計(jì)算機(jī)供應(yīng)商開始禁用Intel管理引擎

隱藏在基于英特爾的計(jì)算機(jī)內(nèi)部是一個(gè)叫做管理引擎(ME)的神秘程序。它與受信任的執(zhí)行引擎(TXE)和服務(wù)器平臺(tái)服務(wù)(SPS)一起可用于遠(yuǎn)程管理您的計(jì)算機(jī)。我們對“英特爾ME”幾乎一無所知，只是基于微型X操作系統(tǒng)，“是”，我非常不安全。因此，三臺(tái)計(jì)算機(jī)供應(yīng)商--Linux特定的OEM系統(tǒng)76和Purism和頂級PCBuilder戴爾--已決定為您提供禁用ME的計(jì)算機(jī)。

這些我的安全漏洞會(huì)影響數(shù)百萬的計(jì)算機(jī)。我支持英特爾的主動(dòng)管理技術(shù)(AMT)。這是一個(gè)功能強(qiáng)大的工具，允許管理員遠(yuǎn)程運(yùn)行計(jì)算機(jī)，即使設(shè)備未啟動(dòng)。讓我重復(fù)一遍：如果您的電腦有電源，即使它沒有運(yùn)行，它也會(huì)受到攻擊。如果攻擊者成功利用這些漏洞，攻擊者就可以運(yùn)行對操作系統(tǒng)完全不可見的惡意軟件。

大多數(shù)(但不是所有)ME漏洞都需要有人進(jìn)行物理訪問才能利用。另一個(gè)則為遠(yuǎn)程攻擊提供有效的管理憑據(jù)。盡管如此，這還是令人擔(dān)憂的。

英特爾發(fā)布了一個(gè)檢測工具，以便Linux和Windows用戶可以檢測他們的計(jì)算機(jī)是否容易受到攻擊。該公司還擁有一個(gè)頁面，提供鏈接以支持來自每個(gè)供應(yīng)商的頁面，因?yàn)樗麄兇_認(rèn)了易受攻擊的機(jī)器。

Intel承認(rèn)以下CPU易受攻擊：

現(xiàn)在或者在大多數(shù)這些芯片的路徑上都有固件補(bǔ)丁。這些補(bǔ)丁的交付是硬件供應(yīng)商的手中。

當(dāng)然，也有可能在這些芯片上發(fā)現(xiàn)更多的安全漏洞。這就是為什么一些銷售商正在遠(yuǎn)離英特爾的我。

首先，備受尊敬的LinuxPC制造商系統(tǒng)76宣布它發(fā)布了一個(gè)開源的程序來"類似于軟件當(dāng)前通過操作系統(tǒng)交付的方式，自動(dòng)將固件傳送到System76筆記本電腦。"這個(gè)程序的"在英特爾第6、第7和第8代筆記本電腦上自動(dòng)提供已禁用ME的更新固件。"。

此程序只在運(yùn)行Ubuntu 16.04 LTS、Ubuntu 17.04、Ubuntu 17.10、Pop！_OS 17.10或Ubuntu派生程序的膝上型計(jì)算機(jī)上工作，并安裝了System 76驅(qū)動(dòng)程序來接收最新的固件。

System 76還在開發(fā)一個(gè)shell命令工具，它將把這個(gè)固件上傳到運(yùn)行其他版本Linux的其他筆記本電腦上。系統(tǒng)76臺(tái)式機(jī)客戶將收到更新的固件，這修復(fù)了已知的安全漏洞，但我沒有。

早些時(shí)候，Purism宣布，它將在運(yùn)行開源軟件重啟芯片固件的筆記本電腦上禁用我。這不是一件小事。Purism的開發(fā)者不得不在不停止Wi-Fi的情況下通過多個(gè)抱箍來打擊我。

與此同時(shí)，戴爾正致力于為其電腦提供修補(bǔ)的英特爾ME固件，以及提供三款無法操作的商業(yè)設(shè)備。這些包括緯度14崎嶇的筆記本電腦，緯度15E 5570筆記本電腦，和緯度12堅(jiān)固的平板電腦。要獲得沒有我的命令，您必須使用“Intel vPro-ME不可操作的自定義訂單”選項(xiàng)來配置它們。這將使你多花20.92美元。

英特爾不推薦這些選項(xiàng)。在一份聲明中，一位英特爾發(fā)言人說，"ME為我們的用戶提供了重要的功能，包括安全啟動(dòng)、雙因素身份驗(yàn)證、系統(tǒng)恢復(fù)和企業(yè)設(shè)備管理等功能。由于所描述的配置必然會(huì)刪除大多數(shù)主流產(chǎn)品所需的功能，英特爾不支持此類配置。"

值得嗎？好吧，如果我擔(dān)心安全性，我不希望我的硬件在一個(gè)神秘的操作系統(tǒng)上運(yùn)行一組黑匣子程序，該系統(tǒng)在任何級別的本地控制下運(yùn)行。但是，嘿，那只是我。盡管如此，由于英特爾不支持這些配置，你的公司可能不想冒險(xiǎn)使用它們。

理想的解決方案是英特爾開源其程序和定制的Minix，以便系統(tǒng)管理員能夠準(zhǔn)確地知道在他們的個(gè)人電腦、平板電腦和服務(wù)器上運(yùn)行的是什么。我不認(rèn)為這要求太多。

如果不能做到這一點(diǎn)，英特爾應(yīng)該給供應(yīng)商和客戶一個(gè)簡單的選項(xiàng)來禁用這些芯片級的程序。