Intel Management Engine – yksityisyyden painajainen

Jokainen Intelin valmistama moderni prosessori sisältää takaoven, joka tunnetaan nimellä Intel Management Engine (IME). Tämä on eristetty ja suojattu kopioprosessori, joka on upotettu kaikkiin Intel-piirisarjoihin, jotka ovat uudempia kuin kesäkuu 2006.

Tämä sisältää kaikki pöytätietokoneet, palvelimet, ultrakirjat, tabletit ja kannettavat tietokoneet, joissa on Intel Core vPro -suoritinperhe. Se sisältää Intel Core i3, i5, i7 ja Intel Xeon -prosessorien E3-1200 -tuoteperheen.

Intel Management Engine on todella melko pelottava

Tämä suljetun lähdekoodin ei-tarkastettava osajärjestelmä voi:

  • Käytä kaikkia tietokoneesi muistialueita ilman suorittimen tietämystä.
  • Käytä kaikkia tietokoneeseesi liitettyjä oheislaitteita.
  • Asenna verkkorajapinnalle TCP / IP-palvelin, joka voi lähettää ja vastaanottaa liikennettä riippumatta siitä, käyttääkö käyttöjärjestelmä palomuuria vai ei..
  • Suorita etäyhteys, vaikka tietokoneesta olisi katkaistu virta.
  • Salli etäkäyttäjän käynnistää, sammuttaa, tarkastella tietoja tietokoneesta ja hallita sitä muuten.
  • ME-ohjelmistoversiot 4.0 ja uudemmat (Intel 4 Series ja uudemmat piirisarjat) sisältävät DRM-sovelluksen, jota kutsutaan "Suojattu audiovideopolku" (PAVP). Tämän avulla etäkäyttäjä voi käyttää kaikkea näytöllä näkyvää.

Jos tietokoneesi käyttää Intel-sirua, sinulla ei ole väliä mitä käyttöjärjestelmää käytät. Kuten Brian Benchoff toteaa Hackady-blogiviestissä,

"Omistaa ME ja omistat tietokoneen."

Pelottava, koska tämä kaikki on, se pahenee. AMT-sovelluksella (katso alla) on tunnettuja haavoittuvuuksia, joita on jo hyödynnetty rootkit-ohjelmien ja keylogger-ohjelmien kehittämiseksi ja salatun pääsyn saamiseksi tietokoneen hallintaominaisuuksiin. Kuten Libreboot huomauttaa UKK: ssa,

”Yhteenvetona voidaan todeta, että Intel Management Engine ja sen sovellukset ovat takaovi, jolla on täydet mahdollisuudet käyttää ja hallita muuta tietokonetta. ME on uhka vapaudelle, turvallisuudelle ja yksityisyydelle, ja libreboot-projekti suosittelee voimakkaasti sen välttämistä kokonaan. "

Tähän asti ainoa tapa tehdä tämä on ollut välttää kaikki Intel-laitteisto sukupolvet, jotka ovat uudempia kuin kymmenen vuotta vanhoja! Valitettavasti muun kuin Intel-prosessorin käyttö ei vie sinut kovin pitkälle…

Muut kuin Intel-sirut eivät ole myöskään turvallisia!

Kaikki vuoden 2013 jälkeiset AMD-sirut sisältävät PSP (Platform Security Processor). Tämän toteutus on hyvin erilainen kuin Intelin IME, mutta se tekee hyvin samanlaisen asian. Siihen kuuluu myös kaikki samat turvallisuutta ja vapautta koskevat peruskysymykset kuin IM: llä.

Toisaalta Android- ja iOS-laitteet toimitetaan integroidulla omalla sirulla, jota kutsutaan kantataajuusprosessoriksi. Turvallisuuspiireissä tiedetään hyvin, että tämä voi toimia tehokkaasti takaovena ...

Joten mikä tarkalleen on Intel Management Engine?

IME on Intelin Active Management Technology (AMT) -laitteisto. Sen tarkoituksena on antaa järjestelmänvalvojille mahdollisuus käyttää etäkäyttöön tarkoitettuja tietokoneita valvomaan, ylläpitämään, päivittämään, päivittämään ja korjaamaan niitä.

IME: stä tiedetään hyvin vähän kuin sen ominaisuuksia. Tämä johtuu siitä, että se on suljettu lähde ja kiinnitetty RSA-2048-avaimella. Kuten aiemmin todettiin, AMT-sovelluksella on tunnettuja haavoittuvuuksia, vaikka IME-laitekomponentti onkin edelleen turvallinen… toistaiseksi. Kuten Benchoff toteaa,

”ME: ssä ei ole tällä hetkellä tunnettuja heikkouksia, joita voitaisiin hyödyntää: olemme kaikki lukittuina ME: stä. Mutta se on turvallisuutta epäselvyyden kautta. Kun ME putoaa, kaikki Intel-siru putoavat. Se on ylivoimaisesti nykyään pelottavin turvallisuusuhka, ja sen pahentaa entisestään oma tietämättömyytemme siitä, kuinka ME toimii. "

Rikollisten hakkereiden kohdalla kyseessä on hyvin paljon silloin, kun laitteisto ei ole murtunut. Lisäksi rikolliset hakkerit ovat vain yksi huolenaihe, joista olla huolissaan.

Järjestelmänvalvojat pääsevät AMT-ominaisuuksiin salausavaimien avulla. Ne voidaan varastaa tai luovuttaa viranomaisille saatuaan haastuksen, oikeuden määräyksen, kansallisen turvallisuuden kirjeen tai vastaavan.

Tosiaankin, ottaen huomioon sen, mitä tiedämme sen läheisistä yhteyksistä Yhdysvaltain teknologiateollisuuteen, olisi kohtuullista olettaa, että Intel on yksinkertaisesti toimittanut NSA: lle sertifikaatit ja salausavaimet, joita tarvitaan kaikkien tuottamien sirujen käyttämiseen. Tämä on jälleen hyvin pelottavaa!

Kuinka voin poistaa pikaviestit käytöstä?

Aivan viime aikoihin saakka on ollut mahdotonta poistaa pikaviestejä käytöstä useimmissa järjestelmissä, joissa käytetään Intel Core 2 -sarjan Intel-siruja tai uudempia (2006 ja sitä seuraavat). Jokainen yritys poistaa ME-laiteohjelmisto sirulta, joka sisältää IME: n, johtaisi siihen, että järjestelmä kieltäytyy käynnistymästä tai sammuu pian käynnistyksen jälkeen..

Kehitettiin tekniikka ME: n poistamiseksi GM45-piirisarjoista (Core 2 Duo, Core 2 Extreme, Celeron M). Se toimi kuitenkin, koska ME sijaitsi sirulla, joka oli erillinen pohjoisesta sillasta.

Tämä tekniikka ei toimi Core i3 / i5 / i7 -prosessoreilla, koska ME on integroitu pohjoisosaan. Näiden sirujen ME: n tärkeimmät osat voidaan poistaa käytöstä, mutta tämä on aina johtanut tietokoneen sammutukseen 30 minuutin kuluttua, kun ME: n käynnistyslevy (tallennettu SPI Flashiin) ei löytänyt voimassa olevaa Intel-allekirjoitusta.

Äskettäin tutkija Trammell Hudson kuitenkin havaitsi, että jos hän pyyhkii ME-alueen ensimmäisen sivun (ts. 'Sen alueen ensimmäinen 4 kt (0x3000, alkaa "$ FPT"') hänen ThinkPad x230 -laitteestaan, se ei sammu 30 minuutin kuluttua.

Tämä löytö johti muut tutkijat (Nicola Corna ja Frederico Amedeo Izzo) kirjoittamaan käsikirjoituksen, joka hyödyntää tätä hyväksikäyttöä. Huomaa, että tämä skripti ei poista ME: tä kokonaan, mutta käytännössä se poistaa sen käytöstä. Benchoff huomauttaa,

"Tosiasiallisesti ME ajattelee edelleen sen olevan käynnissä, mutta se ei oikeastaan ​​tee mitään."

Skriptin tiedetään toimivan Sandy Bridge- ja Ivy Bridge -prosessoreissa, ja sen pitäisi toimia Skylake-prosessoreissa. Se saattaa toimia ja Haswell- ja Broadwell-prosessorit, mutta tätä ei ole testattu.

Valitettavasti tämän komentosarjan käyttö vaatii vakavia teknisiä hakutuloksia. Se vaatii Beaglebonen, SOIC-8-sirukiristimen ja joidenkin löysien johtojen käytön. Se vaatii myös paljon hermoa, koska prosessorin murtuminen on vakava riski!

Siitä huolimatta, tämä on tärkeä kehitys, joka antaa riittävän määrätietoisille poistaa (tehokkaasti) takaoven, joka on melkein kaikissa nykyaikaisissa suorittimissa..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me