Производители ноутбуков начали отключать «черный ящик» Intel

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
В то время как Intel выпустила исправления для подсистемы Intel Management Engine, и поставщики компьютерных систем адаптируют их для своих конечных разработок, сразу три вендора начали продавать ноутбук с деактивированным ME.

Без подсистемы и без ущерба

Dell и некоторые другие вендоры начали выпускать ноутбуки на базе чипсетов Intel с отключенными функциями Intel Management Engine. Программная оболочка Intel ME, как недавно выяснилось, полна уязвимостей.

Три компании: Purism, System76, а теперь еще и Dell начали поставлять ноутбуки с отключенным Intel ME. Интересно, что компания Purism начала предлагать подобное еще в октябре 2017 г., до того, как Intel признала наличие серии уязвимостей.

Что такое Management Engine

Intel Management Engine представляет собой подсистему, встроенную в чипсет и предназначенную для различных задач, связанных с мониторингом и обслуживанием компьютера во время сна, загрузки, а также в процессе его работы.

Впервые данные технологии были реализованы в чипсетах Intel в 2006 г. ME по сути представляет собой «компьютер в компьютере», вплоть до наличия собственного процессора, независимого от центрального системного процессора компьютера.

У ME есть «служебный» доступ к сетевому оборудованию, периферийным устройствам, памяти, накопителям и всем процессорам системы. По сути ME является «черным ящиком», о котором представители Intel не любили говорить.

Производители ноутбуков Dell, Purism и System76 начали предлагать покупателям предпродажное отключение системы Intel ME

Зато о нем охотно и без особенного позитива говорят специалисты по безопасности, особенно после того, как в нем начали находить уязвимости. В ноябре, после тщательного аудита, эксперты Intel признали наличие в Intel ME множества багов, затрагивающих процессоры сразу трех поколений.

Три «диссидента»

Три компании на сегодняшний день начали предлагать ноутбуки с деактивированной функциональностью Intel ME. Первой стала компания Purism, поставляющая ноутбуки под маркой Librem. Отключить функции Intel ME очень сложно чисто технически. Эксперты компании Positive Technologies (а именно эта компания одной из первых указала на недостатки Intel ME) нашли способ отключать эту подсистему без ущерба для остального функционирования ноутбуков. Тот же метод используют инженеры Purism - для улучшения защиты своих клиентов.

Компания System76 выпускает ПК на базе Linux (Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop!_OS 17.10 и др.), и в ближайшем будущем планирует распространить апдейты к программным прошивкам своих ноутбуков, где функции Intel ME будут отключены.

В десктопах System76 отключения Intel ME не предполагается.

Наконец, Dell без шума обновила свой онлайновый магазин и начала предлагать компьютеры с деактивированным Intel ME.

Никаких официальных заявлений по этому поводу Dell не делала, так что сказать, когда именно начались продажи лэптопов без Intel ME, не представляется возможным. Опция отключения ME в магазине Dell стоит $20,91.

«Попытки предлагать системы без Intel ME выглядят вполне логичными, и наверняка гораздо большее количество вендоров отключили бы эту подсистему при условии, что эту операцию можно было легко осуществить, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - С другой стороны, Intel уже выпустил обновления, которые теперь поставщики компьютерных систем адаптируют для своих конечных разработок. Так что в определенной степени отключение Intel ME - это скорее маркетинговый ход, а не практическая мера».

Роман Гинятуллин отметил также, что ключевой проблемой Intel ME, помимо выявленных в ней ошибок, является ее недостаточная задокументированность. Как следствие, очень мало кто знает, что именно происходит у нее под капотом, а недостаток информации гарантирует множество проблем. В том числе, связанных с устранением выявленных недостатков таких систем, как Intel ME.