Tecnología de gestión activa Intel

Plataforma de gestión fuera de banda de Intel

Una parte de la interfaz de administración web Intel AMT, accesible incluso cuando la computadora está en suspensión

La tecnología Intel Active Management ( AMT ) es hardware y firmware para la administración remota fuera de banda de computadoras comerciales seleccionadas, ^{[1] [2]} que se ejecuta en Intel Management Engine , un subsistema de microprocesador no expuesto al usuario, destinado a monitoreo, mantenimiento, actualización y reparación de sistemas. ^{[1] La administración} fuera de banda (OOB) o basada en hardware es diferente de la administración basada en software (o dentro de banda ) y los agentes de administración de software. ^[1]

La administración basada en hardware funciona a un nivel diferente de las aplicaciones de software y utiliza un canal de comunicación (a través de la pila TCP/IP ) que es diferente de la comunicación basada en software (que se realiza a través de la pila de software en el sistema operativo). La administración basada en hardware no depende de la presencia de un sistema operativo o un agente de administración instalado localmente. La administración basada en hardware ha estado disponible en computadoras basadas en Intel/AMD en el pasado, pero se ha limitado en gran medida a la configuración automática usando DHCP o BOOTP para la asignación dinámica de direcciones IP y estaciones de trabajo sin disco , así como Wake-on-LAN (WOL). ) para encender sistemas de forma remota. ^[3] AMT no está diseñado para ser utilizado por sí solo; está diseñado para usarse junto con una aplicación de administración de software. ^[1] Le da a una aplicación de administración (y, por lo tanto, al administrador del sistema que la usa) acceso a la PC a través del cable, para realizar de forma remota tareas que son difíciles o a veces imposibles cuando se trabaja en una PC que no tiene funcionalidades remotas. construido en él. ^{[1] [4] [5]}

AMT está diseñado en un procesador de servicio ubicado en la placa base y utiliza comunicación segura TLS y cifrado sólido para brindar seguridad adicional. ^[6] AMT está integrado en las PC con tecnología Intel vPro y se basa en Intel Management Engine (ME). ^[6] AMT ha avanzado hacia un mayor soporte para los estándares DMTF de arquitectura móvil y de escritorio para hardware del sistema (DASH) y AMT versión 5.1 y versiones posteriores son una implementación de los estándares DASH versión 1.0/1.1 para la administración fuera de banda. ^[7] AMT proporciona una funcionalidad similar a IPMI , aunque AMT está diseñado para sistemas informáticos de clientes en comparación con el IPMI típicamente basado en servidor.

Actualmente, AMT está disponible en computadoras de escritorio, servidores, ultrabooks, tabletas y computadoras portátiles con la familia de procesadores Intel Core vPro , incluida la familia de productos Intel Core i5, Core i7, Core i9 e Intel Xeon E3-1000, Xeon E, Xeon W-1000. ^{[1] [8] [9]} AMT también requiere una tarjeta de red Intel y la versión corporativa del binario Intel Management Engine. ^[10]

Intel confirmó un error de elevación remota de privilegios ( CVE - 2017-5689, SA-00075) en su tecnología de administración el 1 de mayo de 2017. ^[11] Todas las plataformas Intel con capacidad de administración estándar Intel, tecnología de administración activa o tecnología para pequeñas empresas, desde Nehalem en 2008 hasta Kaby Lake en 2017 tiene un agujero de seguridad explotable de forma remota en ME. ^{[12] [13]} Algunos fabricantes, como Purism ^[14] y System76 ^[15] ya venden hardware con Intel Management Engine desactivado para evitar el exploit remoto. Intel confirmó el 20 de noviembre de 2017 fallas de seguridad importantes adicionales en ME que afectan a una gran cantidad de computadoras que incorporan firmware Management Engine, Trusted Execution Engine y Server Platform Services , desde Skylake en 2015 hasta Coffee Lake en 2017 (SA- 00086).

Acceso al servicio no gratuito

Aunque iAMT puede incluirse de forma gratuita en dispositivos vendidos al público y a pequeñas empresas, las capacidades completas de iAMT, incluido el acceso remoto cifrado a través de un certificado de clave pública y el aprovisionamiento remoto automático de dispositivos de clientes iAMT no configurados, no son accesibles de forma gratuita para los consumidores. público en general o a los propietarios directos de dispositivos equipados con iAMT. iAMT no se puede utilizar completamente en su máximo potencial sin comprar software o servicios de administración adicionales de Intel u otro proveedor de software independiente ( ISV ) o revendedor de valor agregado (VAR).

La propia Intel proporciona un paquete de software de kit de herramientas para desarrolladores que permite un acceso básico a iAMT, pero no está diseñado para usarse normalmente para acceder a la tecnología. ^[16] Solo se admiten modos básicos de acceso, sin acceso completo a las comunicaciones cifradas del sistema de gestión adquirido completo. ^[17]

Características

Intel AMT incluye funciones de configuración remota, seguridad, administración de energía y administración remota basadas en hardware que permiten el acceso remoto independiente a las PC habilitadas para AMT. ^[5] Intel AMT es una tecnología de seguridad y administración integrada en las PC con tecnología Intel vPro . ^[1]

Intel AMT utiliza un canal de comunicación fuera de banda (OOB) basado en hardware ^[1] que funciona independientemente de la presencia de un sistema operativo en funcionamiento. El canal de comunicación es independiente del estado de energía de la PC, de la presencia de un agente de administración y del estado de muchos componentes de hardware, como las unidades de disco duro y la memoria .

La mayoría de las funciones de AMT están disponibles OOB, independientemente del estado de energía de la PC. ^[1] Otras funciones requieren que la PC esté encendida (como la redirección de la consola a través de serie a través de LAN (SOL), la verificación de presencia del agente y el filtrado del tráfico de red). ^[1] Intel AMT tiene capacidad de encendido remoto.

Las funciones basadas en hardware se pueden combinar con secuencias de comandos para automatizar el mantenimiento y el servicio. ^[1]

Las funciones de AMT basadas en hardware en computadoras portátiles y de escritorio incluyen:

• Canal de comunicación remoto cifrado para el tráfico de red entre la consola de TI e Intel AMT. ^[6]
• Capacidad para que una PC cableada (conectada físicamente a la red) fuera del firewall de la empresa en una LAN abierta establezca un túnel de comunicación seguro (a través de AMT) de regreso a la consola de TI. ^{[1] [6]} Los ejemplos de una LAN abierta incluyen una computadora portátil con cable en casa o en un sitio SMB que no tiene un servidor proxy.
• Encendido/apagado/ciclo de encendido remoto a través de WOL cifrado . ^[1]
• Arranque remoto , mediante redirección electrónica del dispositivo integrado (IDE-R). ^[6]
• Redirección de consola, vía serie sobre LAN (SOL). ^[1]
• Teclado, vídeo, ratón (KVM) a través de red .
• Filtros basados ​​en hardware para monitorear encabezados de paquetes en el tráfico de red entrante y saliente para detectar amenazas conocidas (basados ​​en temporizadores programables) y para monitorear amenazas conocidas/desconocidas basadas en heurísticas basadas en el tiempo . Las computadoras portátiles y de escritorio tienen filtros para monitorear los encabezados de los paquetes. Las PC de escritorio tienen filtros de encabezado de paquetes y filtros basados ​​en el tiempo. ^[18]
• Circuito de aislamiento (anteriormente y extraoficialmente llamado "disyuntor" por Intel) para bloquear puertos, limitar la velocidad o aislar completamente una PC que podría estar comprometida o infectada. ^{[1] [6] [18]}
• Comprobación de presencia de agentes, a través de temporizadores programables basados ​​en políticas y basados ​​en hardware . Un "fallo" genera un evento; y esto también puede generar una alerta. ^{[1] [6] [18]}
• Alerta OOB. ^[1]
• Registro de eventos persistente, almacenado en memoria protegida (no en el disco duro). ^[6]
• Acceda (prearranque) al identificador único universal (UUID) de la PC. ^[1]
• Acceda a información de activos de hardware (prearranque), como el fabricante y el modelo de un componente, que se actualiza cada vez que el sistema pasa por la autoprueba de encendido (POST). ^[6]
• Acceso (prearranque) al almacén de datos de terceros (TPDS), un área de memoria protegida que los proveedores de software pueden usar, en la que se puede versionar información, archivos .DAT y otra información. ^[1]
• Opciones de configuración remota, incluida la configuración remota sin intervención basada en certificados, la configuración de llave USB (ligeramente táctil) y la configuración manual. ^{[1] [6] [19]}
• Ruta de audio/vídeo protegida para protección de reproducción de medios protegidos por DRM .

Los portátiles con AMT también incluyen tecnologías inalámbricas:

• Soporte para protocolos inalámbricos IEEE 802.11 a / g / n ^[20]
• Extensiones compatibles con Cisco para voz sobre WLAN ^[21]

Historia

Las actualizaciones de software brindan actualizaciones a la próxima versión menor de Intel AMT. Las nuevas versiones importantes de Intel AMT están integradas en un nuevo chipset y se actualizan mediante nuevo hardware. ^[6]

Aplicaciones

Casi todas las funciones de AMT están disponibles incluso si la PC está apagada pero con el cable de alimentación conectado, si el sistema operativo falló, si falta el agente de software o si el hardware (como un disco duro o una memoria) falla. ha fallado. ^{[1] [6]} La función de redirección de consola ( SOL ), la verificación de presencia del agente y los filtros de tráfico de red están disponibles después de encender la PC. ^{[dieciséis ]}

Intel AMT admite estas tareas de administración:

• Encienda, apague, reinicie y reinicie la computadora de forma remota. ^[1]
• Arranque la PC de forma remota redirigiendo de forma remota el proceso de arranque de la PC , lo que hace que arranque desde una imagen diferente, como un recurso compartido de red , un CD-ROM o DVD de arranque , una unidad de reparación u otro dispositivo de arranque. ^{[1] [5]} Esta característica admite el arranque remoto de una PC que tiene un sistema operativo dañado o faltante.
• Redirija remotamente las E/S del sistema a través de la redirección de consola a través de serie sobre LAN (SOL). ^[1] Esta función admite resolución remota de problemas, reparación remota, actualizaciones de software y procesos similares.
• Acceda y cambie la configuración del BIOS de forma remota. ^[1] Esta función está disponible incluso si la PC está apagada, el sistema operativo no funciona o el hardware falla. Esta característica está diseñada para permitir actualizaciones remotas y correcciones de ajustes de configuración. Esta característica admite actualizaciones completas del BIOS, no solo cambios en configuraciones específicas.
• Detectar tráfico de red sospechoso. ^{[1] [18]} En computadoras portátiles y de escritorio, esta característica permite que un administrador del sistema defina los eventos que podrían indicar una amenaza entrante o saliente en el encabezado de un paquete de red . En las PC de escritorio, esta característica también admite la detección de amenazas conocidas y/o desconocidas (incluidos gusanos informáticos de movimiento lento y rápido ) en el tráfico de la red a través de filtros heurísticos basados ​​en el tiempo . El tráfico de red se verifica antes de que llegue al sistema operativo, por lo que también se verifica antes de que se carguen el sistema operativo y las aplicaciones de software, y después de que se apaguen (un período tradicionalmente vulnerable para las PC ^{[ cita requerida ]} ).
• Bloquear o limitar el tráfico de red hacia y desde sistemas sospechosos de estar infectados o comprometidos por virus informáticos , gusanos informáticos u otras amenazas. ^{[1] [18]} Esta característica utiliza circuitos de aislamiento basados ​​en hardware Intel AMT que pueden activarse manualmente (de forma remota, por el administrador del sistema) o automáticamente, según la política de TI (un evento específico).
• Administre los filtros de paquetes de hardware en el adaptador de red integrado . ^{[1] [18]}
• Envíe automáticamente comunicación OOB a la consola de TI cuando un agente de software crítico no cumpla con su registro asignado con el temporizador programable basado en políticas basado en hardware . ^{[1] [18]} Un "error" indica un problema potencial. Esta característica se puede combinar con alertas OOB para que la consola de TI reciba notificaciones solo cuando ocurre un problema potencial (ayuda a evitar que la red se inunde con notificaciones de eventos "positivos" innecesarias).
• Reciba eventos de Platform Event Trap (PET) fuera de banda del subsistema AMT (por ejemplo, eventos que indican que el sistema operativo está colgado o fallado, o que se ha intentado un ataque de contraseña ). ^[1] Se puede emitir una alerta sobre un evento (como el incumplimiento, en combinación con la verificación de presencia del agente) o sobre un umbral (como alcanzar una velocidad particular del ventilador).
• Acceda a un registro de eventos persistente, almacenado en una memoria protegida. ^[1] El registro de eventos está disponible OOB, incluso si el sistema operativo no funciona o el hardware ya ha fallado.
• Descubra un sistema AMT independientemente del estado de energía de la PC o del sistema operativo. ^[1] La detección (acceso previo al inicio al UUID ) está disponible si el sistema está apagado, su sistema operativo está comprometido o inactivo, el hardware (como un disco duro o memoria ) ha fallado o faltan agentes de administración.
• Realice un inventario de software o acceda a información sobre el software en la PC. ^[1] Esta característica permite que un proveedor de software externo almacene información de versión o activo de software para aplicaciones locales en la memoria protegida Intel AMT. (Este es el almacén de datos protegido de terceros, que es diferente de la memoria AMT protegida para información de componentes de hardware y otra información del sistema). El administrador del sistema puede acceder OOB al almacén de datos de terceros. Por ejemplo, un programa antivirus podría almacenar información de la versión en la memoria protegida que está disponible para datos de terceros. Un script de computadora podría usar esta función para identificar las PC que deben actualizarse.
• Realice un inventario de hardware cargando la lista de activos de hardware de la PC remota (plataforma, controlador de administración de placa base , BIOS , procesador , memoria , discos, baterías portátiles, unidades reemplazables en campo y otra información). ^[1] La información de los activos de hardware se actualiza cada vez que el sistema ejecuta la autoprueba de encendido (POST).

Desde la versión principal 6, Intel AMT incorpora un servidor VNC propietario , para acceso fuera de banda utilizando tecnología de visualización dedicada compatible con VNC, y tiene capacidad KVM (teclado, video, mouse) completa durante todo el ciclo de encendido, incluido el control ininterrumpido del escritorio cuando se carga un sistema operativo. Los clientes como VNC Viewer Plus de RealVNC también brindan funciones adicionales que pueden facilitar la realización (y observación) de ciertas operaciones de Intel AMT, como encender y apagar la computadora, configurar el BIOS y montar una imagen remota (IDER).

Aprovisionamiento e integración

AMT admite aprovisionamiento remoto basado en certificado o PSK (implementación remota completa), aprovisionamiento basado en llave USB (aprovisionamiento "de un solo toque"), aprovisionamiento manual ^[1] y aprovisionamiento usando un agente en el host local ("aprovisionamiento basado en host"). "). Un OEM también puede preaprovisionar AMT. ^[19]

La versión actual de AMT admite la implementación remota tanto en computadoras portátiles como de escritorio. (La implementación remota era una de las características clave que faltaban en versiones anteriores de AMT y que retrasó la aceptación de AMT en el mercado). ^[5] La implementación remota, hasta hace poco, solo era posible dentro de una red corporativa. ^[22] La implementación remota permite a un administrador de sistemas implementar PC sin "tocar" los sistemas físicamente. ^[1] También permite que un administrador de sistemas retrase las implementaciones y ponga las PC en uso durante un período de tiempo antes de que las funciones de AMT estén disponibles para la consola de TI. ^[23] A medida que evolucionan los modelos de entrega e implementación, AMT ahora se puede implementar a través de Internet, utilizando métodos "Zero-Touch" y basados ​​en host. ^[24]

Las PC se pueden vender con AMT habilitado o deshabilitado. El OEM determina si enviar AMT con las capacidades listas para su configuración (habilitadas) o deshabilitadas. El proceso de instalación y configuración puede variar según la versión OEM. ^[19]

AMT incluye una aplicación de ícono de privacidad, llamada IMSS, ^[25] que notifica al usuario del sistema si AMT está habilitado. Depende del OEM decidir si desea mostrar el icono o no.

AMT admite diferentes métodos para deshabilitar la tecnología de administración y seguridad, así como también diferentes métodos para volver a habilitar la tecnología. ^{[1] [23] [26] [27]}

AMT se puede desaprovisionar parcialmente mediante los ajustes de configuración o completamente borrando todos los ajustes de configuración, las credenciales de seguridad y los ajustes operativos y de red. ^[28] Un desaprovisionamiento parcial deja el PC en estado de configuración. En este estado, la PC puede iniciar automáticamente su proceso de configuración remota y automatizada. Un desaprovisionamiento completo borra el perfil de configuración, así como las credenciales de seguridad y las configuraciones operativas/de red necesarias para comunicarse con Intel Management Engine. Un desaprovisionamiento completo devuelve Intel AMT a su estado predeterminado de fábrica.

Una vez que AMT está deshabilitado, para habilitar AMT nuevamente, un administrador de sistemas autorizado puede restablecer las credenciales de seguridad requeridas para realizar la configuración remota mediante:

• Utilizando el proceso de configuración remota (configuración remota totalmente automatizada mediante certificados y claves). ^[1]
• Accediendo físicamente al PC para restaurar las credenciales de seguridad, ya sea mediante llave USB o ingresando las credenciales y parámetros MEBx manualmente. ^[1]

Hay una manera de restablecer totalmente AMT y volver a los valores predeterminados de fábrica. Esto se puede hacer de dos formas:

• Estableciendo el valor apropiado en el BIOS .
• Borrar la memoria CMOS y/o NVRAM .

La instalación y la integración de AMT están respaldadas por un servicio de instalación y configuración (para instalación automatizada), una herramienta de servidor web AMT (incluida con Intel AMT) y AMT Commander, una aplicación propietaria gratuita y sin soporte disponible en el sitio web de Intel.

Comunicación

Todo el acceso a las funciones de Intel AMT se realiza a través de Intel Management Engine en el hardware y firmware de la PC. ^[1] La comunicación AMT depende del estado del Management Engine, no del estado del sistema operativo de la PC.

Como parte de Intel Management Engine, el canal de comunicación AMT OOB se basa en la pila de firmware TCP/IP diseñada en el hardware del sistema. ^[1] Debido a que se basa en la pila TCP/IP, la comunicación remota con AMT se produce a través de la ruta de datos de la red antes de que la comunicación pase al sistema operativo.

Intel AMT admite redes cableadas e inalámbricas . ^{[1] [8] [20] [29]} Para portátiles inalámbricos con batería, la comunicación OOB está disponible cuando el sistema está activo y conectado a la red corporativa, incluso si el sistema operativo no funciona. La comunicación OOB también está disponible para portátiles inalámbricos o por cable conectados a la red corporativa a través de una red privada virtual (VPN) basada en sistema operativo host cuando los portátiles están activos y funcionando correctamente.

AMT versión 4.0 y superior puede establecer un túnel de comunicación seguro entre una PC cableada y una consola de TI fuera del firewall corporativo. ^{[1] [30]} En este esquema, un servidor de presencia de administración (Intel lo llama "puerta de enlace habilitada para vPro") autentica la PC, abre un túnel TLS seguro entre la consola de TI y la PC, y media en la comunicación. ^{[1] [31]} El plan está destinado a ayudar al usuario o a la propia PC a solicitar mantenimiento o servicio cuando se encuentre en oficinas satélite o lugares similares donde no haya un servidor proxy o dispositivo de administración en el sitio.

La tecnología que protege las comunicaciones fuera de un firewall corporativo es relativamente nueva. También requiere que exista una infraestructura , incluido el soporte de consolas de TI y firewalls.

Una PC AMT almacena información de configuración del sistema en una memoria protegida. Para PC versión 4.0 y superior, esta información puede incluir los nombres de los servidores de administración de " lista blanca " apropiados para la empresa. Cuando un usuario intenta iniciar una sesión remota entre la PC cableada y un servidor de la empresa desde una LAN abierta , AMT envía la información almacenada a un servidor de presencia de administración (MPS) en la "zona desmilitarizada" ("DMZ") que existe entre las firewall corporativo y firewalls del cliente (la PC del usuario). El MPS utiliza esa información para ayudar a autenticar la PC. Luego, el MPS media en la comunicación entre la computadora portátil y los servidores de administración de la empresa. ^[1]

Como la comunicación se autentica, se puede abrir un túnel de comunicación seguro mediante cifrado TLS . Una vez que se establecen comunicaciones seguras entre la consola de TI e Intel AMT en la PC del usuario, un administrador del sistema puede usar las funciones típicas de AMT para diagnosticar, reparar, mantener o actualizar la PC de forma remota. ^[1]

Diseño

Hardware

El Management Engine (ME) es un coprocesador aislado y protegido, integrado como una parte no opcional ^{[32][actualizar]} en todos los conjuntos de chips Intel actuales (a partir de 2015 ). ^[33]

A partir de ME 11, se basa en la CPU de 32 bits basada en Intel Quark x86 y ejecuta el sistema operativo MINIX 3 . El estado ME se almacena en una partición del flash SPI , utilizando el sistema de archivos Flash integrado (EFFS). ^[34] Las versiones anteriores se basaban en un núcleo ARC , con el motor de gestión ejecutando ThreadX RTOS de Express Logic . Las versiones 1.x a 5.x de ME usaron ARCTangent-A4 (solo instrucciones de 32 bits), mientras que las versiones 6.x a 8.x usaron el ARCompact más nuevo ( arquitectura de conjunto de instrucciones mixtas de 32 y 16 bits ). A partir de ME 7.1, el procesador ARC también podría ejecutar subprogramas Java firmados .

El ME comparte la misma interfaz de red e IP que el sistema host. El tráfico se enruta en función de los paquetes a los puertos 16992–16995. Existe soporte en varios controladores Intel Ethernet, exportados y configurables a través del Protocolo de transporte de componentes de administración (MCTP). ^{[35] [36]} El ME también se comunica con el host a través de la interfaz PCI. ^[34] En Linux, la comunicación entre el host y el ME se realiza a través de /dev/mei^[33] o más recientemente ^[37] /dev/mei0 . ^[38]

Hasta el lanzamiento de los procesadores Nehalem , el ME generalmente estaba integrado en el puente norte de la placa base , siguiendo el diseño del Memory Controller Hub (MCH). ^[39] Con las arquitecturas Intel más nuevas ( Intel Serie 5 en adelante), ME se incluye en el Platform Controller Hub (PCH). ^{[40] [41]}

firmware

• Motor de gestión (ME): conjuntos de chips convencionales
• Servicios de plataforma de servidor (SPS): servidor
• Trusted Execution Engine (TXE): tableta/móvil/bajo consumo

Seguridad

Debido a que AMT permite el acceso a la PC por debajo del nivel del sistema operativo, la seguridad de las funciones de AMT es una preocupación clave.

La seguridad de las comunicaciones entre Intel AMT y el servicio de aprovisionamiento y/o la consola de administración se puede establecer de diferentes maneras según el entorno de red. La seguridad se puede establecer mediante certificados y claves (infraestructura de clave pública TLS o TLS-PKI), claves precompartidas ( TLS-PSK ) o contraseña de administrador. ^{[dieciséis ]}

Las tecnologías de seguridad que protegen el acceso a las funciones de AMT están integradas en el hardware y el firmware. Al igual que con otras funciones de AMT basadas en hardware, las tecnologías de seguridad están activas incluso si la PC está apagada, el sistema operativo falla, faltan agentes de software o el hardware (como un disco duro o una memoria) falla. ^{[1] [6] [42]}

Debido a que el software que implementa AMT existe fuera del sistema operativo, el mecanismo de actualización normal del sistema operativo no lo mantiene actualizado. Por lo tanto, los defectos de seguridad en el software AMT pueden ser particularmente graves, ya que permanecerán mucho tiempo después de haber sido descubiertos y conocidos por posibles atacantes.

El 15 de mayo de 2017, Intel anunció una vulnerabilidad crítica en AMT. Según la actualización, "la vulnerabilidad podría permitir a un atacante de red obtener acceso remoto a PC o dispositivos empresariales que utilicen estas tecnologías". ^[43] Intel anunció la disponibilidad parcial de una actualización de firmware para parchear la vulnerabilidad de algunos de los dispositivos afectados.

Redes

Si bien algunos protocolos para la administración remota dentro de banda utilizan un canal de comunicación de red seguro (por ejemplo, Secure Shell ), otros protocolos no son seguros. Por lo tanto, algunas empresas han tenido que elegir entre tener una red segura o permitir que TI utilice aplicaciones de administración remota sin comunicaciones seguras para mantener y dar servicio a las PC. ^[1]

Las tecnologías de seguridad y los diseños de hardware modernos permiten la gestión remota incluso en entornos más seguros. Por ejemplo, Intel AMT admite IEEE 802.1x , entorno de ejecución previa al arranque (PXE), Cisco SDN y Microsoft NAP . ^[1]

Todas las funciones de AMT están disponibles en un entorno de red seguro. Con Intel AMT en el entorno de red seguro:

• La red puede verificar la situación de seguridad de una PC habilitada para AMT y autenticar la PC antes de que se cargue el sistema operativo y antes de que se le permita a la PC acceder a la red.
• El arranque PXE se puede utilizar manteniendo la seguridad de la red. En otras palabras, un administrador de TI puede utilizar una infraestructura PXE existente en una red IEEE 802.1x , Cisco SDN o Microsoft NAP .

Intel AMT puede integrar credenciales de seguridad de red en el hardware, a través de Intel AMT Embedded Trust Agent y un complemento de postura AMT . ^{[1] [6]} El complemento recopila información sobre la situación de seguridad, como la configuración del firmware y los parámetros de seguridad de software de terceros (como software antivirus y antispyware ), BIOS y memoria protegida . El complemento y el agente de confianza pueden almacenar los perfiles de seguridad en la memoria no volátil protegida de AMT, que no está en la unidad de disco duro .

Debido a que AMT tiene un canal de comunicación fuera de banda, AMT puede presentar la postura de seguridad de la PC a la red incluso si el sistema operativo o el software de seguridad de la PC están comprometidos. Dado que AMT presenta la postura fuera de banda, la red también puede autenticar la PC fuera de banda, antes de que se carguen el sistema operativo o las aplicaciones y antes de que intenten acceder a la red. Si la postura de seguridad no es correcta, un administrador del sistema puede enviar una actualización OOB (a través de Intel AMT) o reinstalar el software de seguridad crítico antes de permitir que la PC acceda a la red.

La compatibilidad con diferentes posturas de seguridad depende de la versión de AMT :

• La compatibilidad con IEEE 802.1x y Cisco SDN requiere AMT versión 2.6 o superior para computadoras portátiles y AMT versión 3.0 o superior para PC de escritorio. ^{[1] [44] [45]}
• La compatibilidad con Microsoft NAP requiere AMT versión 4.0 o superior. ^[1]
• La compatibilidad con el arranque PXE con seguridad de red completa requiere AMT versión 3.2 o superior para PC de escritorio. ^[1]

Tecnología

AMT incluye varios esquemas, tecnologías y metodologías de seguridad para proteger el acceso a las funciones de AMT durante la implementación y la administración remota. ^{[1] [6] [42]} Las tecnologías y metodologías de seguridad de AMT incluyen:

• Seguridad de la capa de transporte , incluida la clave previamente compartida TLS ( TLS-PSK )
• autenticación HTTP
• Inicio de sesión único en Intel AMT con autenticación de dominio de Microsoft Windows , basado en Microsoft Active Directory y Kerberos
• Firmware firmado digitalmente
• Generador de números pseudoaleatorios (PRNG) que genera claves de sesión
• Memoria protegida (no en la unidad de disco duro ) para datos críticos del sistema, como el UUID , información de activos de hardware y ajustes de configuración del BIOS .
• Listas de control de acceso (ACL)

Al igual que con otros aspectos de Intel AMT, las tecnologías y metodologías de seguridad están integradas en el chipset.

Vulnerabilidades y exploits conocidos

Anillo −3 rootkit

Invisible Things Lab demostró un rootkit de anillo -3 para el chipset Q35; no funciona para el chipset Q45 posterior, ya que Intel implementó protecciones adicionales. ^[46] El exploit funcionó reasignando la región de memoria normalmente protegida (16 MB superiores de RAM) reservada para el ME. El rootkit ME se puede instalar independientemente de si el AMT está presente o habilitado en el sistema, ya que el chipset siempre contiene el coprocesador ARC ME. (Se eligió la designación "-3" porque el coprocesador ME funciona incluso cuando el sistema está en el estado S3 , por lo que se consideró una capa debajo de los rootkits del modo de administración del sistema . ^[39] ) Para el chipset Q35 vulnerable, un registrador de pulsaciones de teclas Patrick Stewin demostró el rootkit basado en ME. ^{[47] [48]}

Aprovisionamiento sin intervención

Otra evaluación de seguridad realizada por Vassilios Ververis mostró graves debilidades en la implementación del chipset GM45. En particular, criticó a AMT por transmitir contraseñas no cifradas en el modo de aprovisionamiento SMB cuando se utilizan las funciones de redirección IDE y Serial over LAN. También descubrió que el modo de aprovisionamiento "zero touch" (ZTC) todavía está habilitado incluso cuando el AMT parece estar deshabilitado en el BIOS. Por unos 60 euros, Ververis compró a Go Daddy un certificado que es aceptado por el firmware ME y permite el aprovisionamiento remoto "sin contacto" de máquinas (posiblemente desprevenidas), que transmiten sus paquetes HELLO a posibles servidores de configuración. ^[49]

Bob el silencioso está en silencio

En mayo de 2017, Intel confirmó que muchas computadoras con AMT tenían una vulnerabilidad crítica de escalada de privilegios sin parchear ( CVE - 2017-5689). ^{[13] [50] [11] [51] [52]} La vulnerabilidad, apodada " Silent Bob is Silent" por los investigadores que la habían informado a Intel, ^[53] afecta a numerosos ordenadores portátiles, de sobremesa y servidores vendidos por Dell . , Fujitsu , Hewlett-Packard (más tarde Hewlett Packard Enterprise y HP Inc. ), Intel, Lenovo y posiblemente otros. ^{[53] [54] [55] [56] [57] [58] [59]} Esos investigadores afirmaron que el error afecta a los sistemas fabricados en 2010 o después. ^[60] Otros informes afirmaron que el error también afecta a sistemas creados ya en 2008. ^{[61] [13]} Se describió que la vulnerabilidad proporcionaba a los atacantes remotos:

control total de las máquinas afectadas, incluida la capacidad de leer y modificar todo. Se puede utilizar para instalar malware persistente (posiblemente en firmware) y leer y modificar cualquier dato.

—  Tatu Ylönen, ssh.com ^[53]

El proceso de autorización de usuario remoto incluyó un error del programador: comparó el hash del token de autorización otorgado por el usuario ( user_response) con el valor verdadero del hash ( computed_response) usando este código:

strncmp(respuesta_calculada, respuesta_usuario, longitud_respuesta)

La vulnerabilidad era que response_lengthera la longitud del token proporcionado por el usuario y no del token verdadero.

Dado que el tercer argumento para strncmpes la longitud de las dos cadenas que se van a comparar, si es menor que la longitud de computed_response, solo se probará la igualdad de una parte de la cadena. Específicamente, si user_responsees la cadena vacía (con longitud 0), esta "comparación" siempre devolverá verdadero y, por lo tanto, validará al usuario. Esto permitió a cualquier persona simplemente iniciar sesión en la admincuenta en los dispositivos editando el paquete HTTP enviado para usar la cadena vacía como responsevalor del campo.

PLATINO

En junio de 2017, el grupo de cibercrimen PLATINUM se destacó por explotar las capacidades de serie sobre LAN (SOL) de AMT para realizar la filtración de datos de documentos robados. ^{[62] [63] [64] [ 65] [66] [67] [68] [69]}

SA-00086

En noviembre de 2017, la empresa de seguridad Positive Technologies detectó graves fallos en el firmware del Management Engine (ME), y afirmó haber desarrollado un exploit funcional de este sistema para alguien que tuviera acceso físico a un puerto USB. ^[70] El 20 de noviembre de 2017, Intel confirmó que se habían encontrado una serie de fallas graves en Management Engine, Trusted Execution Engine y Server Platform Services y lanzó una "actualización de firmware crítica". ^{[71] [72]}

Evitación y mitigación

Las PC con AMT generalmente brindan una opción en el menú del BIOS para desactivar AMT, aunque los OEM implementan las funciones del BIOS de manera diferente ^[73] y, por lo tanto, el BIOS no es un método confiable para desactivar AMT. Se supone que las PC basadas en Intel que se enviaron sin AMT no podrán tener AMT instalado más adelante. Sin embargo, mientras el hardware de la PC sea potencialmente capaz de ejecutar AMT, no está claro qué tan efectivas son estas protecciones. ^{[74] [75] [76]} Actualmente, existen guías de mitigación ^[77] y herramientas ^[78] para deshabilitar AMT en Windows, pero Linux solo ha recibido una herramienta para verificar si AMT está habilitado y aprovisionado en sistemas Linux. ^[79] La única forma de solucionar esta vulnerabilidad es instalar una actualización de firmware. Intel ha puesto a disposición una lista de actualizaciones. ^[80] A diferencia de AMT, generalmente no existe una forma oficial y documentada de desactivar el motor de gestión (ME); siempre está encendido, a menos que el OEM no lo habilite en absoluto. ^{[81] [82]}

En 2015, un pequeño número de proveedores competidores comenzaron a ofrecer PC basadas en Intel diseñadas o modificadas específicamente para abordar posibles vulnerabilidades de AMT y preocupaciones relacionadas. ^{[83] [84] [85] [86] [10] [87] [88]}

Ver también

• Puerta trasera (informática)
• Interfaz del controlador integrado del host
• Apagado de luces integrado HP
• IntelCIRA
• núcleo Intel
• interruptor de apagado de internet
• Concentrador de controlador de plataforma
• Gestión de luces apagadas
• Puente Sur (informática)
• Procesador de servicio del sistema
• Versiones Intel AMT
• Motor de gestión Intel
• Intel vPro

Referencias

1. Intel Centrino 2 con tecnología vPro y procesador Intel Core2 con tecnología vPro" (PDF) ) . Intel. 2008. Archivado desde el original (PDF) el 6 de diciembre de 2008 . Consultado el 7 de agosto de 2008 .
2. "El chipset Intel vPro atrae a los MSP y creadores de sistemas". CanalWeb . Consultado el 1 de agosto de 2007 .
3. "¿Un nuevo amanecer para la gestión remota? Un primer vistazo a la plataforma vPro de Intel". ars técnica. 6 de febrero de 2007 . Consultado el 7 de noviembre de 2007 .
4. "Gestión remota de PC con vPro de Intel". Guía de hardware de Tom. 26 de abril de 2007 . Consultado el 21 de noviembre de 2007 .
5. "Revisando vPro para compras corporativas". Garner. Archivado desde el original el 23 de julio de 2008 . Consultado el 7 de agosto de 2008 .
6. "Guía de arquitectura: tecnología Intel Active Management". Intel. 26 de junio de 2008. Archivado desde el original el 19 de octubre de 2008 . Consultado el 12 de agosto de 2008 .
7. "Copia archivada". Archivado desde el original el 14 de abril de 2012 . Consultado el 30 de abril de 2012 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
8. "Intel Centrino 2 con tecnología vPro" (PDF) . Intel. Archivado desde el original (PDF) el 15 de marzo de 2008 . Consultado el 15 de julio de 2008 .
9. "Intel MSP" . msp.intel.com . Consultado el 25 de mayo de 2016 .
10. "El purismo explica por qué evita las tarjetas de red y AMT de Intel para sus portátiles 'Librem' centradas en la privacidad". Hardware de Tom . 29 de agosto de 2016 . Consultado el 10 de mayo de 2017 .
11. "Centro de seguridad de productos Intel®". Centro-de-seguridad.intel.com . Consultado el 7 de mayo de 2017 .
12. Charlie Demerjian (1 de mayo de 2017). "Explotación de seguridad remota en todas las plataformas Intel 2008+". Semipreciso . Consultado el 7 de mayo de 2017 .
13. "¡Alerta roja! Intel repara el agujero de ejecución remota que ha estado oculto en los chips desde 2010". Theregister.co.uk . Consultado el 7 de mayo de 2017 .
14. HardOCP: Purism ofrece computadoras portátiles con el motor de administración de Intel desactivado
15. System76 para desactivar Intel Management Engine en sus portátiles
16. Garrison, Justin (28 de marzo de 2011). "Cómo controlar de forma remota su PC (incluso cuando falla)". Howtogeek.com . Consultado el 7 de mayo de 2017 .
17. "Kit de herramientas para desarrolladores de capacidad de administración abierta | Software Intel®". Software.intel.com . Consultado el 7 de mayo de 2017 .
18. "Descripción general de la presencia de agentes y defensa del sistema de tecnología de gestión activa de Intel" (PDF) . Intel. Febrero de 2007 . Consultado el 16 de agosto de 2008 .
19. "Intel Centrino 2 con tecnología vPro". Intel. Archivado desde el original el 15 de marzo de 2008 . Consultado el 30 de junio de 2008 .
20. "Las nuevas computadoras portátiles basadas en Intel avanzan en todas las facetas de las computadoras portátiles". Intel. Archivado desde el original el 17 de julio de 2008 . Consultado el 15 de julio de 2008 .
21. "Comprensión de Intel AMT por cable o inalámbrico (vídeo)". Intel. Archivado desde el original el 26 de marzo de 2008 . Consultado el 14 de agosto de 2008 .
22. "Tecnología Intel® vPro ™". Intel .
23. "Parte 3: Después de la implementación de Intel vPro en un entorno Altiris: habilitación y configuración del aprovisionamiento retrasado". Intel (foro) . Consultado el 12 de septiembre de 2008 .
24. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 3 de enero de 2014 . Consultado el 20 de julio de 2013 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
25. "Estado de seguridad y administración de Intel (IMSS), configuraciones avanzadas. Parte 9: Blogs de la red de software Intel". Archivado desde el original el 20 de febrero de 2011 . Consultado el 26 de diciembre de 2010 .
26. "Aprovisionamiento Intel vPro" (PDF) . HP (Hewlett Packard) . Consultado el 2 de junio de 2008 .
27. "Configuración y configuración de vPro para la PC empresarial dc7700 con tecnología Intel vPro" (PDF) . HP (Hewlett Packard) . Consultado el 2 de junio de 2008 .^{[ enlace muerto permanente ]}
28. "Parte 4: Después de la implementación de Intel vPro en un entorno Altiris Intel: UnProvDefault parcial". Intel (foro) . Consultado el 12 de septiembre de 2008 .
29. "Consideraciones técnicas para Intel AMT en un entorno inalámbrico". Intel. 27 de septiembre de 2007 . Consultado el 16 de agosto de 2008 .
30. "Servicio de instalación y configuración de la tecnología Intel Active Management, versión 5.0" (PDF) . Intel . Consultado el 13 de octubre de 2018 .
31. "Intel AMT: llamada rápida de ayuda". Intel. 15 de agosto de 2008. Archivado desde el original el 11 de febrero de 2009 . Consultado el 17 de agosto de 2008 .(Blog de desarrolladores de Intel)
32. "Intel x86 se considera dañino (documento nuevo)". Archivado desde el original el 3 de enero de 2016 . Consultado el 16 de enero de 2016 .
33. "Copia archivada". Archivado desde el original el 1 de noviembre de 2014 . Consultado el 25 de febrero de 2014 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
34. Igor Skochinsky ( Hex-Rays ) Rootkit en su computadora portátil, Ruxcon Breakpoint 2012
35. "Hoja de datos del controlador Intel Ethernet I210" (PDF) . Intel . 2013. págs. 1, 15, 52, 621–776 . Consultado el 9 de noviembre de 2013 .
36. "Resumen del producto del controlador Intel Ethernet X540" (PDF) . Intel . 2012 . Consultado el 26 de febrero de 2014 .
37. "muestras: mei: use /dev/mei0 en lugar de /dev/mei · torvalds/linux@c4a46ac". GitHub . Consultado el 14 de julio de 2021 .
38. "Introducción: documentación del kernel de Linux". www.kernel.org . Consultado el 14 de julio de 2021 .
39. Joanna Rutkowska. "Una búsqueda hasta el núcleo" (PDF) . Invisiblethingslab.com . Consultado el 25 de mayo de 2016 .
40. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de febrero de 2014 . Consultado el 26 de febrero de 2014 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
41. "Plataformas II" (PDF) . Usuarios.nik.uni-obuda.hu . Consultado el 25 de mayo de 2016 .
42. "La nueva tecnología de procesador Intel vPro fortalece la seguridad de las PC empresariales (comunicado de prensa)". Intel. 27 de agosto de 2007. Archivado desde el original el 12 de septiembre de 2007 . Consultado el 7 de agosto de 2007 .
43. "Vulnerabilidad crítica del firmware Intel® AMT". Intel . Consultado el 10 de junio de 2017 .
44. "Intel Software Network, foro de ingenieros/desarrolladores". Intel. Archivado desde el original el 13 de agosto de 2011 . Consultado el 9 de agosto de 2008 .
45. "Soluciones de seguridad de Cisco con tecnología de procesador Intel Centrino Pro e Intel vPro" (PDF) . Intel. 2007.
46. "Invisible Things Lab presentará dos nuevas presentaciones técnicas que revelan vulnerabilidades a nivel de sistema que afectan al hardware de PC moderno en su núcleo" (PDF) . Invisiblethingslab.com . Archivado desde el original (PDF) el 12 de abril de 2016 . Consultado el 25 de mayo de 2016 .
47. "Instituto de Tecnología de Berlín: FG Security en telecomunicaciones: Evaluación de rootkits" Ring-3 "" (PDF) . Stewin.org . Archivado desde el original (PDF) el 4 de marzo de 2016 . Consultado el 25 de mayo de 2016 .
48. "Malware de hardware dedicado, persistente y sigiloso, controlado remotamente" (PDF) . Stewin.org . Archivado desde el original (PDF) el 3 de marzo de 2016 . Consultado el 25 de mayo de 2016 .
49. "Evaluación de seguridad de la tecnología de gestión activa de Intel" (PDF) . Web.it.kth.se. _ Consultado el 25 de mayo de 2016 .
50. "CVE - CVE-2017-5689". Cve.mitre.org . Archivado desde el original el 5 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
51. "Motor de gestión oculta Intel: ¿riesgo de seguridad x86?". Red oscura. 16 de junio de 2016 . Consultado el 7 de mayo de 2017 .
52. Garrett, Matthew (1 de mayo de 2017). "Vulnerabilidad AMT remota de Intel". mjg59.dreamwidth.org . Consultado el 7 de mayo de 2017 .
53. "¡ALERTA del 5 de mayo de 2017! ¡Intel AMT EXPLOTACIÓN! ¡ES MALO! ¡DESHABILITE AMT AHORA!". Ssh.com\Accessdate=2017-05-07 .
54. Dan Goodin (6 de mayo de 2017). "El defecto de secuestro que acechaba en los chips Intel es peor de lo que nadie pensaba". Ars Técnica . Consultado el 8 de mayo de 2017 .
55. "General: actualizaciones de BIOS debido a la vulnerabilidad de Intel AMT IME - Hardware general - Computadora portátil - Comunidad Dell". En.community.dell.com . 2 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
56. "Nota de advertencia: vulnerabilidad del firmware Intel: páginas de soporte técnico de Fujitsu de Fujitsu Fujitsu Europa continental, Medio Oriente, África e India". Soporte.ts.fujitsu.com. 1 de mayo de 2017 . Consultado el 8 de mayo de 2017 .
57. "HPE | HPE CS700 2.0 para VMware". H22208.www2.hpe.com . 1 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
58. "Aviso de seguridad Intel® sobre la escalada de... | Comunidades Intel". Comunidades.intel.com . 4 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
59. "Tecnología Intel Active Management, tecnología Intel para pequeñas empresas y escalamiento de privilegios remotos de capacidad de administración estándar Intel". Soporte.lenovo.com . Consultado el 7 de mayo de 2017 .
60. "Cazadores de mitos: CVE-2017-5689". Embedi.com . Archivado desde el original el 6 de mayo de 2017 . Consultado el 7 de mayo de 2017 .
61. Charlie Demerjian (1 de mayo de 2017). "Explotación de seguridad remota en todas las plataformas Intel 2008+". SemiAccurate.com . Consultado el 7 de mayo de 2017 .
62. "Los piratas informáticos astutos utilizan herramientas de administración de Intel para evitar el firewall de Windows". 9 de junio de 2017 . Consultado el 10 de junio de 2017 .
63. Tung, Liam. "El firewall de Windows fue esquivado por espías de 'parches en caliente' que utilizan Intel AMT, dice Microsoft - ZDNet". ZDNet . Consultado el 10 de junio de 2017 .
64. "PLATINUM sigue evolucionando, encuentra formas de mantener la invisibilidad". 7 de junio de 2017 . Consultado el 10 de junio de 2017 .
65. "El malware utiliza una característica oscura de la CPU Intel para robar datos y evitar cortafuegos" . Consultado el 10 de junio de 2017 .
66. "Los piratas informáticos abusan de la función de administración de bajo nivel para crear una puerta trasera invisible". iTnoticias . Consultado el 10 de junio de 2017 .
67. "Vxers explota la gestión activa de Intel para malware a través de LAN • The Register". www.theregister.co.uk . Consultado el 10 de junio de 2017 .
68. Seguridad, heise. "Intel-Fernwartung AMT bei Angriffen auf PCs genutzt". Seguridad . Consultado el 10 de junio de 2017 .
69. "Método de transferencia de archivos del grupo de actividades PLATINUM utilizando Intel AMT SOL". Canal 9 . Consultado el 10 de junio de 2017 .
70. Los investigadores encuentran que casi TODAS las computadoras con una CPU Intel Skylake o superior se pueden poseer a través de USB.
71. "Actualización de firmware crítica del motor de administración Intel® (Intel SA-00086)". Intel.
72. Newman, Lily Hay. "Las fallas en los chips Intel dejan expuestos millones de dispositivos". Cableado .
73. "Deshabilitar AMT en BIOS". software.intel.com . 28 de diciembre de 2010 . Consultado el 17 de mayo de 2017 .
74. "¿Están las PC de consumo a salvo del exploit Intel ME/AMT? - SemiAccurate". semiaccurate.com . 3 de mayo de 2017.
75. "Los Intel x86 ocultan otra CPU que puede hacerse cargo de su máquina (no puede auditarla)". Boing Boing . 15 de junio de 2016 . Consultado el 11 de mayo de 2017 .
76. "[coreboot]: error de AMT". Correo.coreboot.org . 11 de mayo de 2017 . Consultado el 13 de junio de 2017 .
77. "Deshabilitar Intel AMT en Windows (y una guía de mitigación CVE-2017-5689 más sencilla)". Marketing de redes sociales | Márketing Digital | Comercio electrónico . 3 de mayo de 2017 . Consultado el 17 de mayo de 2017 .
78. "bartblaze/Desactivar-Intel-AMT". GitHub . Consultado el 17 de mayo de 2017 .
79. "mjg59/mei-amt-check". GitHub . Consultado el 17 de mayo de 2017 .
80. "Vulnerabilidad crítica del firmware Intel® AMT". Intel . Consultado el 17 de mayo de 2017 .
81. "Blog de Positive Technologies: Desactivación de Intel ME 11 en modo no documentado". Archivado desde el original el 28 de agosto de 2017 . Consultado el 30 de agosto de 2017 .
82. "Intel corrige fallas importantes en el motor de administración Intel". Tecnología extrema.
83. Vaughan-Nichols, Steven J. "Taurinus X200: ahora la computadora portátil con más 'software libre' del planeta: ZDNet". ZDNet .
84. Besando, Kristian. "Libreboot: Thinkpad X220 sin motor de gestión» Linux-Magazin ". Revista Linux .
85. en línea, heise. "Libiquity Taurinus X200: portátil Linux sin motor de gestión Intel". Heise en línea .
86. "La vulnerabilidad de Intel AMT muestra que el motor de gestión de Intel puede ser peligroso". 2 de mayo de 2017.
87. "A la Free Software Foundation le encanta esta computadora portátil, pero a usted no".
88. "FSF respalda otra computadora portátil (obsoleta): Phoronix". phoronix.com .

enlaces externos

• Abra el kit de herramientas de la nube de AMT
• MallaCentral2
• Comandante de capacidad de gestión Intel
• Implementación de Intel AMT
• Centro de seguridad Intel
• Tecnología de gestión activa Intel
• Comunidad de desarrolladores de capacidad de administración Intel
• Centro de expertos Intel vPro
• Controlador Intel 82573E Gigabit Ethernet (Tekoa)
• Procesador ARC4
• Vídeos AMT (seleccione el canal de escritorio)
• Cliente Intel AMT: Radmin Viewer 3.3
• Intel vPro/AMT como antivirus de hardware
• Aprovisionamiento de AMT a través de Internet (OOB Manager)
• Intel ME Secrets: Código oculto en su chipset y cómo descubrir qué hace exactamente por Igor Skochinsky, charla en Code Blue 2014
• Usando Intel AMT e Intel NUC con Ubuntu