Проект «Зубочистка»

Описание

Intel Management Engine ME - автономная подсистема, интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств;
Через PCH проходит почти все общение процессора с внешними устройствами, т.е. Intel ME имеет доступ к содержимому памяти, практически ко всем данным на компьютере и может исполнять сторонний код, что позволяет полностью скомпрометировать платформу посредством ME;
Intel ME работает даже когда компьютер выключен, т.е. компрометацию через Intel ME вряд ли обнаружат стандартные защитные решения.
В 2018 г были опубликованы и признаны сообщения об обнаружении серьезных уязвимостей в продуктах Intel Management Engine (ME), представляющих опасность для процессоров.

Уязвимости в продуктах Intel Management Engine (ME) представляют серьезную опасность для процессоров:

  • 6, 7 и 8 поколений Intel® Core™;
  • Intel® Xeon® E3-1200 v5 и v6;
  • Intel® Xeon® линейки Scalable;
  • Intel® Xeon® линейки W;
  • Intel® Atom® линейки C3000;
  • Apollo Lake Intel® Atom серии E3900;
  • Apollo Lake Intel® Pentium™;
  • Celeron™ серий N и J.

Модуль осуществляет фильтрацию трафика по следующим признакам:

  • порт 5900 – AMT VNC-сервер без шифрования;
  • порт 16992 – AMT веб-сервер по протоколу HTTP;
  • порт 16993 – AMT веб-сервер по протоколу HTTPS;
  • порт 16994 – AMT redirection для SOL, IDE-R, KVM без шифрования;
  • порт 16995 – AMT redirection для SOL, IDE-R, KVM с TLS.

Иллюстрации

Спецификация

  • Скорость передачи 1,25 Гбит/с
  • Задержка при обработке данных <10 мкс
  • Возможность горячей замены
  • Длина волны передачи:1310/1550 нм на выбор
  • Дальность: до 20 км

Опыт применения технологии

Продукция с применением данной технологии выпускается на постоянной основе на мощностях ООО «ФТ» г. Новосибирск.

Преимущества

  • Функционал фильтрации потока данных (Firewall) выполняется до его входа на сервер
  • Является наиболее дешевым решением относительно существующих предложений на рынке
  • Возможность дальнейшей безопасной эксплуатации оборудования Intel