TrustZone, yang berjalan pada pemproses ARM khusus.

Kredit Gambar: Laura Houser.