sv.phhsnews.com


sv.phhsnews.com / Intel Management Engine, förklarad: Den lilla datorn inuti din CPU

Intel Management Engine, förklarad: Den lilla datorn inuti din CPU


Intel Management Engine har varit med på Intel-chipset sedan 2008. Det är i grunden en liten dator-inom-dator med Full tillgång till datorns minne, skärm, nätverk och inmatningsenheter. Det körs kod skrivet av Intel, och Intel har inte delat mycket information om sina inre arbeten.

Denna mjukvara, även kallad Intel ME, har dykt upp i nyheterna på grund av säkerhetshål Intel tillkännagav den 20 november 2017 Du bör patchera ditt system om det är sårbart. Den här programvarans djupa systemåtkomst och närvaro i alla moderna system med en Intel-processor betyder att det är ett saftigt mål för angripare.

Vad är Intel ME?

Så vad är Intel Management Engine, hur som helst? Intel ger viss allmän information, men de undviker att förklara de flesta av de specifika uppgifter som Intel Management Engine utför och exakt hur det fungerar.

Som Intel lägger till är Management Engine "ett litet kraftfull datorsubsystem". Det "utför olika uppgifter medan systemet är i viloläge, under startprocessen och när ditt system körs".

Med andra ord är det ett parallellt operativsystem som körs på en isolerad chip, men med åtkomst till datorns hårdvara. Den körs när din dator sover, medan den startas upp och medan operativsystemet körs. Den har full tillgång till din systemhårdvara, inklusive ditt systemminne, innehållet på din skärm, tangentbordsinmatning och till och med nätverket.

Vi vet nu att Intel Management Engine kör ett MINIX-operativsystem. Utöver det är den exakta mjukvaran som körs inuti Intel Management Engine okänd. Det är en liten svart låda, och endast Intel vet exakt vad som är inne.

Vad är Intel Active Management Technology (AMT)?

Förutom olika lågnivåfunktioner innehåller Intel Management Engine Intel Active Management Technology. AMT är en fjärrhanteringslösning för servrar, stationära datorer, bärbara datorer och surfplattor med Intel-processorer. Den är avsedd för stora organisationer, inte hemanvändare. Det är inte aktiverat som standard, så det är inte riktigt en "bakdörr", som vissa har ringt den.

AMT kan användas för att fjärrstart, konfigurera, styra eller torka datorer med Intel-processorer. Till skillnad från typiska hanteringslösningar fungerar det även om datorn inte kör ett operativsystem. Intel AMT körs som en del av Intel Management Engine, så organisationer kan fjärrhantera system utan ett fungerande Windows-operativsystem.

Intel tillkännagav i maj 2017 ett avlägset utnyttjande i AMT som skulle tillåta angripare att komma åt AMT på en dator utan att tillhandahålla det nödvändiga lösenordet. Det här skulle emellertid bara påverka människor som gick ut ur deras sätt att aktivera Intel AMT-som, det vill säga, är inte de flesta hemmabrukare. Endast organisationer som använde AMT behövde oroa sig för detta problem och uppdatera sina dators firmware.

Den här funktionen är bara för datorer. Medan moderna Macs med Intel-CPU-enheter också har Intel ME, innehåller de inte Intel AMT.

Kan du inaktivera det?

Du kan inte inaktivera Intel ME. Även om du avaktiverar Intel AMT-funktioner i systemets BIOS, är Intel ME-coprocessorn och programvaran fortfarande aktiv och körbar. Vid den här tiden ingår det på alla system med Intel-processorer och Intel kan inte avaktivera det.

Medan Intel inte har något sätt att inaktivera Intel ME har andra experimenterat med att inaktivera det. Det är dock inte så enkelt som att trycka på en strömbrytare. Bedövande hackare har lyckats avaktivera Intel ME med en del ansträngningar, och Purism erbjuder nu bärbara datorer (baserat på äldre Intel-hårdvara) med Intel Management Engine som inaktiverad som standard. Intel är sannolikt inte glad över dessa ansträngningar och kommer att göra det ännu svårare att inaktivera Intel ME i framtiden.

Men för den genomsnittliga användaren är inaktiveringen av Intel ME i grunden omöjlig - och det är av design.

Varför sekretess?

Intel vill inte att konkurrenterna ska veta exakt hur Management Engine-programvaran fungerar. Intel verkar också omfatta "säkerhet genom dunkelhet" här och försöker göra det svårare för angripare att lära sig och hitta hål i Intel ME-mjukvaran. Men som de senaste säkerhetshålen har visat är säkerhet genom dunkelhet ingen garanterad lösning.

Det här är inte någon typ av spionprogram eller övervakningssoftware, såvida inte en organisation har aktiverat AMT och använder den för att övervaka sina egna datorer. Om Intels Management Engine kontaktar nätverket i andra situationer, skulle vi troligen ha hört talas om det tack vare verktyg som Wireshark, som tillåter människor att övervaka trafiken på ett nätverk.

Närvaron av program som Intel ME som kan är inte inaktiverad och är stängd källa är verkligen en säkerhetsfråga. Det är en annan aveny för attacker, och vi har redan sett säkerhetshål i Intel ME.

Intel är Mys vulnerable?

Intel meddelade 20 november 2017 seriösa säkerhetshål i Intel ME som upptäckts av tredjeparts säkerhetsforskare. Dessa inkluderar både brister som skulle göra det möjligt för en angripare med lokal åtkomst att köra kod med fullständig systemåtkomst och fjärrattacker som skulle tillåta angripare med fjärråtkomst att köra kod med fullständig systemåtkomst. Det är oklart hur svårt de skulle vara att utnyttja.

Intel erbjuder ett detekteringsverktyg som du kan ladda ner och köra för att få reda på om datorns Intel ME är sårbar eller om den är fixad.

För att använda verktyget, ladda ner ZIP-filen för Windows, öppna den och dubbelklicka på "DiscoveryTool.GUI" -mappen. Dubbelklicka på filen "Intel-SA-00086-GUI.exe" för att köra den. Anslut dig till UAC-snabbmeddelandet och du kommer att få veta om din dator är sårbar eller inte.

RELATERAD: Vad är UEFI och hur skiljer det sig från BIOS?

Om din dator är sårbar kan du uppdatera bara Intel ME genom att uppdatera datorns UEFI-firmware. Din dators tillverkare måste förse dig med den här uppdateringen. Kontrollera sedan avsnittet Support på tillverkarens webbplats för att se om det finns några UEFI- eller BIOS-uppdateringar.

Intel tillhandahåller också en supportsida med länkar till information om uppdateringar som tillhandahålls av olika

AMD-system har något liknande AMD TrustZone, som körs på en dedikerad ARM-processor.

Bildkredit: Laura Houser.


Så här gör du Cortana som standardassistent på Android

Så här gör du Cortana som standardassistent på Android

Android-telefoner och -tabeller startar Google Assistant när du trycker länge på knappen Hem. Men du kan göra denna genvägssamling Cortana om du föredrar Microsofts assistent istället. Det här alternativet är lite dolt på Android 6.0 och senare. Det fungerar inte som det normala alternativet för att välja standardprogram, men det är tillgängligt i Android-inställningarna.

(how-top)

Hur bestämmer du tiden Det tar ett program att fullt lasta vid uppstart?

Hur bestämmer du tiden Det tar ett program att fullt lasta vid uppstart?

Det är få saker som är så frustrerande att du slår på datorn och tar det för evigt att ladda upp det helt, så hur kan du ta reda på vilka program som saktar ner allt? Med det här målet i åtanke har dagens SuperUser Q & A-post en enkel lösning för en nyfiken läsarens problem. Dagens Frågesvaringssession kommer till vår tjänst med SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser Frågan SuperUser-läsaren Sergey Larin vill veta hur man bestämmer hur mycket tid det tar för ett program att fullt ladda vid start: Det finns några program som startar automatiskt när jag startar min Windows 10 dator och jag skulle vilja förkorta den tid det tar för mitt system att ladda fullt och vara redo att använda.

(how-top)