Intel Management Engine

Intel Management Engine (zkratka ME, též Intel Manageability Engine)[1][2] je subsystém obsažený od roku 2008 téměř ve všech čipových sadách společnosti Intel.[1][3][4] Na základní desce je umístěn v části Platform Controller Hub. ME umožňuje vzdálený přístup k počítači i bez toho, aby na něm byl nainstalovaný operační systém. V principu je to jakýsi vnitřní počítač běžící pod úrovní všeho.[5] Pod názvem Server Platform Services je používán v serverových čipsetech a pod názvem Trusted Execution Engine u mobilních zařízení s procesory Intel Atom.[6] Tyto systémy se od Intel Management Enginu mohou lišit poskytovanými funkcemi, ale v principu jsou všechny tři systémy totožné.[6]

Kromě lidí z firmy Intel a pravděpodobně i lidí z některých agentur, jako NSA nikdo neví, co Intel Management Engine umí a jak jsou jeho funkce reálně používány.[7] Intel Management systém má přístup k operační paměti počítače, k datům na discích, připojeným flash diskům, k přenosům po počítačové síti i zvukové kartě (tj. mikrofonu).[8]

Procesory AMD mají podobný systém AMD Platform Security Processor. Tato technologie by neměla být zaměňována s TPM čipy (Trusted Platform Module).

Historie

Intel Management Engine se poprvé objevil v severním můstku čipové sady 975× a od roku 2015 je součástí všech čipových sad Intel.[7]

Intel se prostřednictvím svého týmu inženýrů zajímal o MINIX 3.[7] Kromě technických dotazů se inženýři Intelu dotazovali autora MINIXu Andrewa Tanenbauma i na množství úprav MINIXu, např. na snížení paměťové náročnosti, přidání #ifdefs do částí kódu, aby byly označitelné v konfiguračních souborech.[7] Tyto úpravy se dostaly do kódu MINIXu 3. Po té Tanenbaumova spolupráce s Intelem na několik let ustala.[7] Později se ukázalo, že MINIX 3 byl využit jako operační systém v rámci 11. generace Intel Management Engine.[7]

Na jaře 2017 byla v Intel Management Engine u procesorů s technologií vPro objevena chyba, která počítače s těmito procesory vystavila nedetekovatelným útokům.[8] Tato chyba byla opravena až v listopadu 2017.[8] V době mezi nalezením chyby a opravením této chyby Intel prováděl analýzu, která měla odhalit i další případné chyby.[8] V Intel Management Engine, v Trusted Execution Engine a v Server Platform Services bylo nalezeno celkem osm chyb.[8] Tyto chyby mohly být tyto chyby využity k instalaci rootkitů, spuštění kódu nedetekovatelným způsobem a samotný Intel Management Engine bylo možné zneužít k lokálnímu i vzdálenému spuštění kódu pomocí přetečení bufferu.[8]

Electronic Frontier Foundation v roce 2017 označila Intel Management Engine jako bezpečností riziko a požádala o možnost ho vypnout.[9] Později v témže roce společnost Positive Technologies publikovala informaci, že Intel Management Engine lze vypnout změnou jediného bitu ve firmware, který tam byl přidán nejspíše na žádost NSA.[5]

V roce 2018 se zjistilo, že Apple v počítačích s procesory Intel ponechal u Management Engine zapnutý výrobní režim (Manufacturing Mode).[9]

Technická specifikace

Intel Management Engine 11

  • procesorové jádro Intel Quark x86[7]
  • operační systém MINIX 3[7]
  • souborový systém Embedded Flash File System na oddílu typu SPI flash[7]
  • vlastní IP adresa a MAC adresa a přímý přístup k rozhranní Ethernet[7]
  • komunikace s počítačem, na kterém Intel Management Engine běží přes rozhraní PCI, v linuxu přístupném jako /dev/mei[7]

Pomocí změny hodnoty bitu, označovaného jako reserve_hap s popiskem High Assurance Platform (HAP) enable je možné Intel Management Engine přepnout do stavu, kdy po inicializaci počítače a předání řízení hlavnímu operačnímu systému se Intel Management Engine zcela vypne.[5]

Intel Management Engine má výrobní režim, který je určen ke konfiguraci nastavení v jednorázově programovatelné paměti a konfiguraci vyjmenovaných proměnných v SPI flash paměti a k testování platformy v průběhu výroby.[9] Výrobní režim je přístupný pouze pomocí nástroje obsaženého v programovém balíku Intel ME System Tools, který není dostupný veřejnosti.[9] Tento režim by tedy měl být ukončen (uzavřen) před dodáním zákazníkům. Výrobní režim a jeho možná rizika nejsou popsány ve veřejné dostupné dokumentaci Intelu.[9]

Bezpečnost

Intel Management Engine je kritizován Free Software Foundation kvůli tomu, že majitel počítače nemá kontrolu nad tím, co se v počítači děje.[10]

Společnost Intel se k bezpečnosti svého Management Engineu prostřednictvím svého mluvčího vyjádřil: Protože je Intel Management Engine proprietární a Intel nesdílí jeho zdrojové kódy, je velmi bezpečný. Intel definoval sadu politik a procedur, spravovanou samostatným týmem, aby aktivně monitoroval zranitelnosti identifikované ve vydaných produktech a reagoval na ně. V případě Intel Management Engine existují mechanismy reagující na zranitelnosti, které by se mohly objevit.[10]

Odkazy

Literatura

  • FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.
  • VÍTEK, Jan. Máme se bát "tajných" procesorů uvnitř CPU Intel?. Svět hardware [online]. 16.6.2016. Dostupné online. ISSN 1213-0818. 

Reference

  1. a b OSTER, Joseph E. Getting Started with Intel Active Management Technology (Intel AMT) [online]. Intel, September 3, 2019 [cit. 2020-09-22]. Dostupné online. (anglicky) 
  2. Intel AMT and the Intel ME [online]. Intel. Dostupné v archivu pořízeném z originálu dne 21 February 2019. (anglicky) 
  3. Frequently Asked Questions for the Intel Management Engine Verification Utility [online]. Dostupné online. (anglicky) 
  4. PORTNOY, Erica; ECKERSLEY, Peter. Intel's Management Engine is a security hazard, and users need a way to disable it [online]. Electronic Frontier Foundation, May 8, 2017 [cit. 2020-02-21]. Dostupné online. (anglicky) 
  5. a b c JEŽEK, David. Intel Management Engine jde vypnout díky zadním vrátkům NSA. diit.cz [online]. 30. 8. 2017. Dostupné online. ISSN 1213-2225. 
  6. a b FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.
  7. a b c d e f g h i j k JEŽEK, David. MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel. root.cz [online]. 8. 11. 2017. Dostupné online. ISSN 1802-8012. 
  8. a b c d e f VÍTEK, Jan. Intel konečně opravil závažné chyby v Management Engine. Svět hardware [online]. 22.11.2017. Dostupné online. ISSN 1213-0818. 
  9. a b c d e CLABURN, Thomas. Apple forgot to lock Intel Management Engine in laptops, so get patching. The Register [online]. 3 Oct 2018 at 22:43. Dostupné online. 
  10. a b JELÍNEK, Lukáš. Intel: Management Engine je uzavřený a proto bezpečný. Linuxexpres [online]. Neděle, 19. červen 2016. Dostupné online. ISSN 1801-3996.