計算機供應商開始禁用Intel管理引擎

隱藏在基于英特爾的計算機內部是一個叫做管理引擎(ME)的神秘程序。它與受信任的執(zhí)行引擎(TXE)和服務器平臺服務(SPS)一起可用于遠程管理您的計算機。我們對“英特爾ME”幾乎一無所知，只是基于微型X操作系統(tǒng)，“是”，我非常不安全。因此，三臺計算機供應商--Linux特定的OEM系統(tǒng)76和Purism和頂級PCBuilder戴爾--已決定為您提供禁用ME的計算機。

這些我的安全漏洞會影響數百萬的計算機。我支持英特爾的主動管理技術(AMT)。這是一個功能強大的工具，允許管理員遠程運行計算機，即使設備未啟動。讓我重復一遍：如果您的電腦有電源，即使它沒有運行，它也會受到攻擊。如果攻擊者成功利用這些漏洞，攻擊者就可以運行對操作系統(tǒng)完全不可見的惡意軟件。

大多數(但不是所有)ME漏洞都需要有人進行物理訪問才能利用。另一個則為遠程攻擊提供有效的管理憑據。盡管如此，這還是令人擔憂的。

英特爾發(fā)布了一個檢測工具，以便Linux和Windows用戶可以檢測他們的計算機是否容易受到攻擊。該公司還擁有一個頁面，提供鏈接以支持來自每個供應商的頁面，因為他們確認了易受攻擊的機器。

Intel承認以下CPU易受攻擊：

現在或者在大多數這些芯片的路徑上都有固件補丁。這些補丁的交付是硬件供應商的手中。

當然，也有可能在這些芯片上發(fā)現更多的安全漏洞。這就是為什么一些銷售商正在遠離英特爾的我。

首先，備受尊敬的LinuxPC制造商系統(tǒng)76宣布它發(fā)布了一個開源的程序來"類似于軟件當前通過操作系統(tǒng)交付的方式，自動將固件傳送到System76筆記本電腦。"這個程序的"在英特爾第6、第7和第8代筆記本電腦上自動提供已禁用ME的更新固件。"。

此程序只在運行Ubuntu 16.04 LTS、Ubuntu 17.04、Ubuntu 17.10、Pop！_OS 17.10或Ubuntu派生程序的膝上型計算機上工作，并安裝了System 76驅動程序來接收最新的固件。

System 76還在開發(fā)一個shell命令工具，它將把這個固件上傳到運行其他版本Linux的其他筆記本電腦上。系統(tǒng)76臺式機客戶將收到更新的固件，這修復了已知的安全漏洞，但我沒有。

早些時候，Purism宣布，它將在運行開源軟件重啟芯片固件的筆記本電腦上禁用我。這不是一件小事。Purism的開發(fā)者不得不在不停止Wi-Fi的情況下通過多個抱箍來打擊我。

與此同時，戴爾正致力于為其電腦提供修補的英特爾ME固件，以及提供三款無法操作的商業(yè)設備。這些包括緯度14崎嶇的筆記本電腦，緯度15E 5570筆記本電腦，和緯度12堅固的平板電腦。要獲得沒有我的命令，您必須使用“Intel vPro-ME不可操作的自定義訂單”選項來配置它們。這將使你多花20.92美元。

英特爾不推薦這些選項。在一份聲明中，一位英特爾發(fā)言人說，"ME為我們的用戶提供了重要的功能，包括安全啟動、雙因素身份驗證、系統(tǒng)恢復和企業(yè)設備管理等功能。由于所描述的配置必然會刪除大多數主流產品所需的功能，英特爾不支持此類配置。"

值得嗎？好吧，如果我擔心安全性，我不希望我的硬件在一個神秘的操作系統(tǒng)上運行一組黑匣子程序，該系統(tǒng)在任何級別的本地控制下運行。但是，嘿，那只是我。盡管如此，由于英特爾不支持這些配置，你的公司可能不想冒險使用它們。

理想的解決方案是英特爾開源其程序和定制的Minix，以便系統(tǒng)管理員能夠準確地知道在他們的個人電腦、平板電腦和服務器上運行的是什么。我不認為這要求太多。

如果不能做到這一點，英特爾應該給供應商和客戶一個簡單的選項來禁用這些芯片級的程序。