Intel Management Engine, spiegato: il minuscolo computer all'interno della CPU

Intel Management Engine è stato incluso nei chipset Intel dal 2008. È fondamentalmente un minuscolo computer all'interno di un computer, con pieno accesso alla memoria, al display, alla rete e ai dispositivi di input del PC. Funziona con codice scritto da Intel e Intel non ha condiviso molte informazioni sul suo funzionamento interno.

Questo software, chiamato anche Intel ME, è apparso nelle notizie a causa dei buchi di sicurezza che Intel ha annunciato il 20 novembre 2017. È necessario applicare una patch al sistema se è vulnerabile. L'accesso profondo al sistema di questo software e la presenza su ogni sistema moderno con un processore Intel significa che è un bersaglio succoso per gli aggressori.

Cos'è Intel ME?

Allora, qual è l'Intel Management Engine, comunque? Intel fornisce alcune informazioni generali, ma evita di spiegare la maggior parte delle attività specifiche eseguite da Intel Management Engine e come funziona con precisione.

Come afferma Intel, il Management Engine è "un piccolo sottosistema di computer a basso consumo". “Esegue varie attività mentre il sistema è in stato di stop, durante il processo di avvio e quando il sistema è in esecuzione”.

In altre parole, si tratta di un sistema operativo parallelo in esecuzione su un chip isolato, ma con accesso all'hardware del PC. Funziona quando il computer è addormentato, durante l'avvio e mentre il sistema operativo è in esecuzione. Ha pieno accesso all'hardware di sistema, inclusa la memoria di sistema, il contenuto del display, l'input da tastiera e persino la rete.

Ora sappiamo che Intel Management Engine esegue un sistema operativo MINIX. Oltre a ciò, il software preciso che viene eseguito all'interno di Intel Management Engine è sconosciuto. È una piccola scatola nera e solo Intel sa esattamente cosa c'è dentro.

Che cos'è la tecnologia Intel Active Management (AMT)?

Oltre a varie funzioni di basso livello, Intel Management Engine include la tecnologia Intel Active Management. AMT è una soluzione di gestione remota per server, desktop, laptop e tablet con processori Intel. È destinato alle grandi organizzazioni, non agli utenti domestici. Non è abilitato per impostazione predefinita, quindi non è realmente una "backdoor", come alcune persone l'hanno chiamata.

AMT può essere utilizzato per accendere, configurare, controllare o cancellare in remoto i computer con processori Intel. A differenza delle soluzioni di gestione tipiche, funziona anche se il computer non esegue un sistema operativo. Intel AMT viene eseguito come parte di Intel Management Engine, quindi le organizzazioni possono gestire in remoto i sistemi senza un sistema operativo Windows funzionante.

Nel maggio 2017, Intel ha annunciato un exploit remoto in AMT che avrebbe consentito agli aggressori di accedere ad AMT su un computer senza fornire la password necessaria. Tuttavia, ciò interesserebbe solo le persone che hanno fatto di tutto per abilitare Intel AMT, che, ancora una volta, non è la maggior parte degli utenti domestici. Solo le organizzazioni che utilizzavano AMT dovevano preoccuparsi di questo problema e aggiornare il firmware dei loro computer.

Questa funzione è solo per i PC. Sebbene i moderni Mac con CPU Intel abbiano anche Intel ME, non includono Intel AMT.

Puoi disabilitarlo?

Non puoi disabilitare Intel ME. Anche se si disabilitano le funzionalità Intel AMT nel BIOS del sistema, il coprocessore Intel ME e il software sono ancora attivi e in esecuzione. A questo punto, è incluso su tutti i sistemi con CPU Intel e Intel non fornisce alcun modo per disabilitarlo.

Sebbene Intel non fornisca alcun modo per disabilitare Intel ME, altre persone hanno provato a disabilitarlo. Tuttavia, non è così semplice come premere un interruttore. Gli hacker intraprendenti sono riusciti a disabilitare Intel ME con un certo sforzo e Purism ora offre laptop (basati su hardware Intel meno recenti) con Intel Management Engine disabilitato per impostazione predefinita. Intel probabilmente non è soddisfatta di questi sforzi e renderà ancora più difficile disabilitare Intel ME in futuro.

Ma, per l'utente medio, disabilitare Intel ME è praticamente impossibile, e questo è previsto.

Perché la segretezza?

Intel non vuole che i suoi concorrenti conoscano il funzionamento esatto del software Management Engine. Anche in questo caso Intel sembra abbracciare la "sicurezza tramite oscurità", cercando di rendere più difficile per gli aggressori apprendere e trovare falle nel software Intel ME. Tuttavia, come hanno dimostrato le recenti falle di sicurezza, la sicurezza per oscurità non è una soluzione garantita.

Non si tratta di alcun tipo di software di spionaggio o monitoraggio, a meno che un'organizzazione non abbia abilitato AMT e lo utilizzi per monitorare i propri PC. Se il Management Engine di Intel avesse contattato la rete in altre situazioni, probabilmente ne avremmo sentito parlare grazie a strumenti come Wireshark, che consentono alle persone di monitorare il traffico su una rete.

Tuttavia, la presenza di software come Intel ME che non può essere disabilitato ed è closed source è sicuramente un problema di sicurezza. È un'altra strada per l'attacco e abbiamo già visto falle nella sicurezza in Intel ME.

L'Intel ME del tuo computer è vulnerabile?

Il 20 novembre 2017, Intel ha annunciato gravi falle di sicurezza in Intel ME che erano state scoperte da ricercatori di sicurezza di terze parti. Questi includono sia difetti che consentirebbero a un utente malintenzionato con accesso locale di eseguire codice con accesso completo al sistema, sia attacchi remoti che consentirebbero agli aggressori con accesso remoto di eseguire codice con accesso completo al sistema. Non è chiaro quanto sarebbe difficile sfruttarli.

Intel offre uno strumento di rilevamento che puoi scaricare ed eseguire per scoprire se Intel ME del tuo computer è vulnerabile o se è stato risolto.

Per utilizzare lo strumento, scaricare il file ZIP per Windows, aprirlo e fare doppio clic sulla cartella "DiscoveryTool.GUI". Fare doppio clic sul file "Intel-SA-00086-GUI.exe" per eseguirlo. Accetta il prompt UAC e ti verrà detto se il tuo PC è vulnerabile o meno.

CORRELATO: Che cos'è UEFI e in che modo è diverso dal BIOS?

Se il tuo PC è vulnerabile, puoi aggiornare Intel ME solo aggiornando il firmware UEFI del tuo computer. Il produttore del computer deve fornirti questo aggiornamento, quindi controlla la sezione Supporto del sito Web del produttore per vedere se sono disponibili aggiornamenti UEFI o BIOS.

Intel fornisce anche una pagina di supporto con collegamenti alle informazioni sugli aggiornamenti forniti da diversi produttori di PC e la mantiene aggiornata man mano che i produttori rilasciano informazioni di supporto.

I sistemi AMD hanno qualcosa di simile chiamato AMD TrustZone, che gira su un processore ARM dedicato.

Credito immagine: Laura Houser.