Intel Management Engine: un secondo computer nel tuo PC
Acquisti un portatile e pensi che l’unico cervello sia il processore centrale. In realtà, dal 2008 intel nasconde un secondo micro-computer, l’IME (Intel Management Engine), saldato sulla scheda madre.
Ha la sua RAM, il suo sistema operativo, resta acceso anche quando spegni il computer (basta che la batteria sia inserita) e avvia per primo ogni singolo bit del sistema.
Intel dice aver introdotto il Management Engine per dare agli amministratori di rete la possibilità di gestire da remoto grandi parchi macchine: aggiornare sistemi, riattivare PC spenti, eseguire manutenzione senza recarsi fisicamente sul posto.
Magari sarà anche comodo in ufficio, ma è spaventoso in casa: lo stesso canale può trasformarsi in un telecomando invisibile se qualcuno trova — o compra — la chiave.
L’Intel Management Engine ha un codice sorgente proprietario, nessuno al di fuori di Intel può leggerlo (o comprenderlo) o affermare con certezza cosa stia facendo.
L’Intel Management Engine ha accesso diretto alla memoria, alla rete e a molte funzioni critiche; può leggere e scrivere dati senza che il sistema operativo (Windows o Linux che sia) se ne accorga.
A differenza di un normale programma, l’Intel Management Engine vive al di sotto del sistema operativo: può leggere la memoria in chiaro, mettere in pausa la CPU o riavviarla senza lasciare tracce, anche a PC spento.
In altre parole, si tratta di fatto di un potenziale “trojan”, ad un livello così primordiale che resta invisibile al sistema operativo (e figuriamoci a livello di applicativi, es. Antivirus).
Un problema reale: falle e mancanza di trasparenza
Nel 2017 alcuni ricercatori scoprirono gravi falle nell’Intel Management Engine: un pirata poteva prendere il pieno controllo del computer agendo da remoto. Intel pubblicò correzioni, ma finché il codice dell’IME rimane segreto, nessuno al di fuori di Intel può controllarlo davvero e accorgersi in tempo di nuovi “buchi”.
Tutti i desktop e laptop Intel (con processori Core 2, i3, i5, i7, i9) e Xeon introdotti dal 2008 a oggi includono l’Intel Management Engine. Fanno eccezione pochi modelli certificati «high assurance platform», dove il chip è disattivato in fabbrica. I computer più vecchi (Pentium 4, Core Duo,…) ne sono privi oppure permettono di disattivarlo del tutto.
Passare ad AMD, principale rivale di Intel, non è d’aiuto: AMD integra da anni un modulo analogo chiamato Platform Security Processor (PSP). Si tratta di un micro-controllore indipendente, presente sulle piattaforme AMD dal 2013 in poi, con privilegi e problemi di trasparenza simili a quelli dell’Intel Management Engine.
Come difendersi e fare scelte consapevoli
Se vuoi ridurre al minimo i rischi, la soluzione più semplice è usare computer in cui l’Intel Management Engine non c’è, per esempio i portatili Intel costruiti prima del 2008. Se si vuole invece avere un portatile più recente, ci sono tre strade possibili:
- La prima è sostituire il BIOS originale con uno “open”, per esempio Coreboot, Libreboot o Openboot, così elimini buona parte del codice nascosto di fabbrica.
- La seconda consiste nell’eseguire un piccolo programma che limita il firmware e lascia attivi solo i pezzi necessari all’accensione (flash del chip).
- La terza è entrare nel menu di configurazione (BIOS o UEFI) e disattivare le voci “Intel AMT” o “Manageability”, bloccando almeno la funzione di controllo remoto… anche se il chip in questa maniera NON viene disabilitato.
Nessuna di queste operazioni è una passeggiata, ma con un po’ di manuale o l’aiuto di un tecnico IT si possono mettere in pratica.
Conclusione
Dentro quasi tutti i PC e laptop vi è quindi un “computer nel computer” di cui pochi sono a conoscenza. Conoscere il problema è il primo passo per scegliere meglio: firmware libero, modelli senza Intel Management Engine o… in ultima istanza, affidarsi a ditte come la nostra che fornisce portatili con libreboot o coreboot (ie. con IME/PSP disattivato) o vi aiuta a modificare questi chip nel tuo portatile esistente.
Prendere conoscenza dell’esistenza di questo “ospite” ti dovrebbe motivare a:
- installare sempre gli aggiornamenti di sicurezza
- preferire PC con firmware libero o con il chip già neutralizzato
- affidarti a negozi che vendono portatili verificati e puliti. In pratica: più sai, meglio puoi proteggerti.
Compagnie come Green Web Solutions possono aiutarvi a trovare una soluzione.
