Intel Management Engine, explicado: O pequeno computador dentro de sua CPU
O Intel Management Engine está incluído nos chipsets da Intel desde 2008. É basicamente um pequeno computador dentro de um computador, com acesso total à memória, monitor, rede e dispositivos de entrada do seu PC. Ele roda código escrito pela Intel, e a Intel não compartilha muitas informações sobre seu funcionamento interno.
Este software, também chamado de Intel ME, apareceu no noticiário por causa de falhas de segurança que a Intel anunciou em 20 de novembro de 2017. Você deve corrigir o seu sistema se ele estiver vulnerável. O profundo acesso ao sistema e a presença deste software em todos os sistemas modernos com um processador Intel significa que ele é um alvo interessante para invasores.
O que é Intel ME?
Então, o que é o Intel Management Engine, afinal? A Intel fornece algumas informações gerais, mas evitam explicar a maioria das tarefas específicas que o Intel Management Engine executa e exatamente como ele funciona.
Como diz a Intel, o Management Engine é “um pequeno subsistema de computador de baixo consumo de energia”. Ele “executa várias tarefas enquanto o sistema está em hibernação, durante o processo de inicialização e quando o sistema está funcionando”.
Em outras palavras, este é um sistema operacional paralelo rodando em um chip isolado, mas com acesso ao hardware do seu PC. Ele é executado quando o computador está hibernando, durante a inicialização e enquanto o sistema operacional está em execução. Ele tem acesso total ao hardware do seu sistema, incluindo a memória do sistema, o conteúdo do seu monitor, entrada do teclado e até mesmo a rede.
Agora sabemos que o Intel Management Engine executa um sistema operacional MINIX. Além disso, o software preciso que é executado dentro do Intel Management Engine é desconhecido. É uma pequena caixa preta e só a Intel sabe exatamente o que está dentro.
O que é Intel Active Management Technology (AMT)?
Além de várias funções de baixo nível, o Intel Management Engine inclui a Intel Active Management Technology. AMT é uma solução de gerenciamento remoto para servidores, desktops, laptops e tablets com processadores Intel. Destina-se a grandes organizações, não a usuários domésticos. Não é habilitado por padrão, então não é realmente um "backdoor", como algumas pessoas o chamam.
O AMT pode ser usado para ligar, configurar, controlar ou limpar remotamente computadores com processadores Intel. Ao contrário das soluções de gerenciamento típicas, isso funciona mesmo se o computador não estiver executando um sistema operacional. Intel AMT é executado como parte do Intel Management Engine, para que as organizações possam gerenciar sistemas remotamente sem um sistema operacional Windows em funcionamento.
Em maio de 2017, a Intel anunciou uma exploração remota no AMT que permitiria que os invasores acessassem o AMT em um computador sem fornecer a senha necessária. No entanto, isso afetaria apenas as pessoas que se esforçaram para habilitar o Intel AMT - o que, novamente, não é o caso da maioria dos usuários domésticos. Somente as organizações que usaram o AMT precisam se preocupar com esse problema e atualizar o firmware de seus computadores.
Este recurso é apenas para PCs. Embora os Macs modernos com CPUs Intel também tenham o Intel ME, eles não incluem o Intel AMT.
Você pode desativá-lo?
Você não pode desativar o Intel ME. Mesmo que você desative os recursos do Intel AMT no BIOS do sistema, o coprocessador Intel ME e o software ainda estarão ativos e em execução. Neste ponto, ele está incluído em todos os sistemas com CPUs Intel e a Intel não oferece nenhuma maneira de desativá-lo.
Embora a Intel não ofereça nenhuma maneira de desabilitar o Intel ME, outras pessoas já experimentaram desabilitá-lo. Não é tão simples quanto apertar um botão, no entanto. Hackers empreendedores conseguiram desabilitar o Intel ME com bastante esforço, e a Purism agora oferece laptops (baseados em hardware Intel mais antigo) com o Intel Management Engine desabilitado por padrão. A Intel provavelmente não está feliz com esses esforços e tornará ainda mais difícil desabilitar o Intel ME no futuro.
Mas, para o usuário médio, desabilitar o Intel ME é basicamente impossível - e isso é intencional.
Por que o sigilo?
A Intel não quer que seus concorrentes saibam o funcionamento exato do software Management Engine. A Intel também parece estar adotando a “segurança pela obscuridade” aqui, tentando tornar mais difícil para os invasores descobrirem e encontrarem brechas no software Intel ME. No entanto, como as brechas de segurança recentes mostraram, a segurança pela obscuridade não é uma solução garantida.
Este não é nenhum tipo de software de espionagem ou monitoramento - a menos que uma organização tenha habilitado o AMT e o esteja usando para monitorar seus próprios PCs. Se o mecanismo de gerenciamento da Intel estava entrando em contato com a rede em outras situações, provavelmente teríamos ouvido falar dele graças a ferramentas como o Wireshark, que permite às pessoas monitorar o tráfego em uma rede.
No entanto, a presença de software como o Intel ME que não pode ser desativado e é de código fechado é certamente uma preocupação de segurança. É outra via de ataque, e já vimos falhas de segurança no Intel ME.
O Intel ME do seu computador é vulnerável?
Em 20 de novembro de 2017, a Intel anunciou sérias falhas de segurança no Intel ME que foram descobertas por pesquisadores de segurança terceirizados. Isso inclui falhas que permitiriam a um invasor com acesso local executar código com acesso total ao sistema e ataques remotos que permitiriam invasores com acesso remoto executar código com acesso total ao sistema. Não está claro o quão difícil eles seriam de explorar.
A Intel oferece uma ferramenta de detecção que você pode baixar e executar para descobrir se o Intel ME do seu computador está vulnerável ou se foi corrigido.
Para usar a ferramenta, baixe o arquivo ZIP para Windows, abra-o e clique duas vezes na pasta “DiscoveryTool.GUI”. Clique duas vezes no arquivo “Intel-SA-00086-GUI.exe” para executá-lo. Concorde com o prompt do UAC e você será informado se seu PC está vulnerável ou não.
RELACIONADO:O que é UEFI e como é diferente da BIOS?
Se o seu PC estiver vulnerável, você só pode atualizar o Intel ME atualizando o firmware UEFI do seu computador. O fabricante do seu computador deve fornecer esta atualização, portanto, verifique a seção de suporte do site do fabricante para ver se há alguma atualização UEFI ou BIOS disponível.
A Intel também fornece uma página de suporte com links para informações sobre atualizações fornecidas por diferentes fabricantes de PC, e eles a mantêm atualizada conforme os fabricantes lançam informações de suporte.
Os sistemas AMD têm algo semelhante chamado AMD TrustZone, que roda em um processador ARM dedicado.
Crédito da imagem: Laura Houser.