A | B | C | D | E | F | G | H | CH | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9
Intel Management Engine (zkratka ME, též Intel Manageability Engine)[1][2] je subsystém obsažený od roku 2008 téměř ve všech čipových sadách společnosti Intel.[1][3][4] Na základní desce je umístěn v části Platform Controller Hub. ME umožňuje vzdálený přístup k počítači i bez toho, aby na něm byl nainstalovaný operační systém. V principu je to jakýsi vnitřní počítač běžící pod úrovní všeho.[5] Pod názvem Server Platform Services je používán v serverových čipsetech a pod názvem Trusted Execution Engine u mobilních zařízení s procesory Intel Atom.[6] Tyto systémy se od Intel Management Enginu mohou lišit poskytovanými funkcemi, ale v principu jsou všechny tři systémy totožné.[6]
Kromě lidí z firmy Intel a pravděpodobně i lidí z některých agentur, jako NSA nikdo neví, co Intel Management Engine umí a jak jsou jeho funkce reálně používány.[7] Intel Management systém má přístup k operační paměti počítače, k datům na discích, připojeným flash diskům, k přenosům po počítačové síti i zvukové kartě (tj. mikrofonu).[8]
Procesory AMD mají podobný systém AMD Platform Security Processor. Tato technologie by neměla být zaměňována s TPM čipy (Trusted Platform Module).
Historie
Intel Management Engine se poprvé objevil v severním můstku čipové sady 975× a od roku 2015 je součástí všech čipových sad Intel.[7]
Intel se prostřednictvím svého týmu inženýrů zajímal o MINIX 3.[7] Kromě technických dotazů se inženýři Intelu dotazovali autora MINIXu Andrewa Tanenbauma i na množství úprav MINIXu, např. na snížení paměťové náročnosti, přidání #ifdefs do částí kódu, aby byly označitelné v konfiguračních souborech.[7] Tyto úpravy se dostaly do kódu MINIXu 3. Po té Tanenbaumova spolupráce s Intelem na několik let ustala.[7] Později se ukázalo, že MINIX 3 byl využit jako operační systém v rámci 11. generace Intel Management Engine.[7]
Na jaře 2017 byla v Intel Management Engine u procesorů s technologií vPro objevena chyba, která počítače s těmito procesory vystavila nedetekovatelným útokům.[8] Tato chyba byla opravena až v listopadu 2017.[8] V době mezi nalezením chyby a opravením této chyby Intel prováděl analýzu, která měla odhalit i další případné chyby.[8] V Intel Management Engine, v Trusted Execution Engine a v Server Platform Services bylo nalezeno celkem osm chyb.[8] Tyto chyby mohly být tyto chyby využity k instalaci rootkitů, spuštění kódu nedetekovatelným způsobem a samotný Intel Management Engine bylo možné zneužít k lokálnímu i vzdálenému spuštění kódu pomocí přetečení bufferu.[8]
Electronic Frontier Foundation v roce 2017 označila Intel Management Engine jako bezpečností riziko a požádala o možnost ho vypnout.[9] Později v témže roce společnost Positive Technologies publikovala informaci, že Intel Management Engine lze vypnout změnou jediného bitu ve firmware, který tam byl přidán nejspíše na žádost NSA.[5]
V roce 2018 se zjistilo, že Apple v počítačích s procesory Intel ponechal u Management Engine zapnutý výrobní režim (Manufacturing Mode).[9]
Technická specifikace
Intel Management Engine 11
- procesorové jádro Intel Quark x86[7]
- operační systém MINIX 3[7]
- souborový systém Embedded Flash File System na oddílu typu SPI flash[7]
- vlastní IP adresa a MAC adresa a přímý přístup k rozhranní Ethernet[7]
- komunikace s počítačem, na kterém Intel Management Engine běží přes rozhraní PCI, v linuxu přístupném jako /dev/mei[7]
Pomocí změny hodnoty bitu, označovaného jako reserve_hap s popiskem High Assurance Platform (HAP) enable je možné Intel Management Engine přepnout do stavu, kdy po inicializaci počítače a předání řízení hlavnímu operačnímu systému se Intel Management Engine zcela vypne.[5]
Intel Management Engine má výrobní režim, který je určen ke konfiguraci nastavení v jednorázově programovatelné paměti a konfiguraci vyjmenovaných proměnných v SPI flash paměti a k testování platformy v průběhu výroby.[9] Výrobní režim je přístupný pouze pomocí nástroje obsaženého v programovém balíku Intel ME System Tools, který není dostupný veřejnosti.[9] Tento režim by tedy měl být ukončen (uzavřen) před dodáním zákazníkům. Výrobní režim a jeho možná rizika nejsou popsány ve veřejné dostupné dokumentaci Intelu.[9]
Bezpečnost
Intel Management Engine je kritizován Free Software Foundation kvůli tomu, že majitel počítače nemá kontrolu nad tím, co se v počítači děje.[10]
Společnost Intel se k bezpečnosti svého Management Engineu prostřednictvím svého mluvčího vyjádřil: „Protože je Intel Management Engine proprietární a Intel nesdílí jeho zdrojové kódy, je velmi bezpečný. Intel definoval sadu politik a procedur, spravovanou samostatným týmem, aby aktivně monitoroval zranitelnosti identifikované ve vydaných produktech a reagoval na ně. V případě Intel Management Engine existují mechanismy reagující na zranitelnosti, které by se mohly objevit.“[10]
Odkazy
Literatura
- FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.
- VÍTEK, Jan. Máme se bát "tajných" procesorů uvnitř CPU Intel?. Svět hardware . 16.6.2016. Dostupné online. ISSN 1213-0818.
Reference
- ↑ a b OSTER, Joseph E. Getting Started with Intel Active Management Technology (Intel AMT) . Intel, September 3, 2019 . Dostupné online.
- ↑ Intel AMT and the Intel ME . Intel. Dostupné v archivu pořízeném z originálu dne 21 February 2019.
- ↑ Frequently Asked Questions for the Intel Management Engine Verification Utility . Dostupné online.
- ↑ PORTNOY, Erica; ECKERSLEY, Peter. Intel's Management Engine is a security hazard, and users need a way to disable it . Electronic Frontier Foundation, May 8, 2017 . Dostupné online.
- ↑ a b c JEŽEK, David. Intel Management Engine jde vypnout díky zadním vrátkům NSA. diit.cz . 30. 8. 2017. Dostupné online. ISSN 1213-2225.
- ↑ a b FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.
- ↑ a b c d e f g h i j k JEŽEK, David. MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel. root.cz . 8. 11. 2017. Dostupné online. ISSN 1802-8012.
- ↑ a b c d e f VÍTEK, Jan. Intel konečně opravil závažné chyby v Management Engine. Svět hardware . 22.11.2017. Dostupné online. ISSN 1213-0818.
- ↑ a b c d e CLABURN, Thomas. Apple forgot to lock Intel Management Engine in laptops, so get patching. The Register . 3 Oct 2018 at 22:43. Dostupné online.
- ↑ a b JELÍNEK, Lukáš. Intel: Management Engine je uzavřený a proto bezpečný. Linuxexpres . Neděle, 19. červen 2016. Dostupné online. ISSN 1801-3996.
Text je dostupný za podmienok Creative Commons Attribution/Share-Alike License 3.0 Unported; prípadne za ďalších podmienok. Podrobnejšie informácie nájdete na stránke Podmienky použitia.
Antropológia
Aplikované vedy
Bibliometria
Dejiny vedy
Encyklopédie
Filozofia vedy
Forenzné vedy
Humanitné vedy
Knižničná veda
Kryogenika
Kryptológia
Kulturológia
Literárna veda
Medzidisciplinárne oblasti
Metódy kvantitatívnej analýzy
Metavedy
Metodika
Text je dostupný za podmienok Creative
Commons Attribution/Share-Alike License 3.0 Unported; prípadne za ďalších
podmienok.
Podrobnejšie informácie nájdete na stránke Podmienky
použitia.
www.astronomia.sk | www.biologia.sk | www.botanika.sk | www.dejiny.sk | www.economy.sk | www.elektrotechnika.sk | www.estetika.sk | www.farmakologia.sk | www.filozofia.sk | Fyzika | www.futurologia.sk | www.genetika.sk | www.chemia.sk | www.lingvistika.sk | www.politologia.sk | www.psychologia.sk | www.sexuologia.sk | www.sociologia.sk | www.veda.sk I www.zoologia.sk