А что, если мы скажем вам, что злоумышленник может получить доступ к вашему компьютеру удаленно, даже если компьютер выключен? Не верите? На самом деле такая возможность есть. И в этой статье мы расскажем о том, как такое вообще возможно, как это работает и самое главное: как себя защитить от такого неожиданного взлома.
IME — что это такое?
Intel Management Engine (IME) — это встроенная во все в чипсеты Intel небольшая компьютерная подсистема, работающая независимо от основной операционной системы. IME предназначена для выполнения различных задач, включая управление энергопотреблением, диагностику и другие функции, даже когда основной компьютер находится в спящем режиме или выключен. В описании на сайте Intel указано, что IME необходима для обеспечения наивысшей производительности и функциональности ПК. Особенность IME в том, что она имеет неконтролируемый доступ к ключевым компонентам системы, таким как оперативная память, сетевые адаптеры, контроллеры PCI и USB.
Одной из главных проблем IME является ее закрытость и отсутствие возможности независимого анализа исходного кода. Это создает потенциальные риски безопасности, так как уязвимости в IME могут быть использованы злоумышленниками для несанкционированного доступа к данным и управления системой.
Intel признает эти уязвимости и выпускает обновления для их устранения. Однако, несмотря на эти меры, IME остается потенциально опасным компонентом, так как её полный функционал и возможности остаются неизвестными и неконтролируемыми пользователями и администраторами систем.
Как это работает
При выключении компьютера система переходит в режим пониженного энергопотребления, где большинство функций приостанавливается, но некоторые части ПК остаются активными, поддерживая минимальный уровень работы, аналогичный легкому сну. Технология Intel AMT (Active Management Technology) использует эту способность, чтобы оставаться активной и готовой к выполнению команд даже, когда ПК находится в состоянии низкого энергопотребления.
По сути у Intel AMT есть собственный процессор, собственно IME, о котором мы писали выше (это как бы процессор в процессоре) и сетевой интерфейс, которые позволяют системе работать независимо от основной операционной системы компьютера.
Когда авторизованный пользователь (обычно это сисадмин) хочет получить доступ к компьютеру, он отправляет сигнал пробуждения через Сеть. Получив этот сигнал, система AMT активирует компьютер в минимальной степени, необходимой для выполнения задач, таких как обновление программного обеспечения или устранение неполадок. Но, конечно, сделать это может и злоумышленник. Давайте рассмотрим, какие у него есть возможности.
Сценарии атаки на ваш компьютер
Поскольку Intel AMT функционирует независимо от установленной операционной системы, злоумышленник может осуществлять большой спектр самых разных атак, в том числе удаленную переустановку или удаление операционной системы.
Один из сценариев атак основан на использовании KVM (удаленного управления клавиатурой, мышью и монитором). Злоумышленник может выполнять любые физические операции на вашем компьютере, имитируя действия пользователя. Это позволяет не только просматривать и изменять данные, но и запускать приложения, устанавливать или удалять программы, а также изменять системные настройки.
Другой сценарий включает использование функции IDE-R (IDE Redirection), которая позволяет изменять загрузочное устройство на виртуальные образы. Это означает, что злоумышленник может настроить систему на загрузку операционной системы с удаленного виртуального диска вместо локального жесткого диска. В результате компьютер может загрузиться с предустановленной злоумышленником операционной системы, что предоставляет полный контроль над системой, включая доступ к данным и возможность установки вредоносного ПО.
Третьим важным инструментом для атак является SOL (Serial over LAN), который используется для удаленного включения, выключения или перезагрузки компьютера, а также изменения настроек BIOS. Эта функция позволяет злоумышленнику управлять состоянием системы, перезагружать ее для применения вредоносных изменений или менять настройки BIOS, чтобы получить больший контроль над устройством. Кроме того, через SOL можно изменить настройки безопасности и загрузочные параметры, что делает систему еще более уязвимой для дальнейших атак.
Как защититься?
Самый простой метод — выключить компьютер от сети. Дело в том, что все это будет работать только в случае, если выключенный компьютер все же подключен к розетке, и в него также подключен сетевой кабель или работает Wi-Fi. Так что можно просто выключать компьютер от розетки на ночь или отключать Интернет. Тогда никто не сможет подключиться к вашему компьютеру, ни при каких условиях. Понятно, что это не всегда возможно. Иногда вы заряжаете ноутбук или по какой-то иной причине держите компьютер включенный в розетку. Но здесь тоже есть решение.
Тут предусмотрена своя система защиты. В случае, если пользователь не является сотрудником организации с IT-отделом, присутствует возможность использования или отключения этой функции. Доступ к настройкам Intel AMT осуществляется через специальный интерфейс в процессе загрузки компьютера. Пользователь может настроить систему таким образом, чтобы для удаленного доступа требовался пароль, или полностью отключить функцию, если в ней нет необходимости.
Во-первых, необходимо установить сильные пароли для доступа к AMT. Во-вторых, следует регулярно обновлять прошивку и программное обеспечение, чтобы устранить известные уязвимости. Также рекомендуется ограничить доступ к AMT только доверенным пользователям.
А вы выключаете компьютер от сети, пока им не пользуетесь? Пишите в комментарии!
Если статья была вам полезна — ставьте лайк. И не забывайте подписываться на наш канал — впереди еще очень много интересного!