Intel Management Engine (IME) - таинственная технология, о которой мало кто знает, но которая установлена практически на каждом современном компьютере. Давайте разберемся, что это такое, для чего нужно и стоит ли беспокоиться по поводу безопасности и конфиденциальности.
Что такое Intel Management Engine
Intel Management Engine (IME) - это встроенная в чипсеты Intel подсистема, ориентированная на решение различных задач, связанных с мониторингом и обслуживанием компьютера.
Основным компонентом IME является отдельный микроконтроллер с собственным процессором, памятью и микропрограммным обеспечением. Этот контроллер интегрирован в Platform Controller Hub (PCH) - чип, отвечающий за взаимодействие процессора с внешними устройствами.
Благодаря такой архитектуре, IME работает автономно от центрального процессора и операционной системы компьютера, имеет прямой доступ к памяти, сети и периферийным устройствам на самом низком уровне.
Подсистема IME включена постоянно - как только на материнскую плату подается питание. Даже когда компьютер выключен, IME продолжает функционировать.
В качестве операционной системы для своего микроконтроллера Intel использует специальную прошивку, основанную на MINIX - компактной Unix-подобной ОС. Исходный код этого ПО закрыт и недоступен для изучения.
История создания
Впервые технология под названием Intel Management Engine появилась в 2006 году в чипсетах для платформ Intel vPro. Изначально микроконтроллер размещался в северном мосту чипсета.
Начиная с 2010 года, после изменения архитектуры чипсетов, IME стали интегрировать непосредственно в Platform Controller Hub.
Параллельно с Management Engine развивалась технология Intel Active Management Technology (AMT), ориентированная на удаленное администрирование компьютеров. AMT базируется на функциях IME.
Основные функции Intel Management Engine
Подсистема Intel Management Engine выполняет ряд важных системных функций "за кадром", незаметно для пользователя.
Инициализация и мониторинг аппаратуры
IME играет ключевую роль на этапе загрузки и тестирования оборудования при включении компьютера - до запуска операционной системы. Она проверяет работоспособность различных компонентов и сообщает об ошибках.
Также в процессе работы ПК подсистема IME отслеживает температуру, обороты кулеров и другие показатели, чтобы своевременно реагировать на критические ситуации.
Управление электропитанием и производительностью
IME координирует переход в различные энергосберегающие режимы - при простое, в спящем режиме и т.д. Она отвечает за корректное выключение/перезагрузку компьютера.
Кроме того, с помощью Intel Management Engine можно динамически разгонять или занижать тактовую частоту процессора и других компонентов в зависимости от нагрузки. Это позволяет оптимизировать производительность и энергопотребление.
Технологии на базе Intel Management Engine
На функциональности IME основан целый ряд решений Intel для корпоративного рынка:
- Intel Active Management Technology (AMT) - позволяет удаленно администрировать компьютер, устанавливать ОС, диагностировать неисправности;
- Intel Anti-Theft (AT) - защищает ноутбуки от кражи, блокируя его при обнаружении подозрительной активности;
- Intel Small Business Technology (SBT) - урезанная бесплатная версия AMT для малого бизнеса.
Взаимодействие с операционными системами
Чтобы ОС могли взаимодействовать с аппаратурой через PCH, для IME предусмотрен специальный драйвер. В Windows этот драйвер называется "Intel Management Engine Interface", в Linux - "Intel MEI".
Без установки драйвера подсистема ME недоступна для мониторинга и управления со стороны OS. Кроме того, могут возникнуть проблемы совместимости и производительности.
Однако отсутствие драйвера не отключает полностью функции IME, поскольку микроконтроллер продолжает работать автономно.
Безопасность и конфиденциальность данных при использовании Intel Management Engine
Уникальные возможности подсистемы Intel Management Engine вызывают опасения у некоторых экспертов по безопасности и правозащитников.
Главные претензии сводятся к тому, что функционирование закрытого "черного ящика" с повышенными привилегиями внутри ПК потенциально уязвимо для злоумышленников.
Подсистема Intel ME защищена. Основные принципы этой защиты:
- Защищенная загрузка (Secure Boot)
- Зашифрованная память и прошивка
- Ограниченные интерфейсы и специальные доступы (в том числе для гос. органов)
Тем не менее, исследователи неоднократно находили способы обойти защиту Intel ME.
Обнаруженные уязвимости и эксплойты
В мае 2017 года эксперты обнаружили критическую уязвимость в Intel AMT, позволяющую получить удаленный доступ к компьютеру менее чем за 30 секунд.
Эта уязвимость получила название Silent Bob is Silent и затронула миллионы устройств, выпущенных с 2010 года.
Еще раньше, в 2016 году исследователи продемонстрировали возможность установки руткита в защищенную область памяти IME, что позволяло перехватывать ввод с клавиатуры в обход ОС.
Подобные инциденты заставили многих задуматься о потенциальных "закладках" в технологии Intel Management Engine.
Рекомендации по безопасности
Чтобы минимизировать риски, эксперты рекомендуют:
- Регулярно обновлять прошивку и драйверы Intel ME;
- Отключать неиспользуемые возможности вроде AMT в БИОСе;
- Использовать антивирус для защиты от эксплойтов;
- Делать резервное копирование важных данных.
К сожалению, полностью избавиться от Intel ME можно, только отказавшись от поддержки аппаратуры Intel со стороны производителя. Альтернативные "чистые" решения пока редки.
