Tecnología Intel Active Management

Plataforma de gestión fuera de banda

Una parte de la interfaz de administración web de Intel AMT, accesible incluso cuando la computadora está en reposo

Intel Active Management Technology ( AMT ) es hardware y firmware para la administración remota fuera de banda de computadoras empresariales seleccionadas, ^{[1] [2]} que se ejecuta en Intel Management Engine , un subsistema de microprocesador no expuesto al usuario, destinado a monitorear, mantener, actualizar y reparar sistemas. ^{[1] La administración} fuera de banda (OOB) o basada en hardware es diferente de la administración basada en software (o en banda) y los agentes de administración de software. ^[1]

La gestión basada en hardware funciona en un nivel diferente al de las aplicaciones de software y utiliza un canal de comunicación (a través de la pila TCP/IP ) que es diferente de la comunicación basada en software (que es a través de la pila de software en el sistema operativo). La gestión basada en hardware no depende de la presencia de un sistema operativo o de un agente de gestión instalado localmente. La gestión basada en hardware ha estado disponible en ordenadores basados ​​en Intel/AMD en el pasado, pero se ha limitado en gran medida a la configuración automática mediante DHCP o BOOTP para la asignación dinámica de direcciones IP y estaciones de trabajo sin disco , así como a wake-on-LAN (WOL) para encender sistemas de forma remota. ^[3] AMT no está pensado para utilizarse por sí solo; está pensado para utilizarse junto con una aplicación de gestión de software. ^[1] Da a una aplicación de gestión (y, por tanto, al administrador del sistema que la utiliza) acceso a la PC a través de la red, para realizar de forma remota tareas que son difíciles o, a veces, imposibles cuando se trabaja en una PC que no tiene funcionalidades remotas integradas. ^{[1] [4] [5]}

AMT está diseñado en un procesador de servicio ubicado en la placa base y utiliza comunicación segura TLS y cifrado fuerte para proporcionar seguridad adicional. ^[6] AMT está integrado en PC con tecnología Intel vPro y se basa en Intel Management Engine (ME). ^[6] AMT ha avanzado hacia una mayor compatibilidad con los estándares DMTF Desktop y mobile Architecture for System Hardware (DASH) y AMT Release 5.1 y versiones posteriores son una implementación de los estándares DASH versión 1.0/1.1 para la gestión fuera de banda. ^[7] AMT proporciona una funcionalidad similar a IPMI , aunque AMT está diseñado para sistemas informáticos de cliente en comparación con el IPMI típicamente basado en servidor.

Actualmente, AMT está disponible en computadoras de escritorio, servidores, ultrabooks, tabletas y portátiles con la familia de procesadores Intel Core vPro , incluidos Intel Core i5, Core i7, Core i9 y la familia de productos Intel Xeon E3-1000, Xeon E, Xeon W-1000. ^{[1] [8] [9]} AMT también requiere una tarjeta de red Intel y la versión corporativa del binario Intel Management Engine. ^[10]

Intel confirmó un error de Elevación remota de privilegios ( CVE - 2017-5689, SA-00075) en su Tecnología de administración el 1 de mayo de 2017. ^[11] Cada plataforma Intel con Intel Standard Manageability, Active Management Technology o Small Business Technology, desde Nehalem en 2008 hasta Kaby Lake en 2017 tiene un agujero de seguridad explotable de forma remota en el ME. ^{[12] [13]} Algunos fabricantes, como Purism ^[14] y System76 ^[15] ya están vendiendo hardware con Intel Management Engine deshabilitado para evitar la explotación remota. Intel confirmó el 20 de noviembre de 2017 (SA-00086) otras fallas de seguridad importantes en el ME que afectan a una gran cantidad de computadoras que incorporan firmware Management Engine, Trusted Execution Engine y Server Platform Services , desde Skylake en 2015 hasta Coffee Lake en 2017.

Acceso a servicios no gratuitos

Si bien iAMT puede incluirse de forma gratuita en dispositivos vendidos al público y a pequeñas empresas, las capacidades completas de iAMT, incluido el acceso remoto cifrado a través de un certificado de clave pública y el aprovisionamiento remoto automático de dispositivos clientes iAMT no configurados, no son accesibles de forma gratuita para el público en general o para los propietarios directos de dispositivos equipados con iAMT. iAMT no se puede utilizar en todo su potencial sin comprar software adicional o servicios de administración de Intel u otro proveedor de software independiente (ISV) o revendedor de valor agregado (VAR) externo .

Intel proporciona un paquete de software de herramientas para desarrolladores que permite un acceso básico a iAMT, pero no está pensado para utilizarse normalmente para acceder a la tecnología. ^[16] Solo se admiten modos básicos de acceso, sin acceso completo a las comunicaciones cifradas del sistema de gestión completo adquirido. ^[17]

Características

Intel AMT incluye funciones de administración remota, seguridad, administración de energía y configuración remota basadas en hardware que permiten el acceso remoto independiente a PC con AMT habilitado. ^[5] Intel AMT es una tecnología de seguridad y administración que está integrada en PC con tecnología Intel vPro . ^[1]

Intel AMT utiliza un canal de comunicación fuera de banda (OOB) basado en hardware ^[1] que funciona independientemente de la presencia de un sistema operativo en funcionamiento. El canal de comunicación es independiente del estado de energía de la PC, la presencia de un agente de administración y el estado de muchos componentes de hardware, como unidades de disco duro y memoria .

La mayoría de las funciones de AMT están disponibles OOB, independientemente del estado de energía de la PC. ^[1] Otras funciones requieren que la PC esté encendida (como la redirección de la consola a través de serial over LAN (SOL), la verificación de presencia del agente y el filtrado del tráfico de red). ^[1] Intel AMT tiene capacidad de encendido remoto.

Las funciones basadas en hardware se pueden combinar con secuencias de comandos para automatizar el mantenimiento y el servicio. ^[1]

Las funciones AMT basadas en hardware en computadoras portátiles y de escritorio incluyen:

• Canal de comunicación remoto cifrado para el tráfico de red entre la consola de TI e Intel AMT. ^[6]
• Capacidad de una PC cableada (conectada físicamente a la red) fuera del firewall de la empresa en una LAN abierta para establecer un túnel de comunicación seguro (a través de AMT) de regreso a la consola de TI. ^{[1] [6]} Algunos ejemplos de una LAN abierta incluyen una computadora portátil con cable en el hogar o en un sitio SMB que no tiene un servidor proxy.
• Encendido/apagado/ciclo de encendido remoto a través de WOL encriptado . ^[1]
• Arranque remoto , a través de redirección electrónica del dispositivo integrado (IDE-R). ^[6]
• Redirección de consola, vía serial over LAN (SOL). ^[1]
• Teclado, vídeo, ratón (KVM) a través de red .
• Filtros basados ​​en hardware para monitorear los encabezados de paquetes en el tráfico de red entrante y saliente en busca de amenazas conocidas (basadas en temporizadores programables) y para monitorear amenazas conocidas/desconocidas basadas en heurísticas basadas en el tiempo . Las computadoras portátiles y de escritorio tienen filtros para monitorear los encabezados de paquetes. Las computadoras de escritorio tienen filtros de encabezado de paquetes y filtros basados ​​en el tiempo. ^[18]
• Circuito de aislamiento (anteriormente llamado de manera extraoficial "disyuntor" por Intel) para bloquear puertos, limitar la velocidad o aislar completamente una PC que pueda verse comprometida o infectada. ^{[1] [6] [18]}
• Comprobación de la presencia del agente mediante temporizadores programables basados ​​en hardware y en políticas . Un "error" genera un evento, que también puede generar una alerta. ^{[1] [6] [18]}
• Alerta OOB. ^[1]
• Registro de eventos persistente, almacenado en la memoria protegida (no en el disco duro). ^[6]
• Acceda (preinicie) el identificador único universal (UUID) de la PC. ^[1]
• Acceso (previo al arranque) a información de activos de hardware, como el fabricante y modelo de un componente, que se actualiza cada vez que el sistema realiza una prueba automática de encendido (POST). ^[6]
• Acceso (prearranque) al almacén de datos de terceros (TPDS), un área de memoria protegida que los proveedores de software pueden usar, en la que se almacena información de versiones, archivos .DAT y otra información. ^[1]
• Opciones de configuración remota, que incluyen configuración remota sin intervención basada en certificado, configuración de llave USB (con intervención ligera) y configuración manual. ^{[1] [6] [19]}
• Ruta de audio/vídeo protegida para proteger la reproducción de medios protegidos mediante DRM .

Las computadoras portátiles con AMT también incluyen tecnologías inalámbricas:

• Compatibilidad con protocolos inalámbricos IEEE 802.11 a / g / n ^[20]
• Extensiones compatibles con Cisco para voz sobre WLAN ^[21]

Historia

Las actualizaciones de software proporcionan actualizaciones a la próxima versión menor de Intel AMT. Las nuevas versiones principales de Intel AMT están integradas en un nuevo chipset y se actualizan mediante nuevo hardware. ^[6]

Aplicaciones

Casi todas las funciones de AMT están disponibles incluso si la PC está apagada pero con el cable de alimentación conectado, si el sistema operativo ha fallado, si falta el agente de software o si el hardware (como un disco duro o una memoria) ha fallado. ^{[1] [6]} La función de redirección de consola ( SOL ), la verificación de presencia del agente y los filtros de tráfico de red están disponibles después de encender la PC. ^{[1] [6]}

Intel AMT admite estas tareas de administración:

• Encender, apagar, apagar y encender de forma remota, y reiniciar la computadora. ^[1]
• Arranque remoto de la PC redirigiendo de forma remota el proceso de arranque de la PC , lo que hace que arranque desde una imagen diferente, como un recurso compartido de red , un CD-ROM o DVD de arranque , una unidad de remediación u otro dispositivo de arranque. ^{[1] [5]} Esta función admite el arranque remoto de una PC que tiene un sistema operativo dañado o faltante.
• Redirigir de forma remota la E/S del sistema a través de la redirección de consola mediante serial over LAN (SOL). ^[1] Esta función admite resolución de problemas remota, reparación remota, actualizaciones de software y procesos similares.
• Acceda y cambie la configuración del BIOS de forma remota. ^[1] Esta función está disponible incluso si la computadora está apagada, el sistema operativo no funciona o el hardware ha fallado. Esta función está diseñada para permitir actualizaciones y correcciones remotas de los ajustes de configuración. Esta función admite actualizaciones completas del BIOS, no solo cambios en ajustes específicos.
• Detectar tráfico de red sospechoso. ^{[1] [18]} En computadoras portátiles y de escritorio, esta característica permite a un administrador de sistemas definir los eventos que podrían indicar una amenaza entrante o saliente en un encabezado de paquete de red. En las PC de escritorio, esta característica también admite la detección de amenazas conocidas y/o desconocidas (incluidos gusanos informáticos de movimiento lento y rápido ) en el tráfico de red a través de filtros basados ​​en tiempo y heurística . El tráfico de red se verifica antes de que llegue al sistema operativo, por lo que también se verifica antes de que se carguen el sistema operativo y las aplicaciones de software, y después de que se apaguen (un período tradicionalmente vulnerable para las PC ^{[ cita requerida ]} ).
• Bloquear o limitar la velocidad del tráfico de red hacia y desde sistemas sospechosos de estar infectados o comprometidos por virus informáticos , gusanos informáticos u otras amenazas. ^{[1] [18]} Esta función utiliza circuitos de aislamiento basados ​​en hardware Intel AMT que se pueden activar manualmente (de forma remota, por el administrador del sistema) o automáticamente, según la política de TI (un evento específico).
• Administrar filtros de paquetes de hardware en el adaptador de red integrado . ^{[1] [18]}
• Envíe automáticamente una comunicación OOB a la consola de TI cuando un agente de software crítico no cumpla con su registro asignado con el temporizador programable basado en políticas y basado en hardware . ^{[1] [18]} Una "falla" indica un problema potencial. Esta función se puede combinar con alertas OOB para que la consola de TI reciba una notificación solo cuando se produzca un problema potencial (ayuda a evitar que la red se inunde con notificaciones de eventos "positivos" innecesarias).
• Recibir eventos de trampa de eventos de plataforma (PET) fuera de banda del subsistema AMT (por ejemplo, eventos que indican que el sistema operativo está colgado o bloqueado, o que se ha intentado un ataque de contraseña ). ^[1] Se puede emitir una alerta ante un evento (como una violación de la conformidad, en combinación con la verificación de presencia del agente) o ante un umbral (como alcanzar una velocidad particular del ventilador).
• Acceda a un registro de eventos persistente, almacenado en la memoria protegida. ^[1] El registro de eventos está disponible OOB, incluso si el sistema operativo está inactivo o el hardware ya ha fallado.
• Descubra un sistema AMT independientemente del estado de energía de la PC o del estado del sistema operativo. ^[1] El descubrimiento (acceso previo al arranque al UUID ) está disponible si el sistema está apagado, su sistema operativo está comprometido o inactivo, el hardware (como un disco duro o una memoria ) ha fallado o faltan agentes de administración.
• Realizar un inventario de software o acceder a información sobre el software en la PC. ^[1] Esta función permite que un proveedor de software de terceros almacene información de versión o activos de software para aplicaciones locales en la memoria protegida de Intel AMT. (Este es el almacén de datos de terceros protegido, que es diferente de la memoria AMT protegida para información de componentes de hardware y otra información del sistema). El administrador del sistema puede acceder al almacén de datos de terceros OOB. Por ejemplo, un programa antivirus podría almacenar información de versión en la memoria protegida que está disponible para datos de terceros. Un script de computadora podría usar esta función para identificar PC que necesitan actualizarse.
• Realice un inventario de hardware cargando la lista de activos de hardware de la PC remota (plataforma, controlador de administración de placa base , BIOS , procesador , memoria , discos, baterías portátiles, unidades reemplazables en campo y otra información). ^[1] La información de activos de hardware se actualiza cada vez que el sistema ejecuta una prueba automática de encendido (POST).

A partir de la versión principal 6, Intel AMT incorpora un servidor VNC propietario para el acceso fuera de banda mediante tecnología de visualización dedicada compatible con VNC, y tiene capacidad KVM (teclado, video, mouse) completa durante todo el ciclo de energía, incluido el control ininterrumpido del escritorio cuando se carga un sistema operativo. Los clientes como VNC Viewer Plus de RealVNC también brindan funcionalidad adicional que puede facilitar la realización (y la visualización) de ciertas operaciones de Intel AMT, como apagar y encender la computadora, configurar el BIOS y montar una imagen remota (IDER).

Aprovisionamiento e integración

AMT admite el aprovisionamiento remoto basado en certificados o PSK (implementación remota completa), el aprovisionamiento basado en clave USB (aprovisionamiento "one-touch"), el aprovisionamiento manual ^[1] y el aprovisionamiento mediante un agente en el host local ("aprovisionamiento basado en host"). Un OEM también puede aprovisionar AMT con anterioridad. ^[19]

La versión actual de AMT admite la implementación remota tanto en computadoras portátiles como de escritorio. (La implementación remota era una de las características clave que faltaban en las versiones anteriores de AMT y que retrasaron la aceptación de AMT en el mercado). ^[5] La implementación remota, hasta hace poco, solo era posible dentro de una red corporativa. ^[22] La implementación remota permite que un administrador de sistemas implemente PC sin "tocar" físicamente los sistemas. ^[1] También permite que un administrador de sistemas retrase las implementaciones y ponga las PC en uso durante un período de tiempo antes de que las características de AMT estén disponibles para la consola de TI. ^[23] A medida que evolucionan los modelos de entrega e implementación, AMT ahora se puede implementar a través de Internet, utilizando métodos "Zero-Touch" y basados ​​en host. ^[24]

Las PC se pueden vender con AMT habilitado o deshabilitado. El OEM determina si envía AMT con las capacidades listas para la configuración (habilitadas) o deshabilitadas. El proceso de instalación y configuración puede variar según la versión del OEM. ^[19]

AMT incluye una aplicación de ícono de privacidad, llamada IMSS, ^[25] que notifica al usuario del sistema si AMT está habilitado. El OEM es quien decide si desea mostrar el ícono o no.

AMT admite diferentes métodos para deshabilitar la tecnología de administración y seguridad, así como diferentes métodos para volver a habilitar la tecnología. ^{[1] [23] [26] [27]}

Es posible deshabilitar parcialmente AMT mediante los Ajustes de configuración, o deshabilitar completamente el aprovisionamiento borrando todos los ajustes de configuración, credenciales de seguridad y ajustes operativos y de red. ^[28] Un deshabilitamiento parcial deja la PC en el estado de configuración. En este estado, la PC puede iniciar por sí misma su proceso de configuración remota automatizada. Un deshabilitamiento completo borra el perfil de configuración, así como las credenciales de seguridad y los ajustes operativos y de red necesarios para comunicarse con Intel Management Engine. Un deshabilitamiento completo devuelve Intel AMT a su estado predeterminado de fábrica.

Una vez que se deshabilita AMT, para habilitarlo nuevamente, un administrador de sistemas autorizado puede restablecer las credenciales de seguridad necesarias para realizar la configuración remota de una de las siguientes maneras:

• Utilizando el proceso de configuración remota (configuración remota totalmente automatizada a través de certificados y claves). ^[1]
• Acceder físicamente al PC para restaurar las credenciales de seguridad, ya sea mediante una llave USB o ingresando las credenciales y los parámetros MEBx manualmente. ^[1]

Hay una manera de restablecer por completo el AMT y volver a los valores predeterminados de fábrica. Esto se puede hacer de dos maneras:

• Establecer el valor apropiado en la BIOS .
• Borrado de la memoria CMOS y/o NVRAM .

La instalación y la integración de AMT están respaldadas por un servicio de configuración e instalación (para configuración automatizada), una herramienta de servidor web AMT (incluida con Intel AMT) y AMT Commander, una aplicación patentada, gratuita y sin soporte disponible en el sitio web de Intel.

Comunicación

Todo acceso a las funciones de Intel AMT se realiza a través del motor de administración Intel en el hardware y firmware de la PC. ^[1] La comunicación AMT depende del estado del motor de administración, no del estado del sistema operativo de la PC.

Como parte del motor de administración Intel, el canal de comunicación OOB de AMT se basa en la pila de firmware TCP/IP diseñada en el hardware del sistema. ^[1] Debido a que se basa en la pila TCP/IP, la comunicación remota con AMT se produce a través de la ruta de datos de red antes de que la comunicación se transmita al sistema operativo.

Intel AMT admite redes cableadas e inalámbricas . ^{[1] [8] [20] [29]} En el caso de las computadoras portátiles inalámbricas que funcionan con batería, la comunicación OOB está disponible cuando el sistema está activo y conectado a la red corporativa, incluso si el sistema operativo no funciona. La comunicación OOB también está disponible para computadoras portátiles inalámbricas o cableadas conectadas a la red corporativa a través de una red privada virtual (VPN) basada en el sistema operativo host cuando las computadoras portátiles están activas y funcionan correctamente.

La versión 4.0 de AMT y superiores pueden establecer un túnel de comunicación seguro entre una PC cableada y una consola de TI fuera del firewall corporativo. ^{[1] [30]} En este esquema, un servidor de presencia de administración (Intel lo llama una "puerta de enlace habilitada para vPro") autentica la PC, abre un túnel TLS seguro entre la consola de TI y la PC y media la comunicación. ^{[1] [31]} El esquema está destinado a ayudar al usuario o a la propia PC a solicitar mantenimiento o servicio cuando se encuentran en oficinas satélite o lugares similares donde no hay un servidor proxy o dispositivo de administración en el sitio.

La tecnología que protege las comunicaciones fuera de un firewall corporativo es relativamente nueva. También requiere que exista una infraestructura , incluido el soporte de consolas de TI y firewalls.

Una PC AMT almacena información de configuración del sistema en una memoria protegida. Para las PC versión 4.0 y superiores, esta información puede incluir el nombre o los nombres de los servidores de administración de la " lista blanca " apropiados para la empresa. Cuando un usuario intenta iniciar una sesión remota entre la PC con cable y un servidor de la empresa desde una LAN abierta , AMT envía la información almacenada a un servidor de presencia de administración (MPS) en la "zona desmilitarizada" ("DMZ") que existe entre el firewall corporativo y los firewalls del cliente (la PC del usuario). El MPS utiliza esa información para ayudar a autenticar la PC. Luego, el MPS media la comunicación entre la computadora portátil y los servidores de administración de la empresa. ^[1]

Como la comunicación está autenticada, se puede abrir un túnel de comunicación seguro mediante el cifrado TLS . Una vez que se establecen comunicaciones seguras entre la consola de TI e Intel AMT en la PC del usuario, un administrador de sistemas puede utilizar las características típicas de AMT para diagnosticar, reparar, mantener o actualizar la PC de forma remota. ^[1]

Diseño

Hardware

El motor de administración (ME) es un coprocesador aislado y protegido, integrado como una parte no opcional ^[32] en todos los chipsets Intel actuales (a partir de 2015 ^[actualizar]). ^[33]

A partir de ME 11, se basa en la CPU de 32 bits basada en Intel Quark x86 y ejecuta el sistema operativo MINIX 3. El estado de ME se almacena en una partición de la flash SPI , utilizando el sistema de archivos Flash integrado (EFFS). ^[34] Las versiones anteriores se basaban en un núcleo ARC , con el motor de gestión ejecutando el RTOS ThreadX de Express Logic . Las versiones 1.x a 5.x de ME usaban ARCTangent-A4 (solo instrucciones de 32 bits), mientras que las versiones 6.x a 8.x usaban el más nuevo ARCompact ( arquitectura de conjunto de instrucciones mixta de 32 y 16 bits ). A partir de ME 7.1, el procesador ARC también podía ejecutar applets Java firmados .

El ME comparte la misma interfaz de red y la misma IP que el sistema host. El tráfico se enruta en función de los paquetes a los puertos 16992–16995. Existe soporte en varios controladores Ethernet de Intel, exportados y configurables a través del Protocolo de transporte de componentes de gestión (MCTP). ^{[35] [36]} El ME también se comunica con el host a través de la interfaz PCI. ^[34] En Linux, la comunicación entre el host y el ME se realiza a través de /dev/mei^[33] o, más recientemente, ^[37] /dev/mei0 . ^[38]

Hasta el lanzamiento de los procesadores Nehalem , el ME generalmente estaba integrado en el puente norte de la placa base , siguiendo el diseño del concentrador del controlador de memoria (MCH). ^[39] Con las arquitecturas Intel más nuevas ( Intel Serie 5 en adelante), el ME se incluye en el concentrador del controlador de plataforma (PCH). ^{[40] [41]}

Firmware

• Motor de gestión (ME): chipsets convencionales
• Servicios de plataforma de servidor (SPS) - servidor
• Trusted Execution Engine (TXE) - tableta/móvil/bajo consumo

Seguridad

Debido a que AMT permite el acceso a la PC por debajo del nivel del sistema operativo, la seguridad de las funciones de AMT es una preocupación clave.

La seguridad de las comunicaciones entre Intel AMT y el servicio de aprovisionamiento o la consola de administración se puede establecer de diferentes maneras según el entorno de red. La seguridad se puede establecer mediante certificados y claves (infraestructura de clave pública TLS o TLS-PKI), claves precompartidas ( TLS-PSK ) o contraseña de administrador. ^{[1] [6]}

Las tecnologías de seguridad que protegen el acceso a las funciones de AMT están integradas en el hardware y el firmware. Al igual que con otras funciones de AMT basadas en hardware, las tecnologías de seguridad están activas incluso si la PC está apagada, el sistema operativo falla, faltan agentes de software o falla el hardware (como un disco duro o una memoria). ^{[1] [6] [42]}

Dado que el software que implementa AMT existe fuera del sistema operativo, el mecanismo de actualización normal del sistema operativo no lo mantiene actualizado. Por lo tanto, los defectos de seguridad en el software AMT pueden ser particularmente graves, ya que permanecerán mucho tiempo después de que se hayan descubierto y sean conocidos por los posibles atacantes.

El 15 de mayo de 2017, Intel anunció una vulnerabilidad crítica en AMT. Según la actualización, "la vulnerabilidad podría permitir que un atacante de red obtenga acceso remoto a PCs empresariales o dispositivos que utilicen estas tecnologías". ^[43] Intel anunció la disponibilidad parcial de una actualización de firmware para corregir la vulnerabilidad en algunos de los dispositivos afectados.

Redes

Si bien algunos protocolos para la administración remota en banda utilizan un canal de comunicación de red seguro (por ejemplo, Secure Shell ), otros protocolos no lo son. Por lo tanto, algunas empresas han tenido que elegir entre tener una red segura o permitir que el departamento de TI utilice aplicaciones de administración remota sin comunicaciones seguras para realizar el mantenimiento y servicio técnico de las PC. ^[1]

Las tecnologías de seguridad modernas y los diseños de hardware permiten la administración remota incluso en entornos más seguros. Por ejemplo, Intel AMT es compatible con IEEE 802.1x , Preboot Execution Environment (PXE), Cisco SDN y Microsoft NAP . ^[1]

Todas las funciones de AMT están disponibles en un entorno de red seguro. Con Intel AMT en el entorno de red seguro:

• La red puede verificar la postura de seguridad de una PC habilitada para AMT y autenticar la PC antes de que se cargue el sistema operativo y antes de que se le permita acceder a la red.
• El arranque PXE se puede utilizar manteniendo la seguridad de la red. En otras palabras, un administrador de TI puede utilizar una infraestructura PXE existente en una red IEEE 802.1x , Cisco SDN o Microsoft NAP .

Intel AMT puede incorporar credenciales de seguridad de red en el hardware, a través del Agente de confianza integrado de Intel AMT y un complemento de postura de AMT . ^{[1] [6]} El complemento recopila información de postura de seguridad, como la configuración del firmware y los parámetros de seguridad de software de terceros (como software antivirus y antispyware ), BIOS y memoria protegida . El complemento y el agente de confianza pueden almacenar los perfiles de seguridad en la memoria no volátil protegida de AMT, que no está en la unidad de disco duro .

Debido a que AMT tiene un canal de comunicación fuera de banda, puede presentar la postura de seguridad de la PC a la red incluso si el sistema operativo o el software de seguridad de la PC están comprometidos. Como AMT presenta la postura fuera de banda, la red también puede autenticar la PC fuera de banda, antes de que se carguen el sistema operativo o las aplicaciones y antes de que intenten acceder a la red. Si la postura de seguridad no es correcta, un administrador de sistema puede enviar una actualización fuera de banda (a través de Intel AMT) o reinstalar software de seguridad crítico antes de permitir que la PC acceda a la red.

La compatibilidad con diferentes posturas de seguridad depende de la versión de AMT :

• La compatibilidad con IEEE 802.1x y Cisco SDN requiere la versión 2.6 de AMT o superior para computadoras portátiles, y la versión 3.0 de AMT o superior para computadoras de escritorio. ^{[1] [44] [45]}
• El soporte para Microsoft NAP requiere AMT versión 4.0 o superior. ^[1]
• La compatibilidad con arranque PXE con seguridad de red completa requiere AMT versión 3.2 o superior para PC de escritorio. ^[1]

Tecnología

AMT incluye varios esquemas, tecnologías y metodologías de seguridad para proteger el acceso a las funciones de AMT durante la implementación y durante la administración remota. ^{[1] [6] [42]} Las tecnologías y metodologías de seguridad de AMT incluyen:

• Seguridad de la capa de transporte , incluida la clave precompartida TLS ( TLS-PSK )
• Autenticación HTTP
• Inicio de sesión único en Intel AMT con autenticación de dominio de Microsoft Windows , basado en Microsoft Active Directory y Kerberos
• Firmware firmado digitalmente
• Generador de números pseudoaleatorios (PRNG) que genera claves de sesión
• Memoria protegida (no en el disco duro ) para datos críticos del sistema, como UUID , información de activos de hardware y configuraciones del BIOS
• Listas de control de acceso (ACL)

Al igual que con otros aspectos de Intel AMT, las tecnologías y metodologías de seguridad están integradas en el chipset.

Vulnerabilidades y exploits conocidos

Rootkit Ring-3

Invisible Things Lab demostró un rootkit de anillo −3 para el chipset Q35; no funciona para el chipset Q45 posterior, ya que Intel implementó protecciones adicionales. ^[46] El exploit funcionó reasignando la región de memoria normalmente protegida (los 16 MB superiores de RAM) reservada para el ME. El rootkit ME se podía instalar independientemente de si el AMT estaba presente o habilitado en el sistema, ya que el chipset siempre contiene el coprocesador ARC ME. (Se eligió la designación "−3" porque el coprocesador ME funciona incluso cuando el sistema está en el estado S3 , por lo que se consideró una capa por debajo de los rootkits del modo de administración del sistema . ^[39] ) Para el chipset Q35 vulnerable, Patrick Stewin demostró un rootkit basado en ME con registrador de pulsaciones de teclas . ^{[47] [48]}

Aprovisionamiento sin intervención

Otra evaluación de seguridad realizada por Vassilios Ververis mostró serias debilidades en la implementación del chipset GM45. En particular, criticó a AMT por transmitir contraseñas no cifradas en el modo de aprovisionamiento SMB cuando se utilizan las funciones de redirección IDE y Serial over LAN. También descubrió que el modo de aprovisionamiento "zero touch" (ZTC) sigue estando habilitado incluso cuando AMT parece estar deshabilitado en BIOS. Por unos 60 euros, Ververis compró a Go Daddy un certificado que es aceptado por el firmware ME y permite el aprovisionamiento remoto "zero touch" de máquinas (posiblemente desprevenidas), que transmiten sus paquetes HELLO a posibles servidores de configuración. ^[49]

Bob el silencioso es silencioso

En mayo de 2017, Intel confirmó que muchas computadoras con AMT tenían una vulnerabilidad crítica de escalada de privilegios sin parchear ( CVE - 2017-5689). ^{[13] [50] [11] [51] [52]} La vulnerabilidad, que fue apodada " Silent Bob is Silent" por los investigadores que la habían informado a Intel, ^[53] afecta a numerosas computadoras portátiles, de escritorio y servidores vendidos por Dell , Fujitsu , Hewlett-Packard (más tarde Hewlett Packard Enterprise y HP Inc. ), Intel, Lenovo y posiblemente otros. ^{[53] [54] [55] [56] [57] [58] [59]} Esos investigadores afirmaron que el error afecta a los sistemas fabricados en 2010 o después. ^[60] Otros informes afirmaron que el error también afecta a los sistemas fabricados en 2008. ^{[12] [13]} La vulnerabilidad fue descrita como dando a los atacantes remotos:

Control total de las máquinas afectadas, incluida la capacidad de leer y modificar todo. Puede utilizarse para instalar malware persistente (posiblemente en el firmware) y leer y modificar cualquier dato.

—  Tatu Ylönen, ssh.com ^[53]

El proceso de autorización de usuario remoto incluyó un error de programación: comparó el hash del token de autorización proporcionado por el usuario ( user_response) con el valor verdadero del hash ( computed_response) usando este código:

strncmp(respuesta_calculada, respuesta_del_usuario, longitud_de_respuesta)

La vulnerabilidad era response_lengthla longitud del token proporcionado por el usuario y no del token real.

Dado que el tercer argumento de strncmpes la longitud de las dos cadenas que se van a comparar, si es menor que la longitud de computed_response, solo se comprobará la igualdad de una parte de la cadena. En concreto, si user_responsees la cadena vacía (con longitud 0), esta "comparación" siempre devolverá verdadero y, por tanto, validará al usuario. Esto permitía a cualquier persona iniciar sesión en la admincuenta de los dispositivos editando el paquete HTTP enviado para utilizar la cadena vacía como responsevalor del campo.

PLATINO

En junio de 2017, el grupo de ciberdelincuencia PLATINUM se hizo conocido por explotar las capacidades de serial over LAN (SOL) de AMT para realizar exfiltración de datos de documentos robados. ^{[61] [62] [63] [64] [65] [66] [67] [68]}

SA-00086

En noviembre de 2017, la empresa de seguridad Positive Technologies detectó graves fallos en el firmware del Management Engine (ME), afirmando haber desarrollado un exploit funcional de este sistema para que alguien tuviera acceso físico a un puerto USB. ^[69] El 20 de noviembre de 2017, Intel confirmó que se habían encontrado varios fallos graves en el Management Engine, Trusted Execution Engine y Server Platform Services y lanzó una "actualización crítica del firmware". ^{[70] [71]}

Prevención y mitigación

Las PC con AMT suelen ofrecer una opción en el menú BIOS para desactivar AMT, aunque los OEM implementan las características de BIOS de forma diferente ^[72] y, por lo tanto, el BIOS no es un método fiable para desactivar AMT. Se supone que las PC basadas en Intel que se entregan sin AMT no pueden tener AMT instalado más tarde. Sin embargo, mientras el hardware de la PC sea potencialmente capaz de ejecutar AMT, no está claro cuán efectivas son estas protecciones ^{[73] [74] [75]} Actualmente, existen guías de mitigación ^[76] y herramientas ^[77] para desactivar AMT en Windows, pero Linux solo ha recibido una herramienta para verificar si AMT está habilitado y aprovisionado en sistemas Linux ^[78] La única forma de corregir realmente esta vulnerabilidad es instalar una actualización de firmware. Intel ha puesto a disposición una lista de actualizaciones ^[79] A diferencia de AMT, generalmente no existe una forma oficial y documentada de desactivar el Motor de administración (ME); siempre está activado, a menos que el OEM no lo habilite en absoluto ^{[80] [81]}

En 2015, un pequeño número de proveedores competidores comenzaron a ofrecer PC basadas en Intel diseñadas o modificadas específicamente para abordar posibles vulnerabilidades de AMT y problemas relacionados. ^{[82] [83] [84] [85] [10] [86] [87]}

Véase también

• Puerta trasera (informática)
• Interfaz del controlador integrado del host
• Luces integradas HP
• Intel CIRA
• Núcleo Intel
• Interruptor de apagado de Internet
• Centro de control de la plataforma
• Gestión de luces apagadas
• Southbridge (informática)
• Procesador de servicios del sistema
• Versiones de Intel AMT
• Motor de administración de Intel
• Intel vPro

Referencias

1. "Intel Centrino 2 con tecnología vPro y procesador Intel Core2 con tecnología vPro" (PDF) . Intel. 2008. Archivado desde el original (PDF) el 6 de diciembre de 2008 . Consultado el 7 de agosto de 2008 .
2. "El chipset Intel vPro atrae a los MSP y a los fabricantes de sistemas". ChannelWeb . Consultado el 1 de agosto de 2007 .
3. "¿Un nuevo amanecer para la gestión remota? Un primer vistazo a la plataforma vPro de Intel". ars technica. 6 de febrero de 2007. Consultado el 7 de noviembre de 2007 .
4. "Gestión remota de PC con vPro de Intel". Guía de hardware de Tom. 26 de abril de 2007. Consultado el 21 de noviembre de 2007 .
5. "Revisiting vPro for Corporate Purchases". Gartner. Archivado desde el original el 23 de julio de 2008. Consultado el 7 de agosto de 2008 .
6. "Guía de arquitectura: Tecnología de gestión activa de Intel". Intel. 26 de junio de 2008. Archivado desde el original el 19 de octubre de 2008. Consultado el 12 de agosto de 2008 .
7. "Copia archivada". Archivado desde el original el 14 de abril de 2012. Consultado el 30 de abril de 2012 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
8. "Intel Centrino 2 con tecnología vPro" (PDF) . Intel. Archivado desde el original (PDF) el 15 de marzo de 2008 . Consultado el 15 de julio de 2008 .
9. "Intel MSP". Msp.intel.com . Consultado el 25 de mayo de 2016 .
10. "Purism explica por qué evita las tarjetas de red y AMT de Intel para sus portátiles 'Librem' centrados en la privacidad". Tom's Hardware . 29 de agosto de 2016 . Consultado el 10 de mayo de 2017 .
11. "Centro de seguridad de productos Intel®". Security-center.intel.com . Consultado el 7 de mayo de 2017 .
12. Charlie Demerjian (1 de mayo de 2017). "Explotación de seguridad remota en todas las plataformas Intel 2008+". SemiAccurate . Consultado el 6 de septiembre de 2024 .
13. "¡Alerta roja! Intel repara un agujero de ejecución remota que ha estado oculto en chips desde 2010". Theregister.co.uk . Consultado el 7 de mayo de 2017 .
14. HardOCP: Purism ofrece portátiles con el motor de gestión de Intel desactivado
15. System76 deshabilitará Intel Management Engine en sus portátiles
16. Garrison, Justin (28 de marzo de 2011). "Cómo controlar de forma remota su PC (incluso cuando falla)". Howtogeek.com . Consultado el 7 de mayo de 2017 .
17. "Open Manageability Developer Tool Kit | Intel® Software". Software.intel.com . Consultado el 7 de mayo de 2017 .
18. "Descripción general de la tecnología de administración activa de Intel: defensa del sistema y presencia de agentes" (PDF) . Intel. Febrero de 2007 . Consultado el 16 de agosto de 2008 .
19. «Intel Centrino 2 con tecnología vPro». Intel. Archivado desde el original el 15 de marzo de 2008. Consultado el 30 de junio de 2008 .
20. "Las nuevas computadoras portátiles basadas en Intel mejoran todas las facetas de las computadoras portátiles". Intel. Archivado desde el original el 17 de julio de 2008. Consultado el 15 de julio de 2008 .
21. "Comprender la tecnología Intel AMT en modo cableado e inalámbrico (video)". Intel. Archivado desde el original el 26 de marzo de 2008. Consultado el 14 de agosto de 2008 .
22. "Tecnología Intel® vPro™". Intel .
23. "Parte 3: Implementación posterior de Intel vPro en un entorno Altiris: Habilitación y configuración del aprovisionamiento diferido". Intel (foro) . Consultado el 12 de septiembre de 2008 .
24. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 3 de enero de 2014. Consultado el 20 de julio de 2013 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
25. "Intel Management and Security Status (IMSS), configuraciones avanzadas. Parte 9 – Blogs de Intel Software Network". Archivado desde el original el 20 de febrero de 2011 . Consultado el 26 de diciembre de 2010 .
26. "Aprovisionamiento de Intel vPro" (PDF) . HP (Hewlett Packard) . Consultado el 2 de junio de 2008 .
27. "Configuración y configuración de vPro para la PC empresarial dc7700 con tecnología Intel vPro" (PDF) . HP (Hewlett Packard) . Consultado el 2 de junio de 2008 .^{[ enlace muerto permanente ]}
28. "Parte 4: Implementación posterior de Intel vPro en un entorno Altiris Intel: Partial UnProvDefault". Intel (foro) . Consultado el 12 de septiembre de 2008 .
29. "Consideraciones técnicas para Intel AMT en un entorno inalámbrico". Intel. 27 de septiembre de 2007. Consultado el 16 de agosto de 2008 .
30. "Servicio de instalación y configuración de Intel Active Management Technology, versión 5.0" (PDF) . Intel . Consultado el 13 de octubre de 2018 .
31. "Intel AMT - Llamada rápida de ayuda". Intel. 15 de agosto de 2008. Archivado desde el original el 11 de febrero de 2009. Consultado el 17 de agosto de 2008 .(Blog para desarrolladores de Intel)
32. "Intel x86 considerado perjudicial (nuevo artículo)". Archivado desde el original el 3 de enero de 2016 . Consultado el 16 de enero de 2016 .
33. «Copia archivada». Archivado desde el original el 1 de noviembre de 2014. Consultado el 25 de febrero de 2014 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
34. Igor Skochinsky ( Hex-Rays ) Rootkit en su computadora portátil, Ruxcon Breakpoint 2012
35. "Hoja de datos del controlador Intel Ethernet I210" (PDF) . Intel . 2013. págs. 1, 15, 52, 621–776 . Consultado el 9 de noviembre de 2013 .
36. "Intel Ethernet Controller X540 Product Brief" (PDF) . Intel . 2012 . Consultado el 26 de febrero de 2014 .
37. "muestras: mei: use /dev/mei0 en lugar de /dev/mei · torvalds/linux@c4a46ac". GitHub . Consultado el 14 de julio de 2021 .
38. "Introducción: la documentación del kernel de Linux". www.kernel.org . Consultado el 14 de julio de 2021 .
39. Joanna Rutkowska. "Una búsqueda hasta el núcleo" (PDF) . Invisiblethingslab.com . Consultado el 25 de mayo de 2016 .
40. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de febrero de 2014. Consultado el 26 de febrero de 2014 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
41. "Plataformas II" (PDF) . Users.nik.uni-obuda.hu . Consultado el 25 de mayo de 2016 .
42. "La nueva tecnología de procesador Intel vPro fortalece la seguridad de las PC empresariales (nota de prensa)". Intel. 27 de agosto de 2007. Archivado desde el original el 12 de septiembre de 2007. Consultado el 7 de agosto de 2007 .
43. "Vulnerabilidad crítica del firmware de Intel® AMT". Intel . Consultado el 10 de junio de 2017 .
44. "Intel Software Network, foro de ingenieros y desarrolladores". Intel. Archivado desde el original el 13 de agosto de 2011. Consultado el 9 de agosto de 2008 .
45. "Soluciones de seguridad de Cisco con tecnología de procesador Intel Centrino Pro e Intel vPro" (PDF) . Intel. 2007.
46. "Invisible Things Lab presentará dos nuevas presentaciones técnicas que revelan vulnerabilidades a nivel de sistema que afectan al hardware de PC moderno en su núcleo" (PDF) . Invisiblethingslab.com . Archivado desde el original (PDF) el 12 de abril de 2016 . Consultado el 25 de mayo de 2016 .
47. "Technische Universität Berlin: FG Security in telecommunications : Evaluating "Ring-3" Rootkits" (PDF) . Stewin.org . Archivado desde el original (PDF) el 4 de marzo de 2016 . Consultado el 25 de mayo de 2016 .
48. "Malware persistente, oculto y controlado remotamente para hardware dedicado" (PDF) . Stewin.org . Archivado desde el original (PDF) el 3 de marzo de 2016 . Consultado el 25 de mayo de 2016 .
49. "Evaluación de seguridad de la tecnología de gestión activa de Intel" (PDF) . Web.it.kth.se . Consultado el 25 de mayo de 2016 .
50. "CVE - CVE-2017-5689". Cve.mitre.org . Archivado desde el original el 5 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
51. "Intel Hidden Management Engine - ¿Riesgo de seguridad x86?". Darknet. 16 de junio de 2016. Consultado el 7 de mayo de 2017 .
52. Garrett, Matthew (1 de mayo de 2017). "La vulnerabilidad AMT remota de Intel". mjg59.dreamwidth.org . Consultado el 7 de mayo de 2017 .
53. "2017-05-05 ¡ALERTA! ¡EXPLOTA AMT DE INTEL DISPONIBLE! ¡ES MALO! ¡DESACTIVE AMT AHORA!". Ssh.com\Accessdate=2017-05-07 .
54. Dan Goodin (6 de mayo de 2017). "La falla de secuestro que acechaba en los chips de Intel es peor de lo que nadie pensaba". Ars Technica . Consultado el 8 de mayo de 2017 .
55. "General: actualizaciones de BIOS debido a la vulnerabilidad de Intel AMT IME - Hardware general - Laptop - Comunidad Dell". En.community.dell.com . 2 de mayo de 2017. Archivado desde el original el 11 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
56. "Nota de asesoramiento: vulnerabilidad del firmware de Intel: páginas de soporte técnico de Fujitsu de Fujitsu Fujitsu Continental Europe, Middle East, Africa & India". Support.ts.fujitsu.com. 1 de mayo de 2017. Consultado el 8 de mayo de 2017 .
57. "HPE | HPE CS700 2.0 para VMware". H22208.www2.hpe.com . 1 de mayo de 2017. Archivado desde el original el 8 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
58. "Intel® Security Advisory regarding escalation o... |Intel Communities". Communities.intel.com . 4 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
59. "Tecnología de gestión activa de Intel, tecnología Intel para pequeñas empresas y escalamiento de privilegios remotos de capacidad de gestión estándar de Intel". Support.lenovo.com . Consultado el 7 de mayo de 2017 .
60. "MythBusters: CVE-2017-5689". Embedi.com . Archivado desde el original el 6 de mayo de 2017. Consultado el 7 de mayo de 2017 .
61. "Los piratas informáticos furtivos utilizan herramientas de gestión de Intel para eludir el firewall de Windows". 9 de junio de 2017. Consultado el 10 de junio de 2017 .
62. Tung, Liam. "Microsoft esquiva el firewall de Windows con parches en caliente que utilizan Intel AMT, dice ZDNet". ZDNet . Consultado el 10 de junio de 2017 .
63. "PLATINUM sigue evolucionando, encuentra formas de mantener la invisibilidad". 7 de junio de 2017 . Consultado el 10 de junio de 2017 .
64. "Malware utiliza una característica poco conocida de la CPU de Intel para robar datos y evitar los firewalls" . Consultado el 10 de junio de 2017 .
65. "Los piratas informáticos abusan de una función de gestión de bajo nivel para crear una puerta trasera invisible". iTnews . Consultado el 10 de junio de 2017 .
66. "Los Vxers explotan la gestión activa de Intel para malware en la LAN • The Register". www.theregister.co.uk . Consultado el 10 de junio de 2017 .
67. Seguridad, heise. "Intel-Fernwartung AMT bei Angriffen auf PCs genutzt". Seguridad . Consultado el 10 de junio de 2017 .
68. "Método de transferencia de archivos del grupo de actividades PLATINUM utilizando Intel AMT SOL". Canal 9. Consultado el 10 de junio de 2017 .
69. Los investigadores han descubierto que casi TODAS las computadoras con un procesador Intel Skylake y superior se pueden adquirir a través de USB.
70. "Actualización crítica del firmware de Intel® Management Engine (Intel SA-00086)". Intel.
71. Newman, Lily Hay. "Los fallos en los chips de Intel dejan millones de dispositivos expuestos". Wired .
72. "Desactivación de AMT en BIOS". software.intel.com . 28 de diciembre de 2010 . Consultado el 17 de mayo de 2017 .
73. Charlie Demerjian (3 de mayo de 2017). "¿Están las PC de consumo a salvo del exploit Intel ME/AMT?". SemiAccurate.
74. "Los procesadores Intel x86 ocultan otra CPU que puede apoderarse de tu máquina (no puedes auditarla)". Boing Boing . 15 de junio de 2016 . Consultado el 11 de mayo de 2017 .
75. "[coreboot] : error de AMT". Mail.coreboot.org . 11 de mayo de 2017 . Consultado el 13 de junio de 2017 .
76. "Desactivación de Intel AMT en Windows (y una guía de mitigación de CVE-2017-5689 más sencilla)". Marketing en redes sociales | Marketing digital | Comercio electrónico . 3 de mayo de 2017 . Consultado el 17 de mayo de 2017 .
77. "bartblaze/Disable-Intel-AMT". GitHub . Consultado el 17 de mayo de 2017 .
78. "mjg59/mei-amt-check". GitHub . Consultado el 17 de mayo de 2017 .
79. "Vulnerabilidad crítica del firmware de Intel® AMT". Intel . Consultado el 17 de mayo de 2017 .
80. "Blog de Positive Technologies: Desactivación de Intel ME 11 mediante el modo no documentado". Archivado desde el original el 28 de agosto de 2017 . Consultado el 30 de agosto de 2017 .
81. "Intel corrige importantes fallas en el motor de administración de Intel". Extreme Tech.
82. Vaughan-Nichols, Steven J. "Taurinus X200: ahora es la computadora portátil con más 'software libre' del planeta - ZDNet". ZDNet .
83. Besando, Kristian. "Libreboot: Thinkpad X220 sin motor de gestión» Linux-Magazin ". Revista Linux .
84. en línea, heise. "Libiquity Taurinus X200: portátil Linux sin motor de gestión Intel". Heise en línea .
85. "La vulnerabilidad de Intel AMT muestra que el motor de gestión de Intel puede ser peligroso". 2 de mayo de 2017.
86. "A la Free Software Foundation le encanta esta computadora portátil, pero a ti no".
87. "FSF avala otro portátil (obsoleto) - Phoronix". phoronix.com .

Enlaces externos

• Kit de herramientas de la nube Open AMT
• Malla central 2
• Comandante de capacidad de administración de Intel
• Implementación de Intel AMT
• Centro de seguridad de Intel
• Tecnología Intel Active Management
• Comunidad de desarrolladores de Intel Manageability
• Centro de expertos de Intel vPro
• Controlador Ethernet Gigabit Intel 82573E (Tekoa)
• Procesador ARC4
• Vídeos de AMT (seleccione el canal de escritorio)
• Cliente Intel AMT: Radmin Viewer 3.3
• Intel vPro/AMT como antivirus de hardware
• Aprovisionamiento a través de Internet de AMT (OOB Manager)
• Secretos de Intel ME: código oculto en tu chipset y cómo descubrir qué hace exactamente, por Igor Skochinsky, charla en Code Blue 2014
• Uso de Intel AMT y la Intel NUC con Ubuntu