Intel Management Engine

ME інколи називають «кільце -3», підкреслюючи його вищу привілейованість ніж режим SMM (кільце -2) і гіпервізор (кільце -1). Всі ці режими працюють з вищим рівнем привілеїв, ніж ядро операційної системи (кільце 0).

Intel Management Engine (ME) (також англ. Manageability Engine[1][2]) — автономна підсистема, що присутня практично у всіх чипсетах для мікропроцесорів фірми Intel, починаючи з 2008 року.[3][4][1]

Підсистема складається з пропрієтарного програмного забезпечення, яке базується на операційній системі MINIX, яке працює на окремому мікропроцесорі, і виконує специфічні задачі під час початкової ініціалізації системи, під час нормальної роботи, і навіть коли комп'ютер знаходиться в режимі гібернації.[5] Більш того, процесор ME залишається увімкненим навіть тоді, коли на систему просто подається живлення (з блока живлення чи акумулятора).[6] За твердженням Intel, ME потрібна для досягнення максимальної швидкодії системи.[7]

Як саме працює система ME залишається повністю невідомим,[8][9] і її бінарний код підданий обфускації за допомогою секретних кодів Гаффмана, таблиці з якими зберігаються напряму у мікросхемі (таким чином firmware не містить ніяких модулів для декодування — все відбувається на апаратному рівні).[10] Головний конкурент Intel, компанія AMD, реалізувала схожу технологію AMD Secure Technology (раніше називалася англ. Platform Security Processor) у практично всіх своїх процесорах, починаючи з 2013 року.[11]

ME часто плутають з Active Management Technology, що базується на ME, але доступна лише на процесорах з технологією Intel vPro. AMT дозволяє віддалене адміністрування комп'ютера,[12] наприклад, вмикання-вимикання або перевстановлення операційної системи. AMT можливо вимкнути, але станом на березень 2018 року не існує офіційного і документованого шляху вимкнути ME.

Організація Electronic Frontier Foundation (EFF) і експерт з безпеки Damien Zammit стверджують, що ME є не чим іншим, як бекдором, і становить пряму загрозу приватності користувачів комп'ютера.[13][4] За словами Замміта, ME має повний доступ до всієї пам'яті машини (головному процесорові ЕОМ про цей доступ нічого не відомо); і може зчитувати чи надсилати будь-який пакет, що передається по мережних інтерфейсах, без жодного відома операційної системи.[12] Натомість Intel стверджує, що «не вставляє бекдори у свої продукти» і що її продукція «не дає фірмі Intel контроль чи доступ до комп'ютерних систем без явного дозволу кінцевого користувача».[12][14]

У ME було знайдено кілька слабких місць. 1 травня 2017 року Intel підтвердила баг SA-00075 (Remote Elevation of Privilege bug) у технології ME.[15] У кожній платформі Intel з ME, AMT або Small Business Technology, починаючи з Nehalem (2008) до Kaby Lake (2017), присутній експлойт, який можна активувати віддалено через ME.[16][17]

Див. також

[ред. | ред. код]

Примітки

[ред. | ред. код]
  1. а б Getting Started with Intel® Active Management Technology (AMT). Intel. Архів оригіналу за 5 серпня 2016. Процитовано 8 березня 2018.
  2. Intel® AMT and the Intel® ME. Intel. Архів оригіналу за 21 лютого 2019. Процитовано 8 березня 2018.
  3. Frequently Asked Questions for the Intel® Management Engine Verification Utility. Архів оригіналу за 8 листопада 2017. Процитовано 8 березня 2018. Built into many Intel® Chipset–based platforms is a small, low-power computer subsystem called the Intel® Management Engine (Intel® ME).
  4. а б Portnoy, Erica; Eckersley, Peter (8 травня 2017). Intel's Management Engine is a security hazard, and users need a way to disable it. Архів оригіналу за 6 березня 2018. Процитовано 8 березня 2018.
  5. Frequently Asked Questions for the Intel® Management Engine Verification Utility. Архів оригіналу за 8 листопада 2017. Процитовано 8 березня 2018. The Intel® ME performs various tasks while the system is in sleep, during the boot process, and when your system is running.
  6. Архівована копія. Архів оригіналу за 19 серпня 2020. Процитовано 8 березня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  7. Frequently Asked Questions for the Intel® Management Engine Verification Utility. Архів оригіналу за 8 листопада 2017. Процитовано 8 березня 2018. This subsystem must function correctly to get the most performance and capability from your PC.
  8. Архівована копія. Архів оригіналу за 12 вересня 2020. Процитовано 8 березня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  9. Архівована копія. Архів оригіналу за 6 березня 2018. Процитовано 8 березня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  10. Архівована копія. Архів оригіналу за 1 серпня 2020. Процитовано 8 березня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  11. Архівована копія. Архів оригіналу за 21 січня 2021. Процитовано 8 березня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)
  12. а б в Wallen, Jack (1 липня 2016). Is the Intel Management Engine a backdoor?. Архів оригіналу за 2 липня 2016. Процитовано 8 березня 2018.
  13. Intel x86 CPUs Come with a Secret Backdoor That Nobody Can Touch or Disable. Архів оригіналу за 3 січня 2020. Процитовано 26 січня 2020.(англ.) Наведено за англійською вікіпедією.
  14. https://www.theregister.co.uk/2017/08/29/intel_management_engine_can_be_disabled/ [Архівовано 17 квітня 2020 у Wayback Machine.](англ.) Наведено за англійською вікіпедією.
  15. Intel® Product Security Center. Security-center.intel.com. Архів оригіналу за 6 червня 2017. Процитовано 7 травня 2017.
  16. Charlie Demerjian (1 травня 2017). Remote security exploit in all 2008+ Intel platforms. SemiAccurate. Архів оригіналу за 1 травня 2017. Процитовано 7 травня 2017.
  17. Red alert! Intel patches remote execution hole that's been hidden in chips since 2010. Theregister.co.uk. Архів оригіналу за 1 травня 2017. Процитовано 7 травня 2017.


{{{alt}}} Це незавершена стаття про апаратне забезпечення.
Ви можете допомогти проєкту, виправивши або дописавши її.