Intel Management Engine, explicat: l’ordinador petit dins de la vostra CPU
L’Intel Management Engine s’inclou als chipsets Intel des del 2008. Bàsicament és un petit equip dins d’un ordinador, amb accés complet a la memòria, la pantalla, la xarxa i els dispositius d’entrada del vostre PC. Executa un codi escrit per Intel i Intel no ha compartit molta informació sobre el seu funcionament intern.
Aquest programari, també anomenat Intel ME, ha aparegut a les notícies a causa dels forats de seguretat que Intel va anunciar el 20 de novembre de 2017. Si heu vulnerat, hauríeu de corregir el sistema. L’accés profund al sistema i la presència d’aquest programari a tots els sistemes moderns amb processador Intel significa que és un objectiu sucós per als atacants.
Què és Intel ME?
Llavors, què és el motor de gestió Intel? Intel proporciona informació general, però eviten explicar la majoria de les tasques específiques que realitza Intel Management Engine i el seu funcionament amb precisió.
Tal com diu Intel, el motor de gestió és "un subsistema informàtic de poca potència". "Realitza diverses tasques mentre el sistema està inactiu, durant el procés d'arrencada i quan el sistema s'executa".
Dit d’una altra manera, es tracta d’un sistema operatiu paral·lel que s’executa en un xip aïllat, però amb accés al maquinari del vostre PC. S’executa quan l’ordinador dorm, mentre s’inicia i mentre el sistema operatiu s’executa. Té accés complet al maquinari del sistema, inclosa la memòria del sistema, el contingut de la pantalla, l'entrada del teclat i fins i tot la xarxa.
Ara sabem que Intel Management Engine utilitza un sistema operatiu MINIX. Més enllà d’això, es desconeix el programari precís que s’executa a l’Intel Management Engine. És una petita caixa negra i només Intel sap exactament el que hi ha a dins.
Què és la tecnologia de gestió activa Intel (AMT)?
A part de diverses funcions de baix nivell, el motor de gestió Intel inclou la tecnologia de gestió activa Intel. AMT és una solució de gestió remota per a servidors, ordinadors de sobretaula, portàtils i tauletes amb processadors Intel. Està pensat per a organitzacions grans, no per a usuaris domèstics. No està habilitat per defecte, de manera que en realitat no és una "porta posterior", com algunes persones l'han anomenat.
AMT es pot utilitzar per encendre, configurar, controlar o netejar ordinadors de manera remota amb processadors Intel. A diferència de les solucions de gestió habituals, això funciona fins i tot si l’ordinador no funciona amb un sistema operatiu. Intel AMT s’executa com a part del motor de gestió Intel, de manera que les organitzacions poden gestionar sistemes de forma remota sense un sistema operatiu Windows que funcioni.
Al maig de 2017, Intel va anunciar una explotació remota a AMT que permetria als atacants accedir a AMT en un ordinador sense proporcionar la contrasenya necessària. Tanmateix, això només afectaria les persones que van fer tot el possible per habilitar Intel AMT, que, de nou, no és la majoria dels usuaris domèstics. Només les organitzacions que utilitzaven AMT necessitaven preocupar-se per aquest problema i actualitzar el microprogramari dels seus equips.
Aquesta característica és només per a ordinadors. Tot i que els Mac moderns amb CPU Intel també tenen Intel ME, no inclouen Intel AMT.
El podeu desactivar?
No podeu desactivar Intel ME. Fins i tot si desactiveu les funcions Intel AMT a la BIOS del vostre sistema, el coprocessador i el programari Intel ME encara estan actius i en execució. En aquest moment, s’inclou a tots els sistemes amb CPU Intel i Intel no proporciona cap manera de desactivar-lo.
Tot i que Intel no ofereix cap manera de desactivar Intel ME, altres persones han experimentat amb la seva desactivació. Tanmateix, no és tan senzill com prémer un interruptor. Els hackers emprenedors han aconseguit desactivar l’Intel ME amb força esforç i ara Purism ofereix ordinadors portàtils (basats en maquinari Intel anterior) amb el motor de gestió Intel desactivat per defecte. Probablement Intel no estigui satisfet amb aquests esforços i farà que sigui encara més difícil desactivar Intel ME en el futur.
Però, per a l’usuari mitjà, desactivar l’Intel ME és bàsicament impossible, i això és pel disseny.
Per què el secret?
Intel no vol que els seus competidors coneguin el funcionament exacte del programari Management Engine. Intel també sembla que acull aquí la "seguretat per la foscor", intentant que sigui més difícil per als atacants conèixer i trobar forats al programari Intel ME. Tanmateix, com han demostrat els recents forats de seguretat, la seguretat per la foscor no és una solució garantida.
No es tracta de cap tipus de programari d’espionatge ni de supervisió, tret que una organització hagi activat AMT i l’utilitzi per supervisar els seus propis ordinadors. Si el motor de gestió d’Intel es posés en contacte amb la xarxa en altres situacions, probablement n’hauríem sentit a parlar gràcies a eines com Wireshark, que permeten supervisar el trànsit d’una xarxa.
Tot i això, la presència de programari com Intel ME que no es pot desactivar i que és de font tancada és sens dubte un problema de seguretat. És una altra via d’atac i ja hem vist forats de seguretat a Intel ME.
L’Intel ME del vostre ordinador és vulnerable?
El 20 de novembre de 2017, Intel va anunciar greus forats de seguretat a Intel ME que havien estat descoberts per investigadors de seguretat de tercers. Aquests inclouen tant defectes que permetrien a un atacant amb accés local executar codi amb accés complet al sistema, com atacs remots que permetrien als atacants amb accés remot executar codi amb accés complet al sistema. No està clar fins a quin punt serien difícils d’explotar.
Intel ofereix una eina de detecció que podeu baixar i executar per esbrinar si l’Intel ME de l’ordinador és vulnerable o si s’ha solucionat.
Per utilitzar l'eina, descarregueu el fitxer ZIP per a Windows, obriu-lo i feu doble clic a la carpeta "DiscoveryTool.GUI". Feu doble clic al fitxer "Intel-SA-00086-GUI.exe" per executar-lo. Accepteu la sol·licitud de la UAC i se us indicarà si el vostre PC és vulnerable o no.
RELACIONATS:Què és UEFI i en què es diferencia de la BIOS?
Si el vostre PC és vulnerable, només podeu actualitzar l’Intel ME actualitzant el firmware UEFI de l’ordinador. El fabricant de l’ordinador us ha de proporcionar aquesta actualització, així que consulteu la secció d’assistència del lloc web del fabricant per veure si hi ha actualitzacions de UEFI o BIOS disponibles.
Intel també proporciona una pàgina d'assistència amb enllaços a informació sobre les actualitzacions proporcionades per diferents fabricants de PC i la mantenen actualitzada a mesura que els fabricants publiquen informació d'assistència.
Els sistemes AMD tenen una cosa similar anomenada AMD TrustZone, que funciona amb un processador ARM dedicat.
Crèdit de la imatge: Laura Houser.