nl.phhsnews.com


nl.phhsnews.com / Intel Management Engine, uitgelegd: de kleine computer in uw CPU

Intel Management Engine, uitgelegd: de kleine computer in uw CPU


De Intel Management Engine is sinds 2008 opgenomen op Intel-chipsets. Het is eigenlijk een kleine computer-in-een-computer, met volledige toegang tot de geheugen-, weergave-, netwerk- en invoerapparaten van uw pc. Het draait code geschreven door Intel en Intel heeft niet veel informatie gedeeld over zijn interne werking.

Deze software, ook wel Intel ME genoemd, is in het nieuws gekomen vanwege beveiligingslekken die Intel op 20 november 2017 heeft aangekondigd U moet uw systeem patchen als het kwetsbaar is. De diepe systeemtoegang en aanwezigheid van deze software op elk modern systeem met een Intel-processor betekent dat het een aantrekkelijk doelwit is voor aanvallers.

Wat is Intel ME?

Wat is de Intel Management Engine eigenlijk? Intel biedt enige algemene informatie, maar ze vermijden de meeste specifieke taken die de Intel Management Engine uitvoert en precies hoe het werkt uit te leggen.

Zoals Intel het stelt, is de Management Engine "een klein sub-systeem met weinig vermogen". Het "voert verschillende taken uit terwijl het systeem in slaap is, tijdens het opstartproces en wanneer uw systeem draait".

Met andere woorden, dit is een parallel besturingssysteem dat draait op een geïsoleerde chip, maar met toegang tot uw pc's hardware. Het wordt uitgevoerd wanneer uw computer in slaap is, terwijl het opstart en terwijl uw besturingssysteem actief is. Het heeft volledige toegang tot uw systeemhardware, inclusief uw systeemgeheugen, de inhoud van uw beeldscherm, toetsenbordinvoer en zelfs het netwerk.

We weten nu dat de Intel Management Engine een MINIX-besturingssysteem uitvoert. Bovendien is de precieze software die in de Intel Management Engine wordt uitgevoerd onbekend. Het is een kleine zwarte doos, en alleen Intel weet precies wat erin zit.

Wat is Intel Active Management Technology (AMT)?

Naast de verschillende low-level-functies, bevat de Intel Management Engine Intel Active Management Technology. AMT is een oplossing voor beheer op afstand voor servers, desktops, laptops en tablets met Intel-processors. Het is bedoeld voor grote organisaties, niet voor thuisgebruikers. Het is niet standaard ingeschakeld, dus het is niet echt een "achterdeur", zoals sommige mensen het hebben genoemd.

AMT kan worden gebruikt om computers met Intel-processors op afstand aan te zetten, te configureren, te besturen of te wissen. In tegenstelling tot standaardbeheeroplossingen werkt dit zelfs als de computer geen besturingssysteem uitvoert. Intel AMT wordt uitgevoerd als onderdeel van de Intel Management Engine, dus organisaties kunnen systemen op afstand beheren zonder een werkend Windows-besturingssysteem.

In mei 2017 heeft Intel een externe exploit in AMT aangekondigd waarmee aanvallers toegang tot AMT op een computer kunnen krijgen zonder het benodigde wachtwoord. Dit zou echter alleen van invloed zijn op mensen die hun best deden om Intel AMT in te schakelen - wat wederom niet de meeste thuisgebruikers is. Alleen organisaties die AMT gebruikten, moesten zich zorgen maken over dit probleem en de firmware van hun computers bijwerken.

Deze functie is alleen voor pc's. Terwijl moderne Macs met Intel-CPU's ook de Intel ME hebben, bevatten ze geen Intel AMT.

Kun je dit uitschakelen?

Je kunt Intel ME niet uitschakelen. Zelfs als u Intel AMT-functies in de BIOS van uw systeem uitschakelt, is de Intel ME-coprocessor en -software nog steeds actief en actief. Op dit moment is het opgenomen op alle systemen met Intel CPU's en Intel biedt geen manier om het uit te schakelen.

Hoewel Intel de Intel ME op geen enkele manier uitschakelt, hebben andere mensen geëxperimenteerd met het uitschakelen ervan. Het is echter niet zo eenvoudig om met een schakelaar te flicking. Ondernemende hackers zijn erin geslaagd Intel ME met enige moeite uit te schakelen, en Purism biedt nu laptops (op basis van oudere Intel-hardware) met de Intel Management Engine standaard uitgeschakeld. Intel is waarschijnlijk niet blij met deze inspanningen en zal het nog moeilijker maken om de Intel ME in de toekomst uit te schakelen.

Maar voor de gemiddelde gebruiker is het uitschakelen van de Intel ME in principe onmogelijk - en dat is door het ontwerp.

Waarom het geheim?

Intel wil niet dat zijn concurrenten weten wat de werking van de Management Engine-software is. Intel lijkt hier ook "beveiliging door onbekendheid" te omarmen, en probeert het voor aanvallers moeilijker te maken om meer te weten te komen over en gaten te vinden in de Intel ME-software. Zoals de recente gaten in de beveiliging hebben aangetoond, is beveiliging door obscuriteit echter geen gegarandeerde oplossing.

Dit zijn geen spionage- of bewakingssoftware, tenzij een organisatie AMT heeft ingeschakeld en deze gebruikt om hun eigen pc's te bewaken. Als de management-engine van Intel in andere situaties contact met het netwerk zou maken, hadden we waarschijnlijk wel van gehoord dankzij hulpprogramma's als Wireshark, waarmee mensen het verkeer op een netwerk kunnen controleren.

De aanwezigheid van software zoals Intel ME kan echter wel niet worden uitgeschakeld en is gesloten bron is zeker een veiligheidsprobleem. Het is een andere manier om te worden aangevallen en we hebben al beveiligingslekken gezien in Intel ME.

Is het Intel ME-virus van uw computer? Op 20 november 2017 kondigde Intel ernstige beveiligingslekken aan in Intel ME die door externe beveiligingsonderzoekers. Deze omvatten beide fouten waardoor een aanvaller met lokale toegang code kan uitvoeren met volledige systeemtoegang en aanvallen op afstand waardoor aanvallers met externe toegang code kunnen uitvoeren met volledige systeemtoegang. Het is onduidelijk hoe hard ze zouden kunnen worden misbruikt.

Intel biedt een detectietool die u kunt downloaden en uitvoeren om erachter te komen of de Intel ME van uw computer kwetsbaar is of dat deze is hersteld.

Om de tool te gebruiken, downloadt u het ZIP-bestand voor Windows, open het en dubbelklik op de map "DiscoveryTool.GUI". Dubbelklik op het bestand "Intel-SA-00086-GUI.exe" om het uit te voeren. Ga akkoord met de UAC-prompt en je krijgt de melding of je pc kwetsbaar is of niet.

GERELATEERD:

Wat is UEFI en hoe verschilt dit van het BIOS? Als je pc kwetsbaar is, kun je update de Intel ME alleen door de UEFI-firmware van uw computer bij te werken. De fabrikant van de computer moet u deze update geven, dus raadpleeg het gedeelte Ondersteuning op de website van uw fabrikant om te controleren of er UEFI- of BIOS-updates beschikbaar zijn.

Intel biedt ook een ondersteuningspagina met links naar informatie over updates van verschillende PC-fabrikanten, en ze houden het bijgewerkt terwijl fabrikanten ondersteuningsinformatie vrijgeven.

AMD-systemen hebben iets vergelijkbaars met de naam AMD TrustZone, dat op een speciale ARM-processor werkt.

Image Credit: Laura Houser.


Gevoelige meldingen verbergen vanaf het vergrendelscherm van uw iPhone

Gevoelige meldingen verbergen vanaf het vergrendelscherm van uw iPhone

In iOS 11 geeft uw iPhone veel meer controle over meldingen. U kunt bepaalde apps als 'gevoelig' aanmerken, zodat deze de inhoud van meldingen verbergen terwijl uw telefoon is vergrendeld, zodat u alleen het volledige voorbeeld ziet wanneer u Touch ID of Face ID gebruikt om uw iPhone te ontgrendelen.

(how-top)

De standaardapps op uw Chromebook wijzigen

De standaardapps op uw Chromebook wijzigen

Chrome OS is standaard redelijk goed in het selecteren van de beste app voor een specifiek doel, maar soms is dat niet wat u wilt doen . Hoewel u eenvoudig apps kunt kiezen wanneer u ze nodig hebt, kunt u de standaardoptie ook gemakkelijk wijzigen. Standaardapps instellen in Chrome OS GERELATEERD: Standaardtoepassingen instellen op Android Anders dan op Android, waar u standaard apps op een centrale locatie kunt instellen, moet u een bestand openen om de standaard voor dat bestandstype te wijzigen.

(how-top)