Motor de administración de Intel, explicado: La computadora diminuta dentro de su CPU
El motor de administración de Intel se ha incluido en los chipsets Intel desde 2008. Básicamente se trata de una computadora diminuta dentro de una computadora, con acceso completo a la memoria, pantalla, red y dispositivos de entrada del PC. Ejecuta código escrito por Intel, e Intel no ha compartido mucha información sobre su funcionamiento interno.
Este software, también llamado Intel ME, ha aparecido en las noticias debido a los agujeros de seguridad anunciados por Intel.
¿Qué es Intel ME?
¿Qué es el motor de gestión de Intel? Intel proporciona cierta información general, pero evita explicar la mayoría de las tareas específicas que realiza Intel Management Engine y cómo funciona exactamente.
Como Intel lo expresa, el motor de administración es "un subsistema informático pequeño y de bajo consumo de energía". Realiza "varias tareas mientras el sistema está en reposo, durante el proceso de arranque y cuando el sistema se está ejecutando".
En otras palabras, se trata de un sistema operativo paralelo que funciona en un chip aislado, pero con acceso al hardware de su PC. Se ejecuta cuando el equipo está inactivo, mientras se inicia y mientras el sistema operativo está en funcionamiento. Tiene acceso completo al hardware de su sistema, incluyendo la memoria del sistema, el contenido de su pantalla, la entrada del teclado e incluso la red.
Ahora sabemos que el motor de administración de Intel ejecuta un sistema operativo MINIX. Más allá de eso, el software preciso que se ejecuta dentro del motor de administración de Intel es desconocido. Es una pequeña caja negra, y sólo Intel sabe exactamente lo que hay dentro.
¿Qué es la tecnología Intel Active Management Technology (AMT)?
Además de varias funciones de bajo nivel, el motor de administración de Intel incluye la tecnología Intel Active Management Technology. AMT es una solución de administración remota para servidores, equipos de escritorio, portátiles y tabletas con procesadores Intel. Está destinado a grandes organizaciones, no a usuarios domésticos. No está habilitada por defecto, así que no es realmente una "puerta trasera", como algunos la han llamado.
AMT se puede utilizar para encender, configurar, controlar o limpiar remotamente equipos con procesadores Intel. A diferencia de las soluciones de gestión típicas, esto funciona incluso si el ordenador no está ejecutando un sistema operativo. Intel AMT se ejecuta como parte del motor de administración de Intel, por lo que las organizaciones pueden administrar sistemas de forma remota sin un sistema operativo Windows que funcione.
En mayo de 2017, Intel anunció un exploit remoto en AMT que permitiría a los atacantes acceder a AMT en un ordenador sin proporcionar la contraseña necesaria. Sin embargo, esto sólo afectaría a las personas que se desviaron de su camino para habilitar Intel AMT, lo que, una vez más, no es la mayoría de los usuarios domésticos. Sólo las organizaciones que usaban AMT necesitaban preocuparse por este problema y actualizar el firmware de sus ordenadores.
Esta función es sólo para PCs. Mientras que los Macs modernos con CPUs de Intel tienen también el Intel ME, no incluyen Intel AMT.
¿Puede desactivarlo?
No puedes desactivar el Intel ME. Incluso si desactiva las características AMT de Intel en la BIOS del sistema, el coprocesador y el software Intel ME siguen activos y funcionando. En este punto, se incluye en todos los sistemas con CPU Intel y Intel no ofrece ninguna forma de desactivarlo.
Mientras que Intel no proporciona ninguna manera de deshabilitar el Intel ME, otras personas han experimentado con deshabilitarlo. Pero no es tan simple como pulsar un botón. Los hackers emprendedores han logrado desactivar el Intel ME con bastante esfuerzo, y Purism ahora ofrece portátiles (basados en hardware Intel más antiguo) con el motor de administración de Intel desactivado por defecto. Es probable que Intel no esté satisfecho con estos esfuerzos, y hará que sea aún más difícil desactivar Intel ME en el futuro.
Pero, para el usuario promedio, desactivar Intel ME es básicamente imposible, y eso es por diseño.
¿Por qué el Secreto?
Intel no quiere que sus competidores sepan el funcionamiento exacto del software Management Engine. Intel también parece estar adoptando la "seguridad por oscuridad" aquí, intentando hacer más difícil que los atacantes aprendan y encuentren agujeros en el software Intel ME. Sin embargo, como han demostrado los recientes agujeros de seguridad, la seguridad por oscuridad no es una solución garantizada.
Esto no es ningún tipo de software de espionaje o monitoreo, a menos que una organización haya habilitado AMT y lo esté usando para monitorear sus propios PCs. Si el motor de administración de Intel estuviera en contacto con la red en otras situaciones, probablemente habríamos oído hablar de ella gracias a herramientas como Wireshark, que permiten a las personas supervisar el tráfico en una red.
Sin embargo, la presencia de software como Intel ME que no puede ser desactivado y es fuente cerrada es ciertamente una preocupación de seguridad. Es otra vía de ataque, y ya hemos visto agujeros de seguridad en Intel ME.
¿Su equipo de Intel ME es vulnerable?
El 20 de noviembre de 2017, Intel anunció graves agujeros de seguridad en Intel ME que habían sido descubiertos por investigadores de seguridad de terceros. Estos incluyen tanto fallas que permitirían a un atacante con acceso local ejecutar código con acceso total al sistema, como ataques remotos que permitirían a los atacantes con acceso remoto ejecutar código con acceso total al sistema. No está claro lo difícil que sería explotarlas.
Intel ofrece una herramienta de detección que puede descargar y ejecutar para averiguar si el Intel ME de su equipo es vulnerable o si se ha corregido.
Para usar la herramienta, descargue el archivo ZIP para Windows, ábralo y haga doble clic en la carpeta "DiscoveryTool. GUI". Haga doble clic en el archivo "Intel-SA-00086-GUI. exe" para ejecutarlo. Acepte el aviso de UAC y se le indicará si su PC es vulnerable o no.
Si su PC es vulnerable, sólo puede actualizar Intel ME actualizando el firmware UEFI del equipo. El fabricante de su equipo debe proporcionarle esta actualización, por lo que consulte la sección Soporte del sitio web del fabricante para ver si hay actualizaciones disponibles de UEFI o BIOS.
Intel también proporciona una página de soporte técnico con enlaces a información sobre las actualizaciones proporcionadas por diferentes fabricantes de equipos, y lo mantienen actualizado a medida que los fabricantes publican información de soporte técnico.
Los sistemas AMD tienen algo similar llamado AMD TrustZone, que se ejecuta en un procesador ARM dedicado.