1. Giriş
Merhaba! Bu makalenin yazımı iki ay gibi süre kadar sürmekle beraber bir bilgisayarın içindeki ikinci bilgisayar olan ve asla gündeme getirilmeyen Intel Management Engine veya kısaca Intel ME olarak bilinen gizemli bir iç sistemi veya tanımı gereği "Özerk Alt Sistem" anlatmak üzerine yazılmıştır.
Yazarın kendi girişi:
Makaleyi okurken çok şaşırabilir, canınız sıkılabilir, mideniz bulanabilir veya bilgisayar kullanmaktan soğuyabilirsiniz. Çünkü ben bu araştırma süresince bu duyguları aynı anda deneyimledim.
Makaleyi yayımlamadan önce sadeleştirme ve düzenleme kısımları oldu bundan ötürü bazı yerleri törpüledik. Daha az resim kullandık ve listeleme ile özet bilgi sayısını arttırdık çünkü okuru sıkmamak için bazı yerler ciddi sadeleştirildi ve yayıma öyle karar verildi.
Ayrıca orijinal makale daha uzun ve daha çok başlığa sahiptir fakat bu forum versiyonu kısaltılmıştır ve bazı kısımları tekrardan düzenlenmiştir.
Keyifli okumalar dilerim!
Makalenin yazımı sırasında ismini açıklamak istemeyen fakat bana oldukça yardım eden bir bilgisayar mühendisliği öğrencisine teşekkürlerimi sunarım.
2. Intel Management Engine'nin Tarihi.
2008 yılında bir makale ve girişle bütün sistemlerde yer almaya başlayan Intel Management Engine, Intel tarafından son kullanıcılara uzaktan yönetim ve IT çalışanları için sistemleri düzenlemeye yönelik iyileştirme sağlamak üzerine sisteme ilave edilmiş bir özerk alt sistemdir.
Intel tarafından yayınlanan belgelere göre Intel Management Engine'nin ana amacı sistemde yönetimi sağlamak ve gerektiği durumlarda sisteme müdahale etmesi gereken personelin uzaktan bağlantı ve yönetim ile işleri kolaylaştırmak üzerine çıkarıldığı öne sürmekle beraber bu yönetim teknolojisine AMT: Advanced Management Technology denmiştir.
Bütün halka açık belgeler ve raporlar bu özerk alt sistemin varlığını 2008 ve sonrasında onaylar.
AMD tarafında ise 2013 yılında PSP: Platform Secure Processor olarak da bilinen bir çeşit güvenlik işlemcisi adıyla çıktığı tespit edilmiştir.
Intel ME'nin nasıl bir sistem yapısına sahip olduğu asla açıklanmamış ve sadece yetkileri ile kısıtlı bir kitleye hitap ettiği öne sürülmüştür.
Farklı Intel Management Engine versiyonları olduğu onaylanmış ve bu versiyonların kendine has özelliklere sahip olduğu ise Intel tarafından kabul edilmiştir.
2006-2007: Bütün sistemlere dahil edilmeyen bazı deneme türü ME varlığı bilinse bile 2008-2021 yılına kadar her yeni çıkan Chipset ile beraber Intel Management Engine iyileştirmeler almış ve sistemi daha da iyi kontrol edebilecek kabiliyetlere sahip olmuştur.
Son sürümünü ise 2021 yılında kabul edilen 700 serisi yongalara entegre olarak gelen Intel Management Engine 15.0 sürümüdür.
3. Intel Management Engine'nin Yetkileri ve Özellikleri.
3.1 Intel Management Engine'nin Bilinen Tüm Yetkileri.
Intel Management Engine'nin sahip olduğu tüm yetkiler aşağıdaki listede detaylıca belirtilmiştir:
1. Anakartı tümüyle kontrol etmek.
2. BIOS dahil olmak üzere bütün Boot yazılımları ve Frimware gibi donanım yazılımlarına müdahele edebilmek.
3. İşlemci dahil bütün donanımları açma/kapatma yetkisi.
4. Klavye, fare gibi bütün harici aygıtları kontrol edebilmek ve bu aygıtlar tarafından sisteme girilen verileri elde etmek/okumak.
5. Kamera dahil ses-görüntü çıktısı veya girdisi verebilen donanımları kontrol etmek.
6. Sisteme gelen gücü düzenleme yetkisi.
7. Anakart yazılımını ve ona bağlı sistem yazılımlarını düzenlemek.
8. Sistem içinde yürütülen bütün verileri kontrol edebilmek ve gerekirse düzenlemek.
Bunlar bilinen bütün yetkileri olmakla beraber bazı uzmanlar Intel Management Engine'nin daha da fazla yetkiye sahip olduğunu iddia eder.
3.2 Intel Management Engine Özellikleri.
Intel Management Engine'nin sahip olduğu tüm karakteristik özelliklerin listesi:
1. Huffman Tabloları ile sıkıştırılmış ve şifrelenmiş kod bütünü.
2. Sistem güçten kesilse bile çalışabilme durumu.
3. Kendisine ait bir IP ve MAC adresine sahip olmak.
4. İlk versiyonları içinde Ethernet kısmında olmak son versiyonlarda ise doğrudan PCH içinde olmak.
5. Uzaktan gelen kodları yürütebilmek.
6. Son versiyonlarında artık Java Uygulamaları ve 16-32 Bit kod parçaları veya yazılımları yürütülebilir.
7. MINIX olarak bilinen bir işletim sistemini kullanmaktadır.
8. Otuz dakikalık periyotlarla kendisinin çalışabilirlik durumunu kontrol etmek.
3.3 Intel Management Engine'nin AMT kullanıcısına verdiği yetkiler.
Intel Management Engine AMT teknolojisini kullanan bütün IT uzmanlarına cihazı uzaktan kontrol etme ve IP adresi atanmış cihazı uzaktan açma/kapama yetkisi verir.
Yönetici vPRO işlemcilere sahip bütün cihazların AMT kurulumunu yaptıktan sonra şifresi ve IP adresi olan cihaza kendi cihazından uzaktan yönetim yazılımı ile atanmış IP adresli cihaza yönetim isteği kurar ve ME kurulu cihazın uzaktan açmak ve kapatmak dahil bütün işlemleri yapabilir.
Ayrıca ME doğrudan Anakart ve Güç planını kontrol etme yetkisine sahip olduğundan sistemin kapatılması Management Engine tarafından yönetilmesini önleyemez.
4. Intel Management Engine'nin Yapısını Anlamak Üzerine Yapılan Çalışmalar.
Intel Management Engine çıktığı günden bugüne bütün bilgisayar korsanları ve güvenlik uzmanlarının dikkatini çeken bir alt sistem olmakla beraber bütün bir cihazı yönetme yetkisine sahip bu özerk alt sistemin yapısını çözmek ve anlamak üzerine pek çok çalışma ve siber güvenlik panelleri yapılmıştır.
36C3 çalışmaları:
Black Hat Europe 2017:
Bütün çalışmaların odaklandığı bazı amaçların listesi:
1. Intel Management Engine'nin davranışlarının açıklanması.
2. Intel Management Engine'nin kod yapısının açıklanması.
3. Intel Management Engine'nin açıklarının bulunması ve yarattığı sorunların araştırılması.
4. Intel Management Engine'nin özelliklerinin detaylandırılması ve incelenmesi.
Çalışmaların ağırlıklı amacı asla açıklanmayan bu sistemi açıklamak üzerine olmakla beraber Intel tarafından asla açıklanmayan bazı özellikler bulundu.
5. Intel Management Engine'nin bilinen bütün açıkları.
CVE (Common Vulnerabilities and Exposures) içinde listelenmiş toplamda "13" adet açık bulunmakla beraber bunların detaylı bir resmi aşağıda ek olarak sunulmuştur.
Bilinen ilk güvenlik açığı kaydı 2016 ve son kaydı 2024 yılında bulunan Intel Management Engine bu kadar çok yetki ve güce sahipken on üç gibi bir açık sayısı pek çok kullanıcıyı ve uzmanı tedirgin etmiştir.
Ek: Intel Management Engine açıkları.
2017 Yılında başlayan çalışmalarla beraber daha fazla açık tespit edilmiştir. Bu açıklar Intel Tarafından onaylanmış ve gerekli yamalar yayınlanmıştır. Fakat uzmanlar bu kadar kritik bir özerk alt sistemin bu kadar çok açığa sahip olmasının ciddi risk doğurduğuna yönelik Intel'e geri bildiri yapmıştır.
6. Intel Management Engine ile İlgili Tartışmalar ve Eleştiriler.
6.1 Intel Management Engine'nin Kaldırılamaması ve Müdahale Edilme Zorluğu.
Intel Management Engine ile ilgili en büyük eleştirilerden birisi olarak bu sistemin geçersiz kılınamaması ve kaldırılmasının zorluğudur.
Başta CoreBoot, LibreBoot gibi açık kaynaklı Boot yazılımlarını savunan kişilerce: "Sistemimiz ve Anakartımız yetkileri bile düzgün açıklanmayan bir sistemce yönetiliyor üstelik vPRO sahibi olmadığımız halde sistemi uzaktan yönetme özelliği aktif şekilde duruyor".
Aşağıda bir gösterim sırasında bu sistemi dejenere etmeye çalışırsanız muhtemel olarak sistemden alacağınız uyarının bir görüntüsü:
Kullanıcıların bu uyarıyı alma sebebi: Intel Management Engine Anakart BIOS'u üzerinde kriptografik anahatara sahip ve bu 2 anahtardan sadece birisi kullanıcıya açıktır. Kullanıcı BIOS güncellemek gibi basit işleri yapabilirken Intel Management Engine'yi Boot eden asıl yazılımı silmek gibi bir aksiyona kalkışsa bile orijinal kriptografik anahtara sahip olmayacağından her defasında bu uyarıyı almaktadır.
Bununla beraber LibreBoot kurmak veya sistemi CoreBoot yazılımına taşımak gibi çözümler efektif bir sonuç sunmamaktadır: Çünkü bu Boot yazılımların sorunsuz çalışması için Intel ME'ye ait kriptografik anahtarın gömülmüş olması gerekir fakat gömülü değildir. Bu yüzden ME ve Boot Guard her defasında sistemdeki sorunu ve Intel ME'yi geçersiz kılma girişimini algılayarak sistemi otuz dakikalık bir kullanım süresine sokar. Bu süre Intel ME'nin kendisini kontrol süresidir.
Bazı kullanıcılarsa bu sisteme çeşitli kodlarla müdahale etmek ister fakat sistem yanıt vermez veya doğrudan kodu yürütmez.
6.2 Intel'in ABD Devletine İstihbarat Sağladığı İddiası.
Bazı kullanıcılar "Patriot Act" sonrası bu durumun ve sistemin geldiğini ve Intel Management Engine'nin tamamen ABD devleti ve NSA'ya (National Security Agency) hizmet eden bir donanımsal arka kapı olduğunu öne sürmüştür.
Bu açıklamalara Intel tarafından cevap verilmiş ve aşağıdaki açıklama metni kamuoyuna duyurulmuştur:
“First, we want to be very clear. Intel takes the integrity of its products very seriously. Intel does not put back doors in its products nor do our products give Intel control or access to computing systems without the explicit permission of the end user. In short, Intel does not participate in efforts to decrease security in technology.”
Yazar: Intel CTO Steve Grubman.
Açıklamanın Türkçe özeti: Açık olmak isteriz Intel donanımlarına son kullanıcı onayı olmadan kontrol etmeyi sağlayan arka kapılar koymamaktadır.
Bu açıklama Intel Management Engine'yi araştıran pek çok uzmanı tatmin etmemiş üstüne bu sistemle ilgili daha da fazla araştırma yapmaya teşvik etmiştir. Çünkü onlara göre bu açıklama doğrudan ABD'den gelen ve zorla yazdırılan bir metindir.
6.3 Bütün Sisteme Müdahale Etme Yetkisine Sahip Alt Sistem Tartışması.
Pek çok kullanıcı Intel Management Engine'nin bütün sisteme müdahale etmesinden rahatsız olmuştur. Üstelik bu hakkın sadece vPRO işlemcilerle beraber kısıtlı bir kitleye geçmesine rağmen neden bütün cihazlarda bu özerk alt sistemin olduğu insanlarda ciddi bir tartışma konusu yaratmıştır. Genel görüşler bu sistemin bir çeşit devletlere mahsus açık kapı olması veya daha çok bu sistemi kaldırmanın maliyetli olmasından ötürü kaldırılmamasına yorulur
Çoğu kullanıcı ise bu sisteme her şeyi kontrol etmesinden ve kaldırılmasının imkansızlığından ötürü karşı çıkmıştır. Ayrıca bazı kişiler "Madem sadece vPRO kullananlara yönelik bir özellik neden tüm cihazlarda var?" gibi sorular sormuş ve Intel tarafından 6.2 numaralı başlıkta yapılmış açıklama harici yeni bir açıklama gelmemiştir.
7. MINIX İşletim Sistemi ve Intel.
MINIX adlı işletim sistemi 1987 tarihinde Andrew S. Tanenbaum tarafından geliştirilmiş bir işletim sistemidir. Sistemi geliştiren kişi yani Andrew S. Tanenbaum bir profesör olup Hollanda Vrije Universteit içinde görev yapmaktadır.
Sistemin ana amacı Andrew S Tanenbaum'un öğrencilerine daha iyi bir bilgisayar mühendisliği eğitimi vermesini sağlamak ve bu alanla ilgili çalışma yapan araştırmacılara yardımcı olmaktır.
MINIX sistem yapısı gereği düşük yer kaplayan ve düzenlemelere oldukça açık bir sistemdir çünkü asıl amacı öğretim materyali olmak üzerine belirlenmiştir.
MINIX sistemi çeşitli kodları ve bazı programları yürütebilir fakat doğrudan ilk sürümleri içinde bilinen bir paket yöneticisi yoktur.
Bu işletim sisteminin Intel tarafından ne zaman incelendiğinin doğrudan bilinen bir tarihi yoktur fakat bazı Intel mühendislerinin Andrew S. Tatenbaum'a çeşitli elektronik postalar veya seminerler sırasında bu sistemle ilgili soru sordukları ve Tatenbaum'un memnuniyetle cevap verdiği bilinmektedir.
İlerleyen dönemlerde Tatenbaum Intel'in eğitim amaçlı bir işletim sistemini alıp kendi amaçları üzerine kullanmasını ve bütün değişiklikleri Tatenbaum'a haber vermemesi sonucunda Tatenbaum bütün dünyaya açık bir mektup yazarak Intel'i eleştirmiş ve kendisine bilgi verilmediğini aktarmıştır. Ayrıca mektubun sonunda MINIX'in lisanslanması ve hakları üzerine de ekstra bir kısım bulunmaktadır.
Andrew S. Tatenbaum tarafından Intel'e yazılan mektubun kopyası: Orijinal Mektup.
Mektup içinde Tatenbaum "Intel sayesinde MINIX dünyada en çok kullanılan işletim sistemi oldu." cümlesini aktarmış ve kendisine yapılan bu modifikasyonlar ve değişiklerle ilgili bilgi verilmediğini ayrıca Intel'in lisanslama konusunda doğrudan kendisine haber vermediğini iletmiştir.
8. Intel Management Engine'nin ABD Tarafından Devlet Cihazları İçinde İnaktif Etmesinin Tespit Edilmesi.
Yapılan araştırma ve incelemeler sonrasında Intel Management Engine'nin Dell, HP gibi ABD ordusu ile anlaşmalı şirketlerce geçersiz kılınabildiği ve bunun bir anahtar ile sağlandığı ortaya çıktı. İlk anahtar iddialarından sonra NSA (National Security Agency) Tarafından kullanılan bu anahtarın tüm ABD devlet sistemlerinde kullanıldığı ve ABD'nin kendi yönetim sistemleri içinde Intel Management Engine'yi iptal ettiğini açıkça ortaya koydu.
Bu durumun yaşanmasından sonra başta Rusya merkezli şirketler olmak üzere pek çok uzman ve kurum Intel'i eleştirdi. Eleştiriler genel olarak Intel'in taraf tuttuğunu ve sürekli olarak dünyadaki cihazlardan bilgi topladığını öne sürdü.
GitHUB sayfaları içinde ve Intel ME Cleaner projesi içinde bu durumun detaylı bir çıktısı verilmekle beraber ABD'nin bu sistemi kullanmaması pek çok kişide bu sistemin istihbarat topladığına yönelik düşüncelerini kuvvetlendirdi. Ayrıca Rusya merkezli siber güvenlik şirketleri bu anahtarı kullanarak Intel Management Engine'yi deaktive etmeyi başardı.
9. Sonuç.
Yapılan pek çok inceleme ve araştırma 2008 yılından sonra sistemlerden asla kaldırılamayan bu özerk alt sistemi keşfetti.
Pek çok araştırmacı bu kadar çok yetkiye sahip bir sistemin fazlaca açığa sahip olmasının kötü sonuçlar doğuracağını hatta ABD'nin bile kendi cihazlarında kullanmadığını öne sürdü.
Geçersiz hale getirilmesi oldukça zor olan Intel Management Engine pek çok tartışma ve çalışmaya konu oldu.
10. Kaynaklar ve Kapanış.
Bu makalenin yazımı sırasında pek çok kaynak kullanılmıştır bu kaynaklar aşağıda açıklanmıştır:
CVE: CVE kaynağı.
CoreBoot: CoreBoot Kaynağı.
GitHUB ME Cleaner Projesi: GitHUB Kaynağı.
Andrew S. Tanenbaum Mektubu: Mektup.
LibreBoot: LibreBoot Kaynağı.
Intel ME ile ilgili Reddit tartışması: Tartışma.
Harici Makale: Tech Republic Metni.
Quora Tartışması: Intel ME ile ilgili Quora Tartışması.
CS Online: CS Online.
Intel'in ME'yi açıkladığı kaynak: Intel.
EFF Vakfı: EFF.
Ekstra olarak eklenmeyen bazı kaynaklar ve açıklamalar mevcuttur: Bunlar doğrudan Web Archive içinde arşivlenmiş metinlerdir.
Okuduğunuz için Teşekkür ederiz.
Merhaba! Bu makalenin yazımı iki ay gibi süre kadar sürmekle beraber bir bilgisayarın içindeki ikinci bilgisayar olan ve asla gündeme getirilmeyen Intel Management Engine veya kısaca Intel ME olarak bilinen gizemli bir iç sistemi veya tanımı gereği "Özerk Alt Sistem" anlatmak üzerine yazılmıştır.
Yazarın kendi girişi:
Makaleyi okurken çok şaşırabilir, canınız sıkılabilir, mideniz bulanabilir veya bilgisayar kullanmaktan soğuyabilirsiniz. Çünkü ben bu araştırma süresince bu duyguları aynı anda deneyimledim.
Makaleyi yayımlamadan önce sadeleştirme ve düzenleme kısımları oldu bundan ötürü bazı yerleri törpüledik. Daha az resim kullandık ve listeleme ile özet bilgi sayısını arttırdık çünkü okuru sıkmamak için bazı yerler ciddi sadeleştirildi ve yayıma öyle karar verildi.
Ayrıca orijinal makale daha uzun ve daha çok başlığa sahiptir fakat bu forum versiyonu kısaltılmıştır ve bazı kısımları tekrardan düzenlenmiştir.
Keyifli okumalar dilerim!
Makalenin yazımı sırasında ismini açıklamak istemeyen fakat bana oldukça yardım eden bir bilgisayar mühendisliği öğrencisine teşekkürlerimi sunarım.
2. Intel Management Engine'nin Tarihi.
2008 yılında bir makale ve girişle bütün sistemlerde yer almaya başlayan Intel Management Engine, Intel tarafından son kullanıcılara uzaktan yönetim ve IT çalışanları için sistemleri düzenlemeye yönelik iyileştirme sağlamak üzerine sisteme ilave edilmiş bir özerk alt sistemdir.
Intel tarafından yayınlanan belgelere göre Intel Management Engine'nin ana amacı sistemde yönetimi sağlamak ve gerektiği durumlarda sisteme müdahale etmesi gereken personelin uzaktan bağlantı ve yönetim ile işleri kolaylaştırmak üzerine çıkarıldığı öne sürmekle beraber bu yönetim teknolojisine AMT: Advanced Management Technology denmiştir.
Bütün halka açık belgeler ve raporlar bu özerk alt sistemin varlığını 2008 ve sonrasında onaylar.
AMD tarafında ise 2013 yılında PSP: Platform Secure Processor olarak da bilinen bir çeşit güvenlik işlemcisi adıyla çıktığı tespit edilmiştir.
Intel ME'nin nasıl bir sistem yapısına sahip olduğu asla açıklanmamış ve sadece yetkileri ile kısıtlı bir kitleye hitap ettiği öne sürülmüştür.
Farklı Intel Management Engine versiyonları olduğu onaylanmış ve bu versiyonların kendine has özelliklere sahip olduğu ise Intel tarafından kabul edilmiştir.
2006-2007: Bütün sistemlere dahil edilmeyen bazı deneme türü ME varlığı bilinse bile 2008-2021 yılına kadar her yeni çıkan Chipset ile beraber Intel Management Engine iyileştirmeler almış ve sistemi daha da iyi kontrol edebilecek kabiliyetlere sahip olmuştur.
Son sürümünü ise 2021 yılında kabul edilen 700 serisi yongalara entegre olarak gelen Intel Management Engine 15.0 sürümüdür.
3. Intel Management Engine'nin Yetkileri ve Özellikleri.
3.1 Intel Management Engine'nin Bilinen Tüm Yetkileri.
Intel Management Engine'nin sahip olduğu tüm yetkiler aşağıdaki listede detaylıca belirtilmiştir:
1. Anakartı tümüyle kontrol etmek.
2. BIOS dahil olmak üzere bütün Boot yazılımları ve Frimware gibi donanım yazılımlarına müdahele edebilmek.
3. İşlemci dahil bütün donanımları açma/kapatma yetkisi.
4. Klavye, fare gibi bütün harici aygıtları kontrol edebilmek ve bu aygıtlar tarafından sisteme girilen verileri elde etmek/okumak.
5. Kamera dahil ses-görüntü çıktısı veya girdisi verebilen donanımları kontrol etmek.
6. Sisteme gelen gücü düzenleme yetkisi.
7. Anakart yazılımını ve ona bağlı sistem yazılımlarını düzenlemek.
8. Sistem içinde yürütülen bütün verileri kontrol edebilmek ve gerekirse düzenlemek.
Bunlar bilinen bütün yetkileri olmakla beraber bazı uzmanlar Intel Management Engine'nin daha da fazla yetkiye sahip olduğunu iddia eder.
3.2 Intel Management Engine Özellikleri.
Intel Management Engine'nin sahip olduğu tüm karakteristik özelliklerin listesi:
1. Huffman Tabloları ile sıkıştırılmış ve şifrelenmiş kod bütünü.
2. Sistem güçten kesilse bile çalışabilme durumu.
3. Kendisine ait bir IP ve MAC adresine sahip olmak.
4. İlk versiyonları içinde Ethernet kısmında olmak son versiyonlarda ise doğrudan PCH içinde olmak.
5. Uzaktan gelen kodları yürütebilmek.
6. Son versiyonlarında artık Java Uygulamaları ve 16-32 Bit kod parçaları veya yazılımları yürütülebilir.
7. MINIX olarak bilinen bir işletim sistemini kullanmaktadır.
8. Otuz dakikalık periyotlarla kendisinin çalışabilirlik durumunu kontrol etmek.
3.3 Intel Management Engine'nin AMT kullanıcısına verdiği yetkiler.
Intel Management Engine AMT teknolojisini kullanan bütün IT uzmanlarına cihazı uzaktan kontrol etme ve IP adresi atanmış cihazı uzaktan açma/kapama yetkisi verir.
Yönetici vPRO işlemcilere sahip bütün cihazların AMT kurulumunu yaptıktan sonra şifresi ve IP adresi olan cihaza kendi cihazından uzaktan yönetim yazılımı ile atanmış IP adresli cihaza yönetim isteği kurar ve ME kurulu cihazın uzaktan açmak ve kapatmak dahil bütün işlemleri yapabilir.
Ayrıca ME doğrudan Anakart ve Güç planını kontrol etme yetkisine sahip olduğundan sistemin kapatılması Management Engine tarafından yönetilmesini önleyemez.
4. Intel Management Engine'nin Yapısını Anlamak Üzerine Yapılan Çalışmalar.
Intel Management Engine çıktığı günden bugüne bütün bilgisayar korsanları ve güvenlik uzmanlarının dikkatini çeken bir alt sistem olmakla beraber bütün bir cihazı yönetme yetkisine sahip bu özerk alt sistemin yapısını çözmek ve anlamak üzerine pek çok çalışma ve siber güvenlik panelleri yapılmıştır.
36C3 çalışmaları:
Black Hat Europe 2017:
Bütün çalışmaların odaklandığı bazı amaçların listesi:
1. Intel Management Engine'nin davranışlarının açıklanması.
2. Intel Management Engine'nin kod yapısının açıklanması.
3. Intel Management Engine'nin açıklarının bulunması ve yarattığı sorunların araştırılması.
4. Intel Management Engine'nin özelliklerinin detaylandırılması ve incelenmesi.
Çalışmaların ağırlıklı amacı asla açıklanmayan bu sistemi açıklamak üzerine olmakla beraber Intel tarafından asla açıklanmayan bazı özellikler bulundu.
5. Intel Management Engine'nin bilinen bütün açıkları.
CVE (Common Vulnerabilities and Exposures) içinde listelenmiş toplamda "13" adet açık bulunmakla beraber bunların detaylı bir resmi aşağıda ek olarak sunulmuştur.
Bilinen ilk güvenlik açığı kaydı 2016 ve son kaydı 2024 yılında bulunan Intel Management Engine bu kadar çok yetki ve güce sahipken on üç gibi bir açık sayısı pek çok kullanıcıyı ve uzmanı tedirgin etmiştir.
Ek: Intel Management Engine açıkları.
2017 Yılında başlayan çalışmalarla beraber daha fazla açık tespit edilmiştir. Bu açıklar Intel Tarafından onaylanmış ve gerekli yamalar yayınlanmıştır. Fakat uzmanlar bu kadar kritik bir özerk alt sistemin bu kadar çok açığa sahip olmasının ciddi risk doğurduğuna yönelik Intel'e geri bildiri yapmıştır.
6. Intel Management Engine ile İlgili Tartışmalar ve Eleştiriler.
6.1 Intel Management Engine'nin Kaldırılamaması ve Müdahale Edilme Zorluğu.
Intel Management Engine ile ilgili en büyük eleştirilerden birisi olarak bu sistemin geçersiz kılınamaması ve kaldırılmasının zorluğudur.
Başta CoreBoot, LibreBoot gibi açık kaynaklı Boot yazılımlarını savunan kişilerce: "Sistemimiz ve Anakartımız yetkileri bile düzgün açıklanmayan bir sistemce yönetiliyor üstelik vPRO sahibi olmadığımız halde sistemi uzaktan yönetme özelliği aktif şekilde duruyor".
Aşağıda bir gösterim sırasında bu sistemi dejenere etmeye çalışırsanız muhtemel olarak sistemden alacağınız uyarının bir görüntüsü:
Kullanıcıların bu uyarıyı alma sebebi: Intel Management Engine Anakart BIOS'u üzerinde kriptografik anahatara sahip ve bu 2 anahtardan sadece birisi kullanıcıya açıktır. Kullanıcı BIOS güncellemek gibi basit işleri yapabilirken Intel Management Engine'yi Boot eden asıl yazılımı silmek gibi bir aksiyona kalkışsa bile orijinal kriptografik anahtara sahip olmayacağından her defasında bu uyarıyı almaktadır.
Bununla beraber LibreBoot kurmak veya sistemi CoreBoot yazılımına taşımak gibi çözümler efektif bir sonuç sunmamaktadır: Çünkü bu Boot yazılımların sorunsuz çalışması için Intel ME'ye ait kriptografik anahtarın gömülmüş olması gerekir fakat gömülü değildir. Bu yüzden ME ve Boot Guard her defasında sistemdeki sorunu ve Intel ME'yi geçersiz kılma girişimini algılayarak sistemi otuz dakikalık bir kullanım süresine sokar. Bu süre Intel ME'nin kendisini kontrol süresidir.
Bazı kullanıcılarsa bu sisteme çeşitli kodlarla müdahale etmek ister fakat sistem yanıt vermez veya doğrudan kodu yürütmez.
6.2 Intel'in ABD Devletine İstihbarat Sağladığı İddiası.
Bazı kullanıcılar "Patriot Act" sonrası bu durumun ve sistemin geldiğini ve Intel Management Engine'nin tamamen ABD devleti ve NSA'ya (National Security Agency) hizmet eden bir donanımsal arka kapı olduğunu öne sürmüştür.
Bu açıklamalara Intel tarafından cevap verilmiş ve aşağıdaki açıklama metni kamuoyuna duyurulmuştur:
“First, we want to be very clear. Intel takes the integrity of its products very seriously. Intel does not put back doors in its products nor do our products give Intel control or access to computing systems without the explicit permission of the end user. In short, Intel does not participate in efforts to decrease security in technology.”
Yazar: Intel CTO Steve Grubman.
Açıklamanın Türkçe özeti: Açık olmak isteriz Intel donanımlarına son kullanıcı onayı olmadan kontrol etmeyi sağlayan arka kapılar koymamaktadır.
Bu açıklama Intel Management Engine'yi araştıran pek çok uzmanı tatmin etmemiş üstüne bu sistemle ilgili daha da fazla araştırma yapmaya teşvik etmiştir. Çünkü onlara göre bu açıklama doğrudan ABD'den gelen ve zorla yazdırılan bir metindir.
6.3 Bütün Sisteme Müdahale Etme Yetkisine Sahip Alt Sistem Tartışması.
Pek çok kullanıcı Intel Management Engine'nin bütün sisteme müdahale etmesinden rahatsız olmuştur. Üstelik bu hakkın sadece vPRO işlemcilerle beraber kısıtlı bir kitleye geçmesine rağmen neden bütün cihazlarda bu özerk alt sistemin olduğu insanlarda ciddi bir tartışma konusu yaratmıştır. Genel görüşler bu sistemin bir çeşit devletlere mahsus açık kapı olması veya daha çok bu sistemi kaldırmanın maliyetli olmasından ötürü kaldırılmamasına yorulur
Çoğu kullanıcı ise bu sisteme her şeyi kontrol etmesinden ve kaldırılmasının imkansızlığından ötürü karşı çıkmıştır. Ayrıca bazı kişiler "Madem sadece vPRO kullananlara yönelik bir özellik neden tüm cihazlarda var?" gibi sorular sormuş ve Intel tarafından 6.2 numaralı başlıkta yapılmış açıklama harici yeni bir açıklama gelmemiştir.
7. MINIX İşletim Sistemi ve Intel.
MINIX adlı işletim sistemi 1987 tarihinde Andrew S. Tanenbaum tarafından geliştirilmiş bir işletim sistemidir. Sistemi geliştiren kişi yani Andrew S. Tanenbaum bir profesör olup Hollanda Vrije Universteit içinde görev yapmaktadır.
Sistemin ana amacı Andrew S Tanenbaum'un öğrencilerine daha iyi bir bilgisayar mühendisliği eğitimi vermesini sağlamak ve bu alanla ilgili çalışma yapan araştırmacılara yardımcı olmaktır.
MINIX sistem yapısı gereği düşük yer kaplayan ve düzenlemelere oldukça açık bir sistemdir çünkü asıl amacı öğretim materyali olmak üzerine belirlenmiştir.
MINIX sistemi çeşitli kodları ve bazı programları yürütebilir fakat doğrudan ilk sürümleri içinde bilinen bir paket yöneticisi yoktur.
Bu işletim sisteminin Intel tarafından ne zaman incelendiğinin doğrudan bilinen bir tarihi yoktur fakat bazı Intel mühendislerinin Andrew S. Tatenbaum'a çeşitli elektronik postalar veya seminerler sırasında bu sistemle ilgili soru sordukları ve Tatenbaum'un memnuniyetle cevap verdiği bilinmektedir.
İlerleyen dönemlerde Tatenbaum Intel'in eğitim amaçlı bir işletim sistemini alıp kendi amaçları üzerine kullanmasını ve bütün değişiklikleri Tatenbaum'a haber vermemesi sonucunda Tatenbaum bütün dünyaya açık bir mektup yazarak Intel'i eleştirmiş ve kendisine bilgi verilmediğini aktarmıştır. Ayrıca mektubun sonunda MINIX'in lisanslanması ve hakları üzerine de ekstra bir kısım bulunmaktadır.
Andrew S. Tatenbaum tarafından Intel'e yazılan mektubun kopyası: Orijinal Mektup.
Mektup içinde Tatenbaum "Intel sayesinde MINIX dünyada en çok kullanılan işletim sistemi oldu." cümlesini aktarmış ve kendisine yapılan bu modifikasyonlar ve değişiklerle ilgili bilgi verilmediğini ayrıca Intel'in lisanslama konusunda doğrudan kendisine haber vermediğini iletmiştir.
8. Intel Management Engine'nin ABD Tarafından Devlet Cihazları İçinde İnaktif Etmesinin Tespit Edilmesi.
Yapılan araştırma ve incelemeler sonrasında Intel Management Engine'nin Dell, HP gibi ABD ordusu ile anlaşmalı şirketlerce geçersiz kılınabildiği ve bunun bir anahtar ile sağlandığı ortaya çıktı. İlk anahtar iddialarından sonra NSA (National Security Agency) Tarafından kullanılan bu anahtarın tüm ABD devlet sistemlerinde kullanıldığı ve ABD'nin kendi yönetim sistemleri içinde Intel Management Engine'yi iptal ettiğini açıkça ortaya koydu.
Bu durumun yaşanmasından sonra başta Rusya merkezli şirketler olmak üzere pek çok uzman ve kurum Intel'i eleştirdi. Eleştiriler genel olarak Intel'in taraf tuttuğunu ve sürekli olarak dünyadaki cihazlardan bilgi topladığını öne sürdü.
GitHUB sayfaları içinde ve Intel ME Cleaner projesi içinde bu durumun detaylı bir çıktısı verilmekle beraber ABD'nin bu sistemi kullanmaması pek çok kişide bu sistemin istihbarat topladığına yönelik düşüncelerini kuvvetlendirdi. Ayrıca Rusya merkezli siber güvenlik şirketleri bu anahtarı kullanarak Intel Management Engine'yi deaktive etmeyi başardı.
9. Sonuç.
Yapılan pek çok inceleme ve araştırma 2008 yılından sonra sistemlerden asla kaldırılamayan bu özerk alt sistemi keşfetti.
Pek çok araştırmacı bu kadar çok yetkiye sahip bir sistemin fazlaca açığa sahip olmasının kötü sonuçlar doğuracağını hatta ABD'nin bile kendi cihazlarında kullanmadığını öne sürdü.
Geçersiz hale getirilmesi oldukça zor olan Intel Management Engine pek çok tartışma ve çalışmaya konu oldu.
10. Kaynaklar ve Kapanış.
Bu makalenin yazımı sırasında pek çok kaynak kullanılmıştır bu kaynaklar aşağıda açıklanmıştır:
CVE: CVE kaynağı.
CoreBoot: CoreBoot Kaynağı.
GitHUB ME Cleaner Projesi: GitHUB Kaynağı.
Andrew S. Tanenbaum Mektubu: Mektup.
LibreBoot: LibreBoot Kaynağı.
Intel ME ile ilgili Reddit tartışması: Tartışma.
Harici Makale: Tech Republic Metni.
Quora Tartışması: Intel ME ile ilgili Quora Tartışması.
CS Online: CS Online.
Intel'in ME'yi açıkladığı kaynak: Intel.
EFF Vakfı: EFF.
Ekstra olarak eklenmeyen bazı kaynaklar ve açıklamalar mevcuttur: Bunlar doğrudan Web Archive içinde arşivlenmiş metinlerdir.
Okuduğunuz için Teşekkür ederiz.
.
