Každý moderný procesor vyrobený spoločnosťou Intel obsahuje zadné vrátka známe ako Intel Management Engine (IME). Je to izolovaný a chránený koprocesor, ktorý je zabudovaný vo všetkých čipových sadách Intel, ktoré sú novšie ako v júni 2006.


To zahŕňa všetky stolové počítače, servery, ultraknihy, tablety a notebooky s radom procesorov Intel Core vPro. Zahŕňa skupinu produktov Intel Core i3, i5, i7 a Intel Xeon E3-1200.

Intel Management Engine je skutočne dosť desivý

Tento subsystém, ktorý nie je možné auditovať, môže:

  • Získajte prístup do všetkých oblastí pamäte počítača bez vedomia procesora.
  • Pristupujte ku všetkým periférnym zariadeniam pripojeným k počítaču.
  • Nastavte si na sieťovom rozhraní server TCP / IP, ktorý dokáže odosielať a prijímať prenosy, bez ohľadu na to, či operačný systém používa bránu firewall alebo nie..
  • Spustite vzdialene, aj keď je počítač vypnutý.
  • Umožnite vzdialenému používateľovi zapnúť, vypnúť, zobraziť informácie a inak spravovať váš počítač.
  • Firmvér ME verzie 4.0 a novšej (Intel 4 Series a novšie čipsety) obsahuje aplikáciu DRM s názvom "Chránená cesta audio videa" (PAVP). To umožňuje vzdialenému používateľovi prístup ku všetkému, čo je zobrazené na obrazovke.

Ak váš počítač používa čip Intel, nezáleží na tom, ktorý operačný systém používate. Ako poznamenáva Brian Benchoff v blogovom príspevku Hackady,

"Vlastníte ME a vlastníte počítač."

Je to desivé, ale všetko sa zhoršuje. Aplikácia AMT (pozri nižšie) má známe zraniteľné miesta, ktoré sa už využívajú na vývoj rootkitov a keyloggerov a na skryté získanie šifrovaného prístupu k riadiacim funkciám PC. Ako uvádza Libreboot v časti FAQ,

„Celkovo možno povedať, že Intel Management Engine a jeho aplikácie sú backdoor s úplným prístupom a kontrolou nad zvyškom počítača. ME je hrozbou pre slobodu, bezpečnosť a súkromie a projekt libreboot dôrazne odporúča tomu, aby sa tomu úplne vyhýba. ““

Doteraz bolo jediným spôsobom, ako sa vyhnúť všetkým generáciám hardvéru Intel starším ako desať rokov! Žiaľ, výberom procesora, ktorý nie je procesorom Intel, sa nedostanete príliš ďaleko ...

Čipy od spoločnosti Intel nie sú bezpečné!

Všetky čipy AMD po roku 2013 obsahujú procesor zabezpečenia platformy (PSP). Realizácia tohto je veľmi odlišná od implementácie IME spoločnosti Intel, ale robí to veľmi podobné. Prichádza tiež so všetkými rovnakými základnými otázkami bezpečnosti a slobody ako IM.

Na druhej strane sú zariadenia Android a iOS dodávané s integrovaným patentovaným čipom známym ako procesor v základnom pásme. V bezpečnostných kruhoch je dobre známe, že to môže účinne fungovať ako zadné vrátka…

Čo presne teda predstavuje Intel Management Engine?

IME je hardvérová súčasť technológie Intel Active Management Technology (AMT). Je navrhnutý tak, aby umožňoval správcom systému vzdialený prístup k počítačom s cieľom ich monitorovania, údržby, aktualizácie, aktualizácie a opravy.

O IME je okrem jeho schopností známe len veľmi málo. Dôvodom je skutočnosť, že je uzavretý zdroj a je zabezpečený kľúčom RSA-2048. Ako už bolo uvedené, aplikácia AMT má známe zraniteľné miesta, hoci hardvérová súčasť IME zostáva naďalej bezpečná ... zatiaľ. Ako poznamenáva Benchoff,

„V súčasnosti nie sú známe žiadne zraniteľné miesta, ktoré by sme mohli zneužiť: všetci sme mimo MŽP. Ale to je bezpečnosť prostredníctvom nejasností. Akonáhle padne ME, všetko s čipom Intel padne. Je to zďaleka najstrašidelnejšia bezpečnostná hrozba dnes a je to ešte jedna, ktorá sa ešte zhoršila našou vlastnou ignoranciou toho, ako ME funguje. “

Pokiaľ ide o zločineckých hackerov, je to veľmi veľa prípadov, keď nie, ak je hardvér poškodený. Okrem toho sú zločinní hackeri iba jednou z hrozieb, ktorých sa treba obávať.

Správcovia systému získajú prístup k funkciám AMT pomocou kryptografických kľúčov. Tieto mohli byť ukradnuté alebo odovzdané úradom po prijatí súdneho predvolania, súdneho príkazu, listu národnej bezpečnosti alebo podobne.

Vzhľadom na to, čo vieme o jeho úzkom prepojení s americkým technologickým priemyslom, by bolo spravodlivé predpokladať, že spoločnosť Intel jednoducho poskytla NSA certifikáty a kryptografické kľúče potrebné na prístup k akémukoľvek produkovanému čipu. Opäť je to veľmi desivé!

Ako zakážem IM?

Až donedávna nebolo možné vypnúť IM vo väčšine systémov, ktoré používajú čipy Intel Core 2 alebo novšie (od roku 2006). Akýkoľvek pokus o zakázanie firmvéru ME na čipe, ktorý obsahuje IME, by mal za následok, že systém odmietne naštartovať alebo vypnúť krátko po zavedení systému..

Bola vyvinutá technika na odstránenie ME z čipovej sady GM45 (Core 2 Duo, Core 2 Extreme, Celeron M). Fungovalo to však preto, že ME sa nachádzalo na čipe oddelenom od Northbridge.

Táto technika nefunguje pre procesory Core i3 / i5 / i7, pretože ME je integrovaný do Northbridge. Na týchto čipoch je možné deaktivovať kľúčové časti ME, ale vždy to viedlo k vypnutiu PC po 30 minútach, keď bootovacia ROM ME (uložená v SPI Flash) nedokázala nájsť platný podpis Intel.

Výskumník Trammell Hudson však nedávno zistil, že ak vymazal prvú stránku oblasti ME (t. J. „Prvé 4 kB oblasti (0x3000), začína "$ FPT"') jeho ThinkPad x230 sa po 30 minútach nezastavil.

Tento objav viedol ďalších výskumníkov (Nicola Corna a Frederico Amedeo Izzo) k napísaniu skriptu, ktorý využíva túto výhodu. Uvedomte si, že tento skript sám osebe neodstráni samotný ME, ale prakticky ho zakáže. Benchoff poznamenáva,

"ME si stále myslí, že beží, ale v skutočnosti nič nerobí."

Je známe, že skript pracuje na procesoroch Sandy Bridge a Ivy Bridge a mal by pracovať na procesoroch Skylake. Môže fungovať a Haswell a Broadwell procesory, ale toto nebolo testované.

Bohužiaľ, použitie tohto skriptu vyžaduje vážne tech kotlety. Vyžaduje sa použitie beaglebone, čipovej spony SOIC-8 a niektorých voľných drôtov. Vyžaduje tiež veľa nervov, pretože hrozí vážne riziko poškodenia procesora!

Napriek tomu je to dôležitý vývoj, ktorý umožňuje tým, ktorí sú odhodlaní dostatočne (efektívne) odstrániť zadné vrátka, ktoré existujú takmer v každom modernom procesore.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me