Intel Management Engine

INTEL MANAGEMENT ENGINE NEDİR?

Intel Management Engine ya da IME, 2008 yılından beri Intel firmasının ürettiği tüm işlemcilerde bulunan otonom alt sistemdir. Ufak ve düşük güç ile çalışan alt sistemin görevi Intel’in tanımlamasına göre sistem uykudayken, başlarken ve çalışırken çeşitli işlerin yapılmasını sağlamaktır.

Bu alt sistem Minix işletim sisteminin değiştirilmiş bir versiyonunu kullanmaktadır. Bunun ötesinde IME’nin içinde çalışan kodların ne olduğu yalnızca Intel tarafından biliniyor.

20 Kasım 2017 tarihinde Intel’in yayınladığı güvenlik raporuna göre IME’nin 6.x versiyonundan 11.20 versiyonuna kadar etkileyen kernel buffer overflow açığı bulunmuştur. Yayınlanan açık sistemde kod çalıştırabilen bir saldırganın sistemi tamamen ele geçirebilmesini sağlayabilmektedir.

IME’nin şirketler tarafından kontrolü için Active Management Technology ya da AMT kullanılmaktadır. Bu programın amacı şirketlerin kullandıkları cihazları uzaktan açma, kapama, konfigüre etme gibi işlemleri yapabilmelerini sağlamaktır. IME’nin aksine normal kullanıcıların cihazlarında kapalı olarak gelmektedir. 2017 yılında Intel’in yayınlamış olduğu güvenlik raporunda cihaz ile aynı ağda olan bir saldırganın uzaktan login sistemini bypass edebildiğini açıkladı. Bu saldırı her ne kadar normal kullanıcıları etkilemese de oldukça tehlikeli olan güvenlik açığı acaba bunun gibi başka güvenlik açıkları olup olmadığı konusunda akıllarda soru işaretleri bırakmakta.

Neden Güvenlik Problemi?

IME sistemi kapalı olsa bile sistemde elektrik varsa çalışmaktadır. Ayrıca IME Ring -3’te çalıştığı için sistemde işlemciye haber vermeye gerek duymadan hafızanın tamamına erişebilmekte ve yine işlemcinin haberi olmadan internet ile iletişime geçebilmektedir. Durum böyle olunca işlemciyi üreten firma güvenliği en üst düzeyde tutsa bile yapılacak en ufak hatanın sömürülmesi durumunda milyonlarca kişinin ve kuruluşun bilgisayarı uzaktan erişilebilecek hale gelecektir.

Önceki başlıkta bahsedilen güvenlik açıkları için her ne kadar Intel patch yayınlamış olsa da patchlerin son kullanıcıya anakart üreticileri tarafından gönderilmesi gerekmektedir. Ancak her anakart üreticisi sattığı her ürün için firmware güncellemesi çıkartmamakta.

Ayrıca istihbarat teşkilatlarının sistemlerde bulunan güvenlik açıklarına yıllar öncesinden erişimi olabilmektedir. Bu yüzden her türlü güvenlik önlemini alsanız bile yeterince büyük bir hedef iseniz sisteminize sızılması olasılığı bulunuyor.

Diğer Firmalar

AMD firmasının işlemcilerinde ise 2013 yılından bu yana AMD Platform Security Processor (PSP) isimli alt sistem bulunmaktadır. Ana sistemden ayrı olarak ARM işlemcide çalışan bu sistem cihazın açılış sürecini kontrol etmekte ve sistemde çalışan şüpheli işlemleri izlemektedir. Mart 2018’de yayınlanan ve yayınlandığında hisse senedi manipülasyonu şüpheleri uyandıran FALLOUT, RYZENFALL ve MASTERKEY güvenlik açıkları PSP sisteminde bulunan açıkları kullanmaktadır.

Nasıl Kapatılır?

IME’nin kapatılması için me_cleaner adlı python scripti bulunmaktadır. Script 2009’dan önce çıkan işlemcilerde IME’yi tamamen silerken 2009 sonrasında üretilmiş olan işlemcilerde firmware’i değiştirerek IME’nin yalnızca sistem açılırken çalışmasını sağlamaktadır.

Purism firması IME kapatılmış cihazları son kullanıcıya satmakta. Dell firması iş serisi olan Latitude modelinin bazı versiyonlarında IME kapatma opsiyonu sunmakta.

Eğer IME ve türevlerinden tam olarak kurtulmak istiyorsanız tavsiyemiz kendi işlemcinizi yapmayacaksanız ARM ya da PowerPC mimarisine yönelmeniz olacaktır.

Blog postu ile ilgili bir sorunuz varsa bizimle iletişime geçebilirsiniz.

Onur ERHAN

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Sızma testi hizmetlerimizi incelediniz mi?