به لطف اینتل همه ما از سیستم عامل MINIX استفاده می‌کنیم، بدون اینکه خودمان انتخاب کرده باشیم!

از سیستم عامل ویندوز، لینوکس یا مک استفاده می‌کنید؟  اگر بگوییم کامپیوتر شما همین حالا یک سیستم عامل دیگر هم دارد چطور؟! اگر از چند نسل اخیر از پردازنده‌های اینتل که دارای قابلیت ME (Management Engine) هستند استفاده می‌کنید، بر روی کامپیوتر شما یک سیستم عامل دوم آن هم بدون اطلاع شما در حال اجرا است.

از سال 2006 اینتل یک فناوری مدیریت از راه دور ویژه‌ را در بسیاری از پردازنده‌ها و مادربردهای خود تعبیه کرده است. این فناوری که تحت نام Management Engine شناخته می‌شود، امکان کنترل کامپیوترها از راه دور را فراهم می‌کند اما یک تفاوت بنیادین با دیگر روش‌های کنترل و مدیریت از راه دور دارد و آن مستقل بودن از هر چیزی شامل سیستم عامل، وضعیت بوت بودن سیستم، هار دیسک و... است، بنابراین در سطح مطلق سخت افزاری تعبیه شده است. حتی این قابلیت هنگام خاموش بودن کامپیوتر نیز قابل دسترسی است. جالب‌تر اینکه این قابلیت در درون پردازنده‌های اینتل، هسته اختصاصی خود دارد.

در حقیقت Management Engine یک کامپیوتر کامل با برخورداری از یک ریزپردازنده 32 بیتی ARM واقع در چیپ ست است. این قابلیت خود یک کامپیوتر کوچک است که سیستم عامل ویژه‌ای را اجرا می‌کند، این سیستم عامل  چیزی نیست جز  MINIX 3. هنگامی که شما یک کامپیوتر بر پایه پردازنده‌های x86 اینتل تهیه می‌کنید، شما این قابلیت را نیز خریداری کرده‌اید. این کامپیوتر اضافی کاملاً از پردازنده اصلی سیستم مستقل است، بنابراین می‌تواند به طور مجزا حتی در مواقع قرار داشتن پردازنده در حالت S3 (تعلیق، نظیر خواب) به فعالیت بپردازد.
فعالیت Management Engine به طور کامل مستقل از سیستم عامل است، بنابراین هیچ اهمیتی ندارد از چه سیستم عاملی استفاده شود، به عبارتی دیگر؛ این ریزکامپیوتر مستقل از سیستم عامل نصب شده از سوی کاربر کار می‌کند. کاربرد قابلیت Management Engine یا همان ریزکامپیوتر درونی، ارائه امکان مدیریت کامپیوترها از راه دور است، با هدف فراهم کردن این امکان، Management Engine قادر به دسترسی به هر ناحیه‌ای از حافظه حتی بدون اطلاع پردازنده اصلی است و پردازنده اصلی سیستم به هیچ عنوان متوجه این دسترسی نمی‌شود. همچنین Management Engine یک سرور TCP/IP اجرا می‌کند و بسته‌های داده بر روی برخی درگاه‌ها خارج از کنترل و نظارت هر دیوار آتش(Firewall) ای، از سیستم تبادل می‌شوند.

قابلیت Management Engine در پردازنده‌های اینتل، یک کامپیوتر کامل با حافظه رم، ROM، پردازنده مجزا و حتی سیستم عامل است. در حقیقت قابلیت مزبور یک هسته پردازشی x86 بسیار کوچک مختص به خود را دارد که سیستم عامل MINIX را اجرا می‌کند. تا پیش از این تصور می‌شد اینتل از یک Firwmare اختصاصی استفاده کرده باشد اما حالا می دانیم از MINIX 3، یک سیستم عامل شبه Unix استفاده می کند. با این کار اینتل، حالا نه ویندوز، بلکه MINIX پر استفاده ترین سیستم عامل دنیا است.

MINIX از لحاظ طراحی، در حلقه 3- (منفی 3) پردازنده‌های اینتل اجرا می‌شود. معماری مجموعه دستورالعمل x86 از نظر مجوزهای اجرای دستورات به ring یا حلقه‌هایی تقسیم می‌شود. حلقه 3 برای حداقل دسترسی و حلقه صفر برای بیشترین دسترسی در نظر گرفته شده است. همگام با تحول این ریز معماری، نیاز به سطح‌های عمیق‌تر نیز به وجود آمد و مکانیزم‌های تفکیک دسترسی بیشتری توسعه داده شدند و سطح مطلق صفر به سطح‌های بیشتری با مجوزهای بالاتری تفکیک شد که به‌صورت منفی (-) نام گذاری شده‌اند.از نظر امنیتی و دسترسی، این حلقه‌ها (Ring) هرچه که به صفر نزدیک شوند، برنامه بیشتر توانایی دسترسی و کنترل سخت افزار را می‌یابد اما با عبور از صفر و رسیدن به حلقه‌های منفی، کُد یا برنامه قادر به تعامل بسیار عمیق با سخت افزار است و این از نظر امنیتی می‌تواند تهدید بزرگی باشد. برنامه‌های معمولی مورد استفاده ما در سطح مثبت 3 اجرا می‌شوند اما Management Engine در سطح منفی 3، بنابراین دسترسی فوق‌العاده عمیقی به سخت افزار از جمله حافظه و پردازنده دارد. تهدیدهای حلقه صفر در سطح هسته (Kernel)، تهدیدهای حلقه منفی 1 در سطح Hypervisor (یک سطح پایین‌تر از هسته و نزدیک‌تر به سخت افزار مطلق) اجرا می‌شوند. تهدیدهای حلقه منفی 2 در حالت ویژه‌ای از پردازنده به نام SMM اجرا می‌شوند. SMM سرواژه System-Management-Mode است، در این حالت می‌توان کدها را به طور مستقیم به پردازنده ابلاغ کرد، بنابراین اگر تهدیدی به سطح‌های پایین‌تر از صفر دسترسی داشته باشد، علاوه بر کنترل کامل سیستم، می‌تواند به طور کامل مخفی بماند.

برای درک بهتر دسترسی هر یک از سطوح یا شده، باید بگوییم اغلب برنامه‌های کاربر در سطح 3+ اجرا می‌شوند! بنابراین کاربر مستقیماً هیچ گونه دسترسی به MINIX و پردازنده اختصاصی آن ندارد. به عبارتی دیگر، شما هیچ گونه دسترسی به MINIX و کامپیوتر مجزا آن ندارید اما MINIX دسترسی کامل به کامپیوتر شما دارد!

احتمالاً حالا می‌پرسید Management Engine چه کاری انجام می‌دهد و چرا اینتل آن را تعبیه کرده است، Management Engine بخشی از فناوری مدیریت از راه دور اینتل است که عمده کاربرد آن مدیریت تحت شبکه و کنترل از راه دور تعداد زیادی کامپیوتر چون شرکت‌ها و مراکز داده است.

اگر حس خوبی نسبت به قابلیت Management Engine پردازنده‌های اینتل ندارید، باید بگوییم شما تنها نیستید، کمپانی گوگل رسماً به دنبال حذف این قابلیت از پردازنده‌های اینتل مورد استفاده خود است، چراکه معتقد هستند امنیت کامپیوترهای آنها را در معرض تهدید قرار می‌دهد.

Management Engine دارای چندین بخش از جمله یک وب سرور با قابلیت دسترسی از طریق شبکه است. درست همان‌طور که خواندید، پردازنده‌های اینتل دارای یک وب سرور داخلی گوش به فرمان هستند، از این وب سرور جهت روشن کردن و مدیریت کامپیوتر از راه دور استفاده می‌شود.

استفاده اینتل از سیستم عامل MINIX 3 از سوی پژوهشگران امنیتی افشا شده است.