Intel Management Engine

Intel Management Engine (zkratka ME, též Intel Manageability Engine)^[1]^[2] je subsystém obsažený od roku 2008 téměř ve všech čipových sadách společnosti Intel.^[1]^[3]^[4] Na základní desce je umístěn v části Platform Controller Hub. ME umožňuje vzdálený přístup k počítači i bez toho, aby na něm byl nainstalovaný operační systém. V principu je to jakýsi vnitřní počítač běžící pod úrovní všeho.^[5] Pod názvem Server Platform Services je používán v serverových čipsetech a pod názvem Trusted Execution Engine u mobilních zařízení s procesory Intel Atom.^[6] Tyto systémy se od Intel Management Enginu mohou lišit poskytovanými funkcemi, ale v principu jsou všechny tři systémy totožné.^[6]

Kromě lidí z firmy Intel a pravděpodobně i lidí z některých agentur, jako NSA nikdo neví, co Intel Management Engine umí a jak jsou jeho funkce reálně používány.^[7] Intel Management systém má přístup k operační paměti počítače, k datům na discích, připojeným flash diskům, k přenosům po počítačové síti i zvukové kartě (tj. mikrofonu).^[8]

Procesory AMD mají podobný systém AMD Platform Security Processor. Tato technologie by neměla být zaměňována s TPM čipy (Trusted Platform Module).

Historie[editovat | editovat zdroj]

Intel Management Engine se poprvé objevil v severním můstku čipové sady 975× a od roku 2015 je součástí všech čipových sad Intel.^[7]

Intel se prostřednictvím svého týmu inženýrů zajímal o MINIX 3.^[7] Kromě technických dotazů se inženýři Intelu dotazovali autora MINIXu Andrewa Tanenbauma i na množství úprav MINIXu, např. na snížení paměťové náročnosti, přidání #ifdefs do částí kódu, aby byly označitelné v konfiguračních souborech.^[7] Tyto úpravy se dostaly do kódu MINIXu 3. Po té Tanenbaumova spolupráce s Intelem na několik let ustala.^[7] Později se ukázalo, že MINIX 3 byl využit jako operační systém v rámci 11. generace Intel Management Engine.^[7]

Na jaře 2017 byla v Intel Management Engine u procesorů s technologií vPro objevena chyba, která počítače s těmito procesory vystavila nedetekovatelným útokům.^[8] Tato chyba byla opravena až v listopadu 2017.^[8] V době mezi nalezením chyby a opravením této chyby Intel prováděl analýzu, která měla odhalit i další případné chyby.^[8] V Intel Management Engine, v Trusted Execution Engine a v Server Platform Services bylo nalezeno celkem osm chyb.^[8] Tyto chyby mohly být tyto chyby využity k instalaci rootkitů, spuštění kódu nedetekovatelným způsobem a samotný Intel Management Engine bylo možné zneužít k lokálnímu i vzdálenému spuštění kódu pomocí přetečení bufferu.^[8]

Electronic Frontier Foundation v roce 2017 označila Intel Management Engine jako bezpečností riziko a požádala o možnost ho vypnout.^[9] Později v témže roce společnost Positive Technologies publikovala informaci, že Intel Management Engine lze vypnout změnou jediného bitu ve firmware, který tam byl přidán nejspíše na žádost NSA.^[5]

V roce 2018 se zjistilo, že Apple v počítačích s procesory Intel ponechal u Management Engine zapnutý výrobní režim (Manufacturing Mode).^[9]

Technická specifikace[editovat | editovat zdroj]

Intel Management Engine 11[editovat | editovat zdroj]

procesorové jádro Intel Quark x86^[7]
operační systém MINIX 3^[7]
souborový systém Embedded Flash File System na oddílu typu SPI flash^[7]
vlastní IP adresa a MAC adresa a přímý přístup k rozhranní Ethernet^[7]
komunikace s počítačem, na kterém Intel Management Engine běží přes rozhraní PCI, v linuxu přístupném jako /dev/mei^[7]

Pomocí změny hodnoty bitu, označovaného jako reserve_hap s popiskem High Assurance Platform (HAP) enable je možné Intel Management Engine přepnout do stavu, kdy po inicializaci počítače a předání řízení hlavnímu operačnímu systému se Intel Management Engine zcela vypne.^[5]

Intel Management Engine má výrobní režim, který je určen ke konfiguraci nastavení v jednorázově programovatelné paměti a konfiguraci vyjmenovaných proměnných v SPI flash paměti a k testování platformy v průběhu výroby.^[9] Výrobní režim je přístupný pouze pomocí nástroje obsaženého v programovém balíku Intel ME System Tools, který není dostupný veřejnosti.^[9] Tento režim by tedy měl být ukončen (uzavřen) před dodáním zákazníkům. Výrobní režim a jeho možná rizika nejsou popsány ve veřejné dostupné dokumentaci Intelu.^[9]

Bezpečnost[editovat | editovat zdroj]

Intel Management Engine je kritizován Free Software Foundation kvůli tomu, že majitel počítače nemá kontrolu nad tím, co se v počítači děje.^[10]

Společnost Intel se k bezpečnosti svého Management Engineu prostřednictvím svého mluvčího vyjádřil: „Protože je Intel Management Engine proprietární a Intel nesdílí jeho zdrojové kódy, je velmi bezpečný. Intel definoval sadu politik a procedur, spravovanou samostatným týmem, aby aktivně monitoroval zranitelnosti identifikované ve vydaných produktech a reagoval na ně. V případě Intel Management Engine existují mechanismy reagující na zranitelnosti, které by se mohly objevit.“^[10]

Odkazy[editovat | editovat zdroj]

Literatura[editovat | editovat zdroj]

FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.
VÍTEK, Jan. Máme se bát "tajných" procesorů uvnitř CPU Intel?. Svět hardware [online]. 16.6.2016. Dostupné online. ISSN 1213-0818.

Reference[editovat | editovat zdroj]

↑ ^a ^b OSTER, Joseph E. Getting Started with Intel Active Management Technology (Intel AMT) [online]. Intel, September 3, 2019 [cit. 2020-09-22]. Dostupné online.
↑ Intel AMT and the Intel ME [online]. Intel. Dostupné v archivu pořízeném z originálu dne 21 February 2019.
↑ Frequently Asked Questions for the Intel Management Engine Verification Utility [online]. Dostupné online.
↑ PORTNOY, Erica; ECKERSLEY, Peter. Intel's Management Engine is a security hazard, and users need a way to disable it [online]. Electronic Frontier Foundation, May 8, 2017 [cit. 2020-02-21]. Dostupné online.
↑ ^a ^b ^c JEŽEK, David. Intel Management Engine jde vypnout díky zadním vrátkům NSA. diit.cz [online]. 30. 8. 2017. Dostupné online. ISSN 1213-2225.
↑ ^a ^b FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.
↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k JEŽEK, David. MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel. root.cz [online]. 8. 11. 2017. Dostupné online. ISSN 1802-8012.
↑ ^a ^b ^c ^d ^e ^f VÍTEK, Jan. Intel konečně opravil závažné chyby v Management Engine. Svět hardware [online]. 22.11.2017. Dostupné online. ISSN 1213-0818.
↑ ^a ^b ^c ^d ^e CLABURN, Thomas. Apple forgot to lock Intel Management Engine in laptops, so get patching. The Register [online]. 3 Oct 2018 at 22:43. Dostupné online.
↑ ^a ^b JELÍNEK, Lukáš. Intel: Management Engine je uzavřený a proto bezpečný. Linuxexpres [online]. Neděle, 19. červen 2016. Dostupné online. ISSN 1801-3996.

[intelamt-1] OSTER, Joseph E. Getting Started with Intel Active Management Technology (Intel AMT) [online]. Intel, September 3, 2019 [cit. 2020-09-22]. Dostupné online.

[intel-amt-me-2] Intel AMT and the Intel ME [online]. Intel. Dostupné v archivu pořízeném z originálu dne 21 February 2019.

[3] Frequently Asked Questions for the Intel Management Engine Verification Utility [online]. Dostupné online.

[eff1-4] PORTNOY, Erica; ECKERSLEY, Peter. Intel's Management Engine is a security hazard, and users need a way to disable it [online]. Electronic Frontier Foundation, May 8, 2017 [cit. 2020-02-21]. Dostupné online.

[diit.cz/clanek/intel-management-engine-jde-vypnout-diky-zadnim-vratkum-nsa-5] JEŽEK, David. Intel Management Engine jde vypnout díky zadním vrátkům NSA. diit.cz [online]. 30. 8. 2017. Dostupné online. ISSN 1213-2225.

[Bezpečnostní_aspekty_Intel_Management_Engine-6] FUNTÁN, Michal. Bezpečnostní aspekty Intel Management Engine. Praha, 2019. magisterská práce. České vysoké učení technické v Praze, Fakulta informačních technologií. Vedoucí práce Ing. Josef Kokeš. Dostupné online.

[root.cz/clanky/minix-je-zrejme-nejrozsirenejsim-systemem-je-ukryty-v-procesorech-intel-7] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k JEŽEK, David. MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel. root.cz [online]. 8. 11. 2017. Dostupné online. ISSN 1802-8012.

[svethardware.cz/intel-konecne-opravil-zavazne-chyby-v-management-engine/45558-8] ↑ ^a ^b ^c ^d ^e ^f VÍTEK, Jan. Intel konečně opravil závažné chyby v Management Engine. Svět hardware [online]. 22.11.2017. Dostupné online. ISSN 1213-0818.

[theregister.co.uk/2018/10/03/intel_management_engine_hole-9] CLABURN, Thomas. Apple forgot to lock Intel Management Engine in laptops, so get patching. The Register [online]. 3 Oct 2018 at 22:43. Dostupné online.

[linuxexpres.cz/novinky/intel-management-engine-je-uzavreny-a-proto-bezpecny-10] JELÍNEK, Lukáš. Intel: Management Engine je uzavřený a proto bezpečný. Linuxexpres [online]. Neděle, 19. červen 2016. Dostupné online. ISSN 1801-3996.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]