Noll
Video: AMD och Intel – Frenemies linje vs Nvidia
Gömd inuti din Intel-baserade datorn är ett mysterium program som heter Management Engine (MIG). Det, tillsammans med Trusted Execution-Motor (TXE) och Server Plattform som Tjänst (SPS), kan användas för att fjärrstyra din dator. Vi vet mycket lite om Intel MIG, förutom att det är baserat på Minix operativsystem och, oh ja, JAG är mycket osäker. På grund av detta, tre datorer leverantörer-Linux-specifika Oem System76 och Purism och top-tier PC-byggare Dell-har beslutat att erbjuda datorer med funktionshindrade MIG.
Dessa MIG säkerhetshål påverka miljontals datorer. MIG har stöd för Intel Active Management Technology (AMT). Detta är ett kraftfullt verktyg som tillåter administratörer att köra distans datorer, även när enheten inte startas. Låt mig upprepa detta: Om din DATOR har makt, även om den inte körs, kan det bli attackerad. Om en angripare utnyttjar dessa hål, en angripare som kan köra skadlig kod som är helt osynlig för operativsystemet.
De flesta, men inte alla, av MIG sårbarheter kräver fysisk tillgång för någon att utnyttja. En annan skulle giltigt att straffa administrativa autentiseringsuppgifter för remote exploatering. Fortfarande, det är oroande.
Intel har släppt en detection tool så Linux-och Windows-användare kan upptäcka om deras maskin är utsatta. Företaget har också en sida som innehåller länkar till support-sidor från varje leverantör, som de bekräftar utsatta maskiner.
Intel har erkänt att följande Processorer är sårbara:
6: e, 7: e och 8: e generationens Intel Core-Processor FamilyIntel Xeon E3-1200 v5 och v6 Produkt FamilyIntel Xeon-Processor Skalbar FamilyIntel Xeon-Processor W FamilyIntel Atom C3000 Processor FamilyApollo Sjön Intel Atom-Processor E3900 seriesApollo Sjön Intel Pentium ProcessorsIntel Celeron G, N och J-serien Processorer
Det är firmware plåster antingen tillgängliga nu eller på det sätt och för de flesta av dessa marker. Leverans av dessa fläckar är i händerna på leverantörer hårdvara.
Det finns naturligtvis också möjligheten till fler säkerhetshål upptäcks i dessa marker. Det är därför vissa leverantörer är att gå bort från Intel MIG.
För det första, den väl respekterade Linux PC-tillverkaren System76 meddelade att det var att släppa ett open-source program för att automatiskt leverera firmware till System76 bärbara datorer på samma sätt som software är för närvarande levereras via operativsystemet.” Detta program kommer att “automatiskt leverera uppdaterade firmware med funktionshinder MIG på Intel 6: e, 7: e och 8: e Gen bärbara datorer.”
Detta program fungerar bara på bärbara datorer som kör Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop!_OS 17.10, eller en Ubuntu-derivat och har System76 drivrutin installerad för att få den senaste firmware.
System76 arbetar också på ett shell-kommando verktyg, som kommer att ladda upp denna firmware till andra datorer som kör andra versioner av Linux. System76 datorer kunder kommer att få uppdaterade firmware som fixar kända säkerhetsproblem men inte MIG.
Tidigare, Purism meddelade att det skulle inaktivera MIG på sin bärbara datorer som kör öppen källkod coreboot chip firmware. Detta var inte en trivial uppgift. Purism: s utvecklare var tvungen att hoppa genom flera ringar för att slå ut MIG utan att stanna till Wi-Fi på samma gång.
Dell, under tiden, är att arbeta på båda leverera lappat Intel ME firmware för sina datorer och erbjuder tre enheter med MIG görs obrukbar. Dessa inkluderar Latitud 14 Robust bärbar dator, Latitude 15 E5570 laptop, och Latitud 12 Robust tablet. För att få en utan MIG, du måste beställa dem konfigurerat med Intel vPro – MIG att använda, Anpassade För” alternativ. Detta kommer att kosta dig en extra $20.92.
Intel rekommenderar inte detta alternativ. I ett uttalande, en Intel talesman sade, “jag ger viktig funktionalitet våra användare bryr sig om, inklusive funktioner som secure boot -, två-faktor autentisering, system för återvinning och enterprise device management. Sedan beskrivs konfigurationen nödvändigtvis tar bort funktionalitet som krävs i de flesta vanliga produkter, Intel inte har stöd för sådana konfigurationer.”
Är det värt det? Tja, om jag var orolig för säkerheten, jag skulle inte vilja att mina hårdvara som kör en uppsättning av black box-program på en mystery operativsystem som drivs under någon nivå av lokal kontroll. Men, hey, det är bara jag. Som sagt, eftersom Intel kommer inte att ha stöd för dessa konfigurationer, ditt företag kanske inte vill chans att använda dem.
Den idealiska lösningen vore för Intel att open-source program och dess anpassad Minix så att systemadministratörer kan veta exakt vad det är som kör på sina Datorer, surfplattor och servrar. Jag tror inte det är för mycket att be för.
Om det inte går, Intel bör ge leverantörer och kunder på ett enkelt alternativ för att inaktivera dessa chip-nivå program.
UPPDATERAD: Med Intel kommentarer.
Relaterade artiklar:
Intel MIG fel storm: Är din maskin bland 100-tals bara namnet av Acer, Dell, HP, Lenovo?Intel: Vi har funnit allvarliga fel i hemlighetsfull Management Engine, som påverkar millionsMINIX: Intel är dolda i-chip operativsystem
Relaterade Ämnen:
Dell
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0