Intel Management Engine, Giải thích: Máy tính tí hon bên trong CPU của bạn

Công cụ quản lý Intel đã được đưa vào chipset Intel từ năm 2008. Về cơ bản, nó là một máy tính nhỏ trong máy tính, có toàn quyền truy cập vào bộ nhớ, màn hình, mạng và thiết bị đầu vào của PC của bạn. Nó chạy mã do Intel viết và Intel đã không chia sẻ nhiều thông tin về hoạt động bên trong của nó.

Phần mềm này, còn được gọi là Intel ME, đã xuất hiện trên các tin tức vì các lỗ hổng bảo mật mà Intel công bố vào ngày 20 tháng 11 năm 2017. Bạn nên vá hệ thống của mình nếu nó dễ bị tấn công. Khả năng truy cập hệ thống sâu và sự hiện diện của phần mềm này trên mọi hệ thống hiện đại có bộ xử lý Intel có nghĩa là nó trở thành mục tiêu ngon lành cho những kẻ tấn công.

Intel ME là gì?

Vậy Intel Management Engine là gì? Intel cung cấp một số thông tin chung, nhưng họ tránh giải thích hầu hết các tác vụ cụ thể mà Công cụ quản lý Intel thực hiện và cách thức hoạt động chính xác của nó.

Như Intel đã nói, Công cụ quản lý là “một hệ thống con máy tính nhỏ, công suất thấp”. Nó “thực hiện các tác vụ khác nhau trong khi hệ thống ở trạng thái ngủ, trong quá trình khởi động và khi hệ thống của bạn đang chạy”.

Nói cách khác, đây là hệ điều hành song song chạy trên một con chip biệt lập nhưng có quyền truy cập vào phần cứng PC của bạn. Nó chạy khi máy tính của bạn ở chế độ ngủ, trong khi khởi động và khi hệ điều hành của bạn đang chạy. Nó có toàn quyền truy cập vào phần cứng hệ thống của bạn, bao gồm bộ nhớ hệ thống, nội dung của màn hình, đầu vào bàn phím và thậm chí cả mạng.

Bây giờ chúng ta biết rằng Intel Management Engine chạy hệ điều hành MINIX. Ngoài ra, phần mềm chính xác chạy bên trong Intel Management Engine vẫn chưa được biết. Đó là một hộp đen nhỏ và chỉ Intel mới biết chính xác bên trong có gì.

Công nghệ quản lý tích cực Intel (AMT) là gì?

Ngoài các chức năng cấp thấp khác nhau, Công cụ quản lý Intel còn bao gồm Công nghệ quản lý tích cực của Intel. AMT là giải pháp quản lý từ xa cho máy chủ, máy tính để bàn, máy tính xách tay và máy tính bảng có bộ xử lý Intel. Nó dành cho các tổ chức lớn, không phải người dùng gia đình. Nó không được bật theo mặc định, vì vậy nó không thực sự là "cửa sau", như một số người đã gọi nó.

AMT có thể được sử dụng để bật nguồn, cấu hình, điều khiển hoặc xóa từ xa các máy tính có bộ xử lý Intel. Không giống như các giải pháp quản lý thông thường, giải pháp này hoạt động ngay cả khi máy tính không chạy hệ điều hành. Intel AMT chạy như một phần của Intel Management Engine, vì vậy các tổ chức có thể quản lý hệ thống từ xa mà không cần hệ điều hành Windows đang hoạt động.

Vào tháng 5 năm 2017, Intel đã công bố một khai thác từ xa trong AMT cho phép kẻ tấn công truy cập AMT trên máy tính mà không cần cung cấp mật khẩu cần thiết. Tuy nhiên, điều này sẽ chỉ ảnh hưởng đến những người đã cố gắng kích hoạt Intel AMT — một lần nữa, hầu hết không phải là người dùng gia đình. Chỉ những tổ chức đã sử dụng AMT mới cần phải lo lắng về sự cố này và cập nhật chương trình cơ sở cho máy tính của họ.

Tính năng này chỉ dành cho PC. Mặc dù các máy Mac hiện đại có CPU Intel cũng có Intel ME, nhưng chúng không bao gồm Intel AMT.

Bạn có thể vô hiệu hóa nó?

Bạn không thể tắt Intel ME. Ngay cả khi bạn tắt các tính năng Intel AMT trong BIOS của hệ thống, phần mềm và bộ đồng xử lý Intel ME vẫn hoạt động và đang chạy. Tại thời điểm này, nó được bao gồm trên tất cả các hệ thống có CPU Intel và Intel không có cách nào để tắt nó.

Mặc dù Intel không cung cấp cách nào để vô hiệu hóa Intel ME, nhưng những người khác đã thử nghiệm cách vô hiệu hóa nó. Tuy nhiên, nó không đơn giản như việc gạt một công tắc. Các tin tặc táo bạo đã cố gắng vô hiệu hóa Intel ME bằng một số nỗ lực và Purism hiện cung cấp máy tính xách tay (dựa trên phần cứng Intel cũ hơn) với Intel Management Engine bị tắt theo mặc định. Intel có thể không hài lòng về những nỗ lực này và sẽ khiến việc vô hiệu hóa Intel ME trở nên khó khăn hơn trong tương lai.

Tuy nhiên, đối với người dùng bình thường, việc vô hiệu hóa Intel ME về cơ bản là không thể — và đó là do thiết kế.

Tại sao lại là Bí mật?

Intel không muốn các đối thủ của mình biết hoạt động chính xác của phần mềm Công cụ quản lý. Intel dường như cũng đang áp dụng “bảo mật bằng cách che giấu” ở đây, cố gắng gây khó khăn hơn cho những kẻ tấn công trong việc tìm hiểu và tìm ra các lỗ hổng trong phần mềm Intel ME. Tuy nhiên, như các lỗ hổng bảo mật gần đây đã cho thấy, bảo mật bằng cách che giấu không phải là giải pháp đảm bảo.

Đây không phải là bất kỳ loại phần mềm theo dõi hoặc gián điệp nào — trừ khi một tổ chức đã kích hoạt AMT và đang sử dụng nó để giám sát PC của chính họ. Nếu Công cụ quản lý của Intel liên hệ với mạng trong các tình huống khác, chúng tôi có thể đã biết đến điều này nhờ các công cụ như Wireshark, cho phép mọi người theo dõi lưu lượng truy cập trên mạng.

Tuy nhiên, sự hiện diện của phần mềm như Intel ME không thể bị vô hiệu hóa và là nguồn đóng chắc chắn là một mối lo ngại về bảo mật. Đó là một con đường tấn công khác và chúng tôi đã thấy các lỗ hổng bảo mật trong Intel ME.

Máy tính của bạn có Intel ME dễ bị tổn thương không?

Vào ngày 20 tháng 11 năm 2017, Intel đã công bố các lỗ hổng bảo mật nghiêm trọng trong Intel ME đã được các nhà nghiên cứu bảo mật của bên thứ ba phát hiện. Chúng bao gồm cả những lỗ hổng cho phép kẻ tấn công có quyền truy cập cục bộ chạy mã với toàn quyền truy cập hệ thống và các cuộc tấn công từ xa cho phép kẻ tấn công có quyền truy cập từ xa chạy mã với quyền truy cập toàn bộ hệ thống. Không rõ họ sẽ khó khai thác đến mức nào.

Intel cung cấp một công cụ phát hiện mà bạn có thể tải xuống và chạy để tìm hiểu xem Intel ME trên máy tính của bạn có dễ bị tấn công hay không hoặc liệu nó đã được khắc phục hay chưa.

Để sử dụng công cụ này, hãy tải xuống tệp ZIP cho Windows, mở nó và nhấp đúp vào thư mục “DiscoveryTool.GUI”. Nhấp đúp vào tệp “Intel-SA-00086-GUI.exe” để chạy nó. Đồng ý với lời nhắc của UAC và bạn sẽ được cho biết liệu PC của mình có dễ bị tấn công hay không.

LIÊN QUAN:UEFI là gì và nó khác với BIOS như thế nào?

Nếu PC của bạn dễ bị tấn công, bạn chỉ có thể cập nhật Intel ME bằng cách cập nhật chương trình cơ sở UEFI của máy tính. Nhà sản xuất máy tính của bạn phải cung cấp cho bạn bản cập nhật này, vì vậy hãy kiểm tra phần Hỗ trợ trên trang web của nhà sản xuất để xem có bất kỳ bản cập nhật UEFI hoặc BIOS nào không.

Intel cũng cung cấp một trang hỗ trợ với các liên kết đến thông tin về các bản cập nhật do các nhà sản xuất PC khác nhau cung cấp và họ sẽ cập nhật trang này khi các nhà sản xuất phát hành thông tin hỗ trợ.

Hệ thống AMD có một cái gì đó tương tự có tên là AMD TrustZone, chạy trên bộ xử lý ARM chuyên dụng.

Tín dụng hình ảnh: Laura Houser.