Svaki moderni procesor koji je napravio Intel sadrži pozadinu poznatu kao Intel Management Engine (IME). Ovo je izolirani i zaštićeni koprocesor ugrađen u sve Intelove čipsete novije od lipnja 2006.


To uključuje sve radne površine, servere, ultra knjige, tablete i prijenosna računala s obitelji procesora Intel Core vPro. Sadrži Intel Core i3, i5, i7 i Intel Xeon procesor E3-1200 obitelj proizvoda.

Intelov upravljački motor zaista je prilično zastrašujući

Ovaj podsustav bez revizije iz zatvorenog izvora može:

  • Pristupite svim područjima memorije vašeg računala bez znanja CPU-a.
  • Pristupite svim perifernim uređajima koji su priključeni na vaše računalo.
  • Na mrežnom sučelju postavite TCP / IP poslužitelj koji može slati i primati promet, bez obzira na to radi li OS vatrozid ili ne.
  • Trčanje na daljinu, čak i kad je vaše računalo isključeno.
  • Omogućite udaljenom korisniku da on uključi, isključi računalo, pogleda informacije i na drugi način upravlja računalom.
  • ME firmware verzije 4.0 i novije (Intel 4 Series i noviji skupovi čipova) uključuju DRM aplikaciju pod nazivom "Zaštićeni put audio-video zapisa" (PAVP). To udaljenom korisniku omogućuje pristup svemu što je prikazano na vašem zaslonu.

Ako vaše računalo koristi Intel čip, nije važno koji operativni sustav pokrećete. Kao što Brian Benchoff primjećuje u blogu o Hackadyju,

"Posjedujete ME i posjedujete računalo."

Grozno kako ovo sve postaje, postaje još gore. AMT aplikacija (vidi dolje) ima poznate ranjivosti koje su već iskorištene za razvoj rootkita i keyloggera te za prikriveni pristup šifriranom pristupu upravljačkim značajkama računala. Kao što Libreboot primjećuje u svojim FAQ-ima,

„Ukratko, Intel Management Engine i njegove aplikacije su stražnja vrata s potpunim pristupom i kontrolom nad ostatkom računala. ME je prijetnja slobodi, sigurnosti i privatnosti, a projekt libreboot toplo preporučuje da ga u potpunosti izbjegavate. "

Do sada, jedini način da se to postigne bilo je izbjegavanje svih generacija Intelovog hardvera starijeg od deset godina! Nažalost, odabir ne-Intelovog procesora ne ide vam daleko ...

Čipovi koji nisu Intelovi nisu ni sigurni!

Svi AMD-ovi čipovi nakon 2013. sadrže Platformski sigurnosni procesor (PSP). Implementacija ovoga vrlo je različita od Intelove IME, ali čini vrlo sličnu stvar. Također dolazi sa istim osnovnim pitanjima sigurnosti i slobode kao i IM.

S druge strane, Android i iOS uređaji isporučuju se s integriranim vlastitim čipom poznatim kao procesor s osnovnim opsegom. U sigurnosnim krugovima dobro je poznato da se na taj način može djelovati kao stražnja vrata ...

Dakle, ono što je točno Intelov upravljački motor?

IME je hardverska komponenta Intelove aktivne tehnologije upravljanja (AMT). Dizajniran je tako da administratorima sustava omogućuje osobna računala s udaljenim pristupom kako bi ih mogli nadgledati, održavati, ažurirati, nadograditi i popraviti.

Osim njegovih mogućnosti, o IME se malo zna. To je zahvaljujući činjenici da je zatvoreni izvor i osiguran RSA-2048 tipkom. Kao što je ranije napomenuto, aplikacija AMT ima poznate ranjivosti, iako IME hardverska komponenta za sada ostaje sigurna…. Kao što Benchoff primjećuje,

"Ne postoje poznate ranjivosti u ME-u koje bi iskorištavali trenutno: svi smo zaključani iz ME-a. Ali to je sigurnost kroz nejasnost. Jednom kada ME padne, sve će biti s Intel čipom. To je daleko najstrašnija sigurnosna prijetnja danas, a ona je još gora zbog vlastitog neznanja o tome kako funkcionira ME. "

S obzirom na kriminalne hakere, vrlo je često slučaj kada, a ne ako je hardver napukao. Nadalje, kriminalni hakeri samo su jedna prijetnja koja bi se trebala zabrinuti.

Administratori sustava dobijaju pristup značajkama AMT-a pomoću kriptografskih ključeva. Oni mogu biti ukradeni ili predati nadležnim vlastima nakon primitka poziva u sudnici, naloga suda, nacionalnog sigurnosnog pisma ili slično.

Doista, s obzirom na ono što znamo o njegovim bliskim vezama s američkom tehnološkom industrijom, bilo bi pošteno pretpostaviti da je Intel jednostavno NSA-i pružio certifikate i kriptografske ključeve potrebne za pristup bilo kojem čipu koji proizvede. Opet, to je vrlo zastrašujuće!

Kako onemogućiti izravnu razmjenu?

Donedavno je bilo nemoguće onemogućiti IM na većini sustava koji koriste Intel Core 2 seriju Intelovih čipova ili novije (2006. i nadalje). Svaki pokušaj onemogućivanja ME upravljačkog softvera na čipu koji uključuje IME rezultirao bi da sustav odbije pokretanje ili isključivanje nedugo nakon pokretanja..

Razvijena je tehnika uklanjanja ME iz skupova GM45 čipova (Core 2 Duo, Core 2 Extreme, Celeron M). Međutim, uspjelo je jer se ME nalazio na čipu odvojenom od sjevernog mosta.

Ova tehnika ne funkcionira za Core i3 / i5 / i7 procesore, jer je ME integriran u sjeverni most. Moguće je onemogućiti ključne dijelove ME na ovim čipovima, ali to je uvijek rezultiralo isključivanjem računala nakon 30 minuta, kada ME boot ROM (pohranjen u SPI Flash-u) nije uspio pronaći važeći Intelov potpis.

No nedavno je, međutim, istraživač Trammell Hudson otkrio da ako izbriše prvu stranicu regije ME (tj. 'Prva 4KB regije (0x3000, započinje s "$ FPT"') njegovog ThinkPad x230, nije se ugasio nakon 30 minuta.

Ovo otkriće navelo je druge istraživače (Nicola Corna i Frederico Amedeo Izzo) da napišu scenarij koji koristi ovaj eksploataciju. Imajte na umu da ova skripta sama po sebi ne uklanja u potpunosti, ali je u praktičnom smislu onemogućuje. Benchoff primjećuje,

"Učinkovito, ME i dalje misli da radi, ali u stvari ništa ne radi."

Poznato je da scenarij radi na procesorima Sandy Bridge i Ivy Bridge, a trebao bi raditi i na Skylake procesorima. To mogu raditi i Haswell i Broadwell procesori, ali to nije testirano.

Nažalost, korištenje ove skripte zahtijeva ozbiljne tehnološke dijelove. Potrebna je upotreba Beaglebone-a, kopče SOIC-8 i nekoliko labavih žica. Također je potrebno puno živaca, jer postoji ozbiljan rizik od blokiranja procesora!

Ipak, ovo je važan razvoj koji omogućuje onima koji su dovoljno odlučni da (učinkovito) uklone stražnju vrata koja postoje u gotovo svakom modernom procesoru.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me