Intel Management Engine

Intel Management Engine (ME) (також англ. Manageability Engine^[1][2]) — автономна підсистема, що присутня практично у всіх чипсетах для мікропроцесорів фірми Intel, починаючи з 2008 року.^[3][4][1]

ME інколи називають «кільце -3», підкреслюючи його вищу привілейованість ніж режим SMM (кільце -2) і гіпервізор (кільце -1). Всі ці режими працюють з вищим рівнем привілеїв, ніж ядро операційної системи (кільце 0).

Підсистема складається з пропрієтарного програмного забезпечення, яке базується на операційній системі MINIX, яке працює на окремому мікропроцесорі, і виконує специфічні задачі під час початкової ініціалізації системи, під час нормальної роботи, і навіть коли комп'ютер знаходиться в режимі гібернації.^[5] Більш того, процесор ME залишається увімкненим навіть тоді, коли на систему просто подається живлення (з блока живлення чи акумулятора).^[6] За твердженням Intel, ME потрібна для досягнення максимальної швидкодії системи.^[7]

Як саме працює система ME залишається повністю невідомим,^[8][9] і її бінарний код підданий обфускації за допомогою секретних кодів Гаффмана, таблиці з якими зберігаються напряму у мікросхемі (таким чином firmware не містить ніяких модулів для декодування — все відбувається на апаратному рівні).^[10] Головний конкурент Intel, компанія AMD, реалізувала схожу технологію AMD Secure Technology (раніше називалася англ. Platform Security Processor) у практично всіх своїх процесорах, починаючи з 2013 року.^[11]

ME часто плутають з Active Management Technology, що базується на ME, але доступна лише на процесорах з технологією Intel vPro. AMT дозволяє віддалене адміністрування комп'ютера,^[12] наприклад, вмикання-вимикання або перевстановлення операційної системи. AMT можливо вимкнути, але станом на березень 2018 року не існує офіційного і документованого шляху вимкнути ME.

Організація Electronic Frontier Foundation (EFF) і експерт з безпеки Damien Zammit стверджують, що ME є не чим іншим, як бекдором, і становить пряму загрозу приватності користувачів комп'ютера.^[13][4] За словами Замміта, ME має повний доступ до всієї пам'яті машини (головному процесорові ЕОМ про цей доступ нічого не відомо); і може зчитувати чи надсилати будь-який пакет, що передається по мережних інтерфейсах, без жодного відома операційної системи.^[12] Натомість Intel стверджує, що «не вставляє бекдори у свої продукти» і що її продукція «не дає фірмі Intel контроль чи доступ до комп'ютерних систем без явного дозволу кінцевого користувача».^[12][14]

У ME було знайдено кілька слабких місць. 1 травня 2017 року Intel підтвердила баг SA-00075 (Remote Elevation of Privilege bug) у технології ME.^[15] У кожній платформі Intel з ME, AMT або Small Business Technology, починаючи з Nehalem (2008) до Kaby Lake (2017), присутній експлойт, який можна активувати віддалено через ME.^[16][17]

Див. також

• Minix
• Active Management Technology
• AMD Platform Security Processor