Active Management Technology

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Intel Active Management Technology — апаратна технологія, що дозволяє віддалено («out-of-band» — «позасмугово», по незалежному допоміжному каналу TCP/IP) керувати налаштуваннями і безпекою комп'ютера незалежно від стану живлення (віддалене включення/виключення комп'ютера) і стану ОС . Технологія доступна в настільних ПК на базі процесорів Intel Core 2 і ноутбуках на базі процесорів Intel Centrino з технологією Intel vPro. Для підключення необхідна система, що має набір мікросхем з підтримкою технології Intel AMT.[1]

Версії[ред.ред. код]

Intel AMT використовує для своєї роботи спеціалізований мікроконтролер з архітектурою ARC, що знаходиться зазвичай на материнській платі або, у випадку AMT 1.0, на мережевій платі. Мікропрограма AMT записана на флеш-пам'ять SPI, зазвичай на той же чип, що зберігає коди BIOS. Зберігання мікропрограми AMT в FWH (Firmware Hub) або в сховище, яке підключене через LPC, не підтримується.[2]

Програмно AMT оновлюється одночасно з BIOS. Можливі оновлення тільки між мінорними версіями (остання цифра). Мажорна версія AMT залежить від чипсета і перехід між ними можливий лише при заміні чипсета і материнської плати.

  • Intel AMT 8.0 — Чипсети Intel 7-ї серії (Panther Point);
  • Intel AMT 7.0 — Чипсети Intel Q67 Express, QM67 та QS67;
  • Intel AMT 6.0 — Платформи з процесорами Intel Core i5, Intel Core i7 і подтримкою vPro, чипсетами Q57, QM57 и QS57. Також системи на процесорах серії Xeon 3400 та Core i5, підтримкою vPro і чипсетом 3450;
  • Intel AMT 5.0 — Intel Core 2 з vPro і чипсет Intel Q45 (ICH10);[3]
  • Intel AMT 4.1 — Появляється Intel AMT 4.0, доповненою технологією Intel Anti-Theft. Оновлення можливо на деяких мобільних платформах з чипсетом GM45 (ICH9M);
  • Intel AMT 3.2 — Оновлення Intel AMT 3.0 з доповненням DASH 1.0 для спрощення конфігурування;
  • Intel AMT 3.1 — Оновлення Intel AMT 3.0 для підтримки Linux (Red Hat і SUSE);
  • Intel AMT 3.0 — Настільні платформи Intel з vPro та чипсетом Intel Q35 (ICH9), наприклад Intel DQ35MP;
  • Intel AMT 2.6 — Intel AMT 2.5 з можливістю дистанційного конфігурування;
  • Intel AMT 2.5 — Мобільні платформи Intel Centrino Pro на чипсетах GM965/PM965 (ICH8M);
  • Intel AMT 2.0 — Настільні платформи Intel vPro на чипсеті Intel Q963/Q965 (ICH8), наприклад Intel DQ965GF;
  • Intel AMT 1.0 — Платформи на чипсеті 82573E (ICH7), що використовують контроллер Gigabit Ethernet, наприклад Intel D975XBX2.

Проблеми безпеки[ред.ред. код]

Деякі дослідники вважають систему Intel Management Engine бекдором. У випадку компрометації зловмисниками ця система може бути використана як руткіт, завдяки якому буде отриманий повний контроль над комп'ютером жертви. При цьому у жертви відсутня будь-яка можливість дізнатись про компрометації цієї системи з ураженого комп'ютера[4].

В серпні 2017 року групі дослідників під керівництвом Дмитра Склярова з фірми Positive Technologies (PTE) вдалось відтворити таблиці коду Гаффмана, яким закодовані бінарні коди Intel Management Egine (Intel ME), та в результаті проведеного аналізу знайти спосіб безпечного вимкнення переважної частини системи Intel ME версії 11 (встановлена в мікропроцесори Intel сімейств Skylake та Kaby Lake: Core i-6000 та Core i-7000)[5][6].

Знайдений ними метод покладається на режим High-Assurance Platform (HAP). Відомо, що цей режим був запропонований АНБ в 2009—2010 роки як частина концепції Trusted Computing Group (TCG) для особливо захищених комп'ютерів для використання в урядових проектах для зменшення площини для хакерських атак[5].

Групі дослідників також вдалось встановити, що Intel ME працює на мікропроцесорі архітектури x86 сімейства Intel Quark, який інтегрований в чипсет (Platform Controller Hub) або в корпус мікропроцесора для мобільних платформ. Досліджена ними 11-та версія Intel ME працювала на операційній системі на ядрі Minix. Відомо, що попередні версії були побудовані на операційній системі реального часу ThreadX та мікроконтролерах ARC[5].

Відомо про декілька вразливостей в системі Intel AMT: в травні 2017 року Intel підтвердила існування вразливості англ. Silent Bob is Silent (CVE-2017-5689)[7][8][9]. Дана вразливість дає можливість зловмисниками отримати повний доступ до ураженої системи: зчитувати та змінювати будь-які дані, встановлювати шкідливе ПЗ (можливо навіть в мікрокоді апаратного забезпечення).

В червні 2017 року стало відомо про використання механізму Seral over LAN злочинним угрупуванням PLATINUM для прихованої передачі викрадених документів.[10][11][12][13][14][12][15][16][17]

Див. також[ред.ред. код]

Примітки[ред.ред. код]

  1. Технологія Intel® Active Management — Опис (рос.)
  2. Architecture Guide: Intel Active Management Technology. Intel
  3. Gelsinger Speaks To Intel And High-Tech Industry's Rapid Technology Cadence
  4. Damien Zammit (Jun 15 2016). Intel x86s hide another CPU that can take over your machine (you can't audit it). Boing Boing. 
  5. а б в Christof Windeck (29.08.2017). Intel Management Engine (ME) weitgehend abschaltbar. Heise Security. 
  6. Disabling Intel ME 11 via undocumented mode. Positive Technologies. August 28, 2017. 
  7. CVE - CVE-2017-5689. Cve.mitre.org. Процитовано 2017-05-07. 
  8. Intel Hidden Management Engine - x86 Security Risk?. Darknet. 2016-06-16. Процитовано 2017-05-07. 
  9. Garrett, Matthew (2017-05-01). Intel's remote AMT vulnerablity. mjg59.dreamwidth.org. Процитовано 2017-05-07. 
  10. Sneaky hackers use Intel management tools to bypass Windows firewall. Процитовано 10 June 2017. 
  11. Tung, Liam. Windows firewall dodged by 'hot-patching' spies using Intel AMT, says Microsoft - ZDNet. Процитовано 10 June 2017. 
  12. а б PLATINUM continues to evolve, find ways to maintain invisibility. Процитовано 10 June 2017. 
  13. Malware Uses Obscure Intel CPU Feature to Steal Data and Avoid Firewalls. Процитовано 10 June 2017. 
  14. Hackers abuse low-level management feature for invisible backdoor. iTnews. Процитовано 10 June 2017. 
  15. Vxers exploit Intel's Active Management for malware-over-LAN • The Register. www.theregister.co.uk. Процитовано 10 June 2017. 
  16. Security, heise. Intel-Fernwartung AMT bei Angriffen auf PCs genutzt. Security. Процитовано 10 June 2017. 
  17. PLATINUM activity group file-transfer method using Intel AMT SOL. Channel 9. Процитовано 10 June 2017. 

Посилання[ред.ред. код]