از سیستم عامل ویندوز، لینوکس یا مک استفاده میکنید؟ اگر بگوییم کامپیوتر شما همین حالا یک سیستم عامل دیگر هم دارد چطور؟! اگر از چند نسل اخیر از پردازندههای اینتل که دارای قابلیت ME (Management Engine) هستند استفاده میکنید، بر روی کامپیوتر شما یک سیستم عامل دوم آن هم بدون اطلاع شما در حال اجرا است.
از سال 2006 اینتل یک فناوری مدیریت از راه دور ویژه را در بسیاری از پردازندهها و مادربردهای خود تعبیه کرده است. این فناوری که تحت نام Management Engine شناخته میشود، امکان کنترل کامپیوترها از راه دور را فراهم میکند اما یک تفاوت بنیادین با دیگر روشهای کنترل و مدیریت از راه دور دارد و آن مستقل بودن از هر چیزی شامل سیستم عامل، وضعیت بوت بودن سیستم، هار دیسک و... است، بنابراین در سطح مطلق سخت افزاری تعبیه شده است. حتی این قابلیت هنگام خاموش بودن کامپیوتر نیز قابل دسترسی است. جالبتر اینکه این قابلیت در درون پردازندههای اینتل، هسته اختصاصی خود دارد.
در حقیقت Management Engine یک کامپیوتر کامل با برخورداری از یک ریزپردازنده 32 بیتی ARM واقع در چیپ ست است. این قابلیت خود یک کامپیوتر کوچک است که سیستم عامل ویژهای را اجرا میکند، این سیستم عامل چیزی نیست جز MINIX 3. هنگامی که شما یک کامپیوتر بر پایه پردازندههای x86 اینتل تهیه میکنید، شما این قابلیت را نیز خریداری کردهاید. این کامپیوتر اضافی کاملاً از پردازنده اصلی سیستم مستقل است، بنابراین میتواند به طور مجزا حتی در مواقع قرار داشتن پردازنده در حالت S3 (تعلیق، نظیر خواب) به فعالیت بپردازد.
فعالیت Management Engine به طور کامل مستقل از سیستم عامل است، بنابراین هیچ اهمیتی ندارد از چه سیستم عاملی استفاده شود، به عبارتی دیگر؛ این ریزکامپیوتر مستقل از سیستم عامل نصب شده از سوی کاربر کار میکند. کاربرد قابلیت Management Engine یا همان ریزکامپیوتر درونی، ارائه امکان مدیریت کامپیوترها از راه دور است، با هدف فراهم کردن این امکان، Management Engine قادر به دسترسی به هر ناحیهای از حافظه حتی بدون اطلاع پردازنده اصلی است و پردازنده اصلی سیستم به هیچ عنوان متوجه این دسترسی نمیشود. همچنین Management Engine یک سرور TCP/IP اجرا میکند و بستههای داده بر روی برخی درگاهها خارج از کنترل و نظارت هر دیوار آتش(Firewall) ای، از سیستم تبادل میشوند.
قابلیت Management Engine در پردازندههای اینتل، یک کامپیوتر کامل با حافظه رم، ROM، پردازنده مجزا و حتی سیستم عامل است. در حقیقت قابلیت مزبور یک هسته پردازشی x86 بسیار کوچک مختص به خود را دارد که سیستم عامل MINIX را اجرا میکند. تا پیش از این تصور میشد اینتل از یک Firwmare اختصاصی استفاده کرده باشد اما حالا می دانیم از MINIX 3، یک سیستم عامل شبه Unix استفاده می کند. با این کار اینتل، حالا نه ویندوز، بلکه MINIX پر استفاده ترین سیستم عامل دنیا است.
MINIX از لحاظ طراحی، در حلقه 3- (منفی 3) پردازندههای اینتل اجرا میشود. معماری مجموعه دستورالعمل x86 از نظر مجوزهای اجرای دستورات به ring یا حلقههایی تقسیم میشود. حلقه 3 برای حداقل دسترسی و حلقه صفر برای بیشترین دسترسی در نظر گرفته شده است. همگام با تحول این ریز معماری، نیاز به سطحهای عمیقتر نیز به وجود آمد و مکانیزمهای تفکیک دسترسی بیشتری توسعه داده شدند و سطح مطلق صفر به سطحهای بیشتری با مجوزهای بالاتری تفکیک شد که بهصورت منفی (-) نام گذاری شدهاند.از نظر امنیتی و دسترسی، این حلقهها (Ring) هرچه که به صفر نزدیک شوند، برنامه بیشتر توانایی دسترسی و کنترل سخت افزار را مییابد اما با عبور از صفر و رسیدن به حلقههای منفی، کُد یا برنامه قادر به تعامل بسیار عمیق با سخت افزار است و این از نظر امنیتی میتواند تهدید بزرگی باشد. برنامههای معمولی مورد استفاده ما در سطح مثبت 3 اجرا میشوند اما Management Engine در سطح منفی 3، بنابراین دسترسی فوقالعاده عمیقی به سخت افزار از جمله حافظه و پردازنده دارد. تهدیدهای حلقه صفر در سطح هسته (Kernel)، تهدیدهای حلقه منفی 1 در سطح Hypervisor (یک سطح پایینتر از هسته و نزدیکتر به سخت افزار مطلق) اجرا میشوند. تهدیدهای حلقه منفی 2 در حالت ویژهای از پردازنده به نام SMM اجرا میشوند. SMM سرواژه System-Management-Mode است، در این حالت میتوان کدها را به طور مستقیم به پردازنده ابلاغ کرد، بنابراین اگر تهدیدی به سطحهای پایینتر از صفر دسترسی داشته باشد، علاوه بر کنترل کامل سیستم، میتواند به طور کامل مخفی بماند.
برای درک بهتر دسترسی هر یک از سطوح یا شده، باید بگوییم اغلب برنامههای کاربر در سطح 3+ اجرا میشوند! بنابراین کاربر مستقیماً هیچ گونه دسترسی به MINIX و پردازنده اختصاصی آن ندارد. به عبارتی دیگر، شما هیچ گونه دسترسی به MINIX و کامپیوتر مجزا آن ندارید اما MINIX دسترسی کامل به کامپیوتر شما دارد!
احتمالاً حالا میپرسید Management Engine چه کاری انجام میدهد و چرا اینتل آن را تعبیه کرده است، Management Engine بخشی از فناوری مدیریت از راه دور اینتل است که عمده کاربرد آن مدیریت تحت شبکه و کنترل از راه دور تعداد زیادی کامپیوتر چون شرکتها و مراکز داده است.
اگر حس خوبی نسبت به قابلیت Management Engine پردازندههای اینتل ندارید، باید بگوییم شما تنها نیستید، کمپانی گوگل رسماً به دنبال حذف این قابلیت از پردازندههای اینتل مورد استفاده خود است، چراکه معتقد هستند امنیت کامپیوترهای آنها را در معرض تهدید قرار میدهد.
Management Engine دارای چندین بخش از جمله یک وب سرور با قابلیت دسترسی از طریق شبکه است. درست همانطور که خواندید، پردازندههای اینتل دارای یک وب سرور داخلی گوش به فرمان هستند، از این وب سرور جهت روشن کردن و مدیریت کامپیوتر از راه دور استفاده میشود.
استفاده اینتل از سیستم عامل MINIX 3 از سوی پژوهشگران امنیتی افشا شده است.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت