Intel Management Engine, Menjelaskan Komputer Mungil di Dalam CPU Anda
Intel Management Engine telah disertakan pada chipset Intel sejak tahun 2008. Ini pada dasarnya adalah komputer kecil di dalam komputer, dengan akses penuh ke memori PC Anda, layar, jaringan, dan perangkat input. Ini menjalankan kode yang ditulis oleh Intel, dan Intel belum berbagi banyak informasi tentang cara kerjanya.
Perangkat lunak ini, juga disebut Intel ME, telah muncul dalam berita karena lubang keamanan yang diumumkan Intel pada 20 November 2017. Anda harus menambal sistem Anda jika rentan. Akses sistem yang dalam perangkat lunak ini dan keberadaan pada setiap sistem modern dengan prosesor Intel berarti itu adalah target yang menarik bagi penyerang.
Apa itu Intel ME??
Jadi, apa itu Intel Management Engine? Intel memberikan beberapa informasi umum, tetapi mereka menghindari menjelaskan sebagian besar tugas spesifik yang dilakukan Mesin Manajemen Intel dan tepatnya cara kerjanya.
Seperti yang dikatakan Intel, Management Engine adalah "subsistem komputer kecil berdaya rendah". Ini "melakukan berbagai tugas saat sistem sedang tidur, selama proses boot, dan ketika sistem Anda berjalan".
Dengan kata lain, ini adalah sistem operasi paralel yang berjalan pada chip yang terisolasi, tetapi dengan akses ke perangkat keras PC Anda. Ini berjalan ketika komputer Anda tertidur, saat boot, dan saat sistem operasi Anda berjalan. Ini memiliki akses penuh ke perangkat keras sistem Anda, termasuk memori sistem Anda, isi layar Anda, input keyboard, dan bahkan jaringan.
Kita sekarang tahu bahwa Intel Management Engine menjalankan sistem operasi MINIX. Selain itu, perangkat lunak yang tepat yang berjalan di dalam Intel Management Engine tidak diketahui. Ini kotak hitam kecil, dan hanya Intel yang tahu persis apa yang ada di dalamnya.
Apa itu Intel Active Management Technology (AMT)?
Selain berbagai fungsi tingkat rendah, Intel Management Engine menyertakan Intel Active Management Technology. AMT adalah solusi manajemen jarak jauh untuk server, desktop, laptop, dan tablet dengan prosesor Intel. Ini ditujukan untuk organisasi besar, bukan pengguna rumahan. Ini tidak diaktifkan secara default, jadi itu sebenarnya bukan "pintu belakang", sebagaimana beberapa orang menyebutnya.
AMT dapat digunakan untuk menghidupkan, mengkonfigurasi, mengontrol, atau menghapus komputer dari jarak jauh dengan prosesor Intel. Tidak seperti solusi manajemen biasa, ini bekerja bahkan jika komputer tidak menjalankan sistem operasi. Intel AMT berjalan sebagai bagian dari Intel Management Engine, sehingga organisasi dapat mengatur sistem dari jarak jauh tanpa sistem operasi Windows yang berfungsi.
Pada Mei 2017, Intel mengumumkan eksploitasi jarak jauh di AMT yang akan memungkinkan penyerang mengakses AMT di komputer tanpa memberikan kata sandi yang diperlukan. Namun, ini hanya akan memengaruhi orang-orang yang berusaha keras untuk mengaktifkan Intel AMT — yang, sekali lagi, bukan sebagian besar pengguna rumahan. Hanya organisasi yang menggunakan AMT yang perlu khawatir tentang masalah ini dan memperbarui firmware komputer mereka.
Fitur ini hanya untuk PC. Sementara Mac modern dengan CPU Intel juga memiliki Intel ME, mereka tidak termasuk Intel AMT.
Bisakah Anda Menonaktifkannya??
Anda tidak dapat menonaktifkan Intel ME. Bahkan jika Anda menonaktifkan fitur AMT Intel di BIOS sistem Anda, koprosesor dan perangkat lunak ME ME masih aktif dan berjalan. Pada titik ini, sudah termasuk pada semua sistem dengan CPU Intel dan Intel tidak menyediakan cara untuk menonaktifkannya.
Sementara Intel tidak memberikan cara untuk menonaktifkan ME ME, orang lain telah bereksperimen dengan menonaktifkannya. Ini tidak sesederhana menjentikkan saklar. Peretas yang giat telah berhasil menonaktifkan Intel ME dengan cukup usaha, dan Purism sekarang menawarkan laptop (berdasarkan pada perangkat Intel yang lebih lama) dengan Intel Management Engine dinonaktifkan secara default. Intel kemungkinan tidak senang dengan upaya ini, dan akan membuatnya lebih sulit untuk menonaktifkan Intel ME di masa depan.
Tapi, untuk pengguna biasa, menonaktifkan Intel ME pada dasarnya tidak mungkin - dan itu adalah desain.
Mengapa kerahasiaannya??
Intel tidak ingin para pesaingnya mengetahui cara kerja yang tepat dari perangkat lunak Engine Engine. Intel juga tampaknya merangkul "keamanan oleh ketidakjelasan" di sini, berusaha untuk membuat semakin sulit bagi penyerang untuk belajar tentang dan menemukan lubang dalam perangkat lunak Intel ME. Namun, seperti yang ditunjukkan oleh celah keamanan baru-baru ini, keamanan dengan ketidakjelasan bukanlah solusi yang dijamin.
Ini bukan jenis mata-mata atau perangkat lunak pemantauan-kecuali organisasi telah mengaktifkan AMT dan menggunakannya untuk memantau PC mereka sendiri. Jika Mesin Manajemen Intel menghubungi jaringan dalam situasi lain, kita mungkin akan mendengarnya berkat alat-alat seperti Wireshark, yang memungkinkan orang untuk memonitor lalu lintas di jaringan.
Namun, kehadiran perangkat lunak seperti Intel ME yang tidak dapat dinonaktifkan dan sumber tertutup tentu menjadi masalah keamanan. Ini cara lain untuk menyerang, dan kami telah melihat celah keamanan di Intel ME.
Apakah Komputer Anda Intel ME Rentan?
Pada 20 November 2017, Intel mengumumkan lubang keamanan serius di Intel ME yang telah ditemukan oleh peneliti keamanan pihak ketiga. Ini termasuk kedua kekurangan yang akan memungkinkan penyerang dengan akses lokal untuk menjalankan kode dengan akses sistem penuh, dan serangan jarak jauh yang akan memungkinkan penyerang dengan akses jarak jauh untuk menjalankan kode dengan akses sistem penuh. Tidak jelas seberapa sulit mereka untuk mengeksploitasi.
Intel menawarkan alat pendeteksi yang dapat Anda unduh dan jalankan untuk mengetahui apakah komputer ME Intel Anda rentan, atau apakah sudah diperbaiki.
Untuk menggunakan alat ini, unduh file ZIP untuk Windows, buka, dan klik dua kali folder "DiscoveryTool.GUI". Klik dua kali file "Intel-SA-00086-GUI.exe" untuk menjalankannya. Setuju dengan UAC prompt dan Anda akan diberitahu apakah PC Anda rentan atau tidak.
Jika PC Anda rentan, Anda hanya dapat memperbarui Intel ME dengan memperbarui firmware UEFI komputer Anda. Pabrikan komputer Anda harus memberi Anda pembaruan ini, jadi periksa bagian Dukungan dari situs web pabrikan Anda untuk melihat apakah ada UEFI atau pembaruan BIOS yang tersedia.
Intel juga menyediakan halaman dukungan dengan tautan ke informasi tentang pembaruan yang disediakan oleh pabrikan PC yang berbeda, dan mereka memperbaruinya saat pabrikan merilis informasi dukungan.
Sistem AMD memiliki sesuatu yang mirip bernama AMD TrustZone, yang berjalan pada prosesor ARM khusus.
Kredit Gambar: Laura Houser.