Что такое Intel Management Engine

Как вы возможно уже заметили, после установки операционной системы Windows на современные компьютеры на базе процессоров Intel необходимо кроме установки драйверов к звуковой карте, видеокарте, чипсету, USB-контроллеру и другим устройствам также установить драйвер для Intel Management Engine.

Что же такое этот Intel Management Engine и зачем он нужен? Если не вдаваться глубоко в технические тонкости, то это отдельный процессор (или точнее микропроцессор, микроконтроллер), который встроен в чипсет. В более ранних версиях материнских плат он встраивался в северный мост, а теперь после перехода на «одночипсетную» конфигурацию можно сказать, что он встроен просто в чипсет.

Итак, Intel Management Engine (Intel ME) это подсистема, которая предназначена для решения различных задач связанных с мониторингом и обслуживанием компьютера во время сна и в процессе его работы. Для корректной работы Intel ME, как и любого другого устройства, требуется драйвер (отсутствие такого драйвера приводит к наличию неизвестного устройства с восклицательным знаком в «Диспетчере Устройств»).

Intel ME ME используется при старте и первоначальной настройке материнской платы. Выход из строя Intel Management Engine (при условии, что больше ничего не вышло из строя на плата или в ноутбуке) чаще всего проявляется в том, что вентиляторы работают на максимальных оборотах и не регулируют свою скорость в зависимости от температуры охлаждаемых компонентов (в том числе и этим занимается Intel ME). Конечно, этим все не ограничивается, но внешне неисправность Intel ME проявляется именно так.

Кроме того, на базе Intel Management Engine реализованы также следующие технологии:

Intel AMT (удалённое администрирование или управление компьютером)

Intel AT (противоугонный модуль)

Intel SMB (урезанный вариант Intel AMT для малого бизнеса)

Сам микроконтроллер на котором реализован Intel Management Engine лицензирован у фирмы ARC International 32-битный RISC-процессор (соответственнно не x86-архитектуры) с набором возможностей специально конфигурируемых «под заказчика». Процессоры такого типа конкурируют с ARM-процессорами (которые в свою очередь весьма популярны в связи с использованием их в смартфонах и планшетах).

Этот процессор имеет все плюсы ARM-процессоров (прежде всего крайне малое энергопотребление) и при этом обладает возможностями, достаточными для решения поставленных перед ним задач. Кроме того, этот процессор обладает своей постоянной и оперативной памятью.

На базе такого процессора и работает Management Engine, а для взаимодействия с операционной системой имеется MEI – Management Engine Interface. Для настройки Management Engine в BIOS Setup есть MEBx (ME BIOS Extensions) модуль, который поставляется для OEM-производителей плат или же встроенный в BIOS Setup подраздел. Именно для корректной работы MEI с операционной системой и потребуется драйвер, который мы устанавливаем

Введение

Для начала, основательно разберёмся в предметной области. Что это такое, откуда и зачем появилось?
В 2005 году компания Intel представила Active Management Technology (AMT) версии 1.0 — решение для удалённого администрирования (управление, инвентаризация, обновление, диагностика, устранение неполадок и т.д.) и защиты десткопных компьютерных систем, своего рода аналог технологии Intelligent Platform Management Interface (IPMI), использующейся в серверах.

Архитектура AMT 1.0 основывается на интегрированном в чипсет микроконтроллере (Management Engine), наделённому весьма впечатляющими возможностями, например:

  • внеполосный (out-of-band) доступ к сетевому интерфейсу (Ethernet), который он разделяет с основным CPU, но, имея собственный контроллер канального уровня, осуществляет мониторинг всего входящего сетевого трафика, из которого «вырезает» (при помощи Packet Filter) пакеты, предназначенные для него. Для ОС (наличие и состояние которой, кстати, на работу AMT никак не влияет) этот трафик уже не виден;
  • внутренний веб-сервер с TLS-шифрованием;
  • доступ к периферийному оборудованию, получение и хранение в энергонезависимой памяти (там же, где и его прошивка) информации о нём.

А ещё этот микроконтроллер начинает работать при подаче питания на материнскую плату компьютерной системы (т.е. при подключении компьютера к электрической сети, ещё до того, как пользователь нажмёт кнопку Power).
Итак, Management Engine всегда включён, но использование возможностей AMT требует активации (подразумевает задание пароля, сетевых параметров,… ) в BIOS setup, а точнее в MEBx setup:

Похвально, что дефолтный пароль («admin») при первом входе обязательно требуется изменить на новый, удовлетворяющий определённым требованиям: минимум 8 символов, среди которых должны присутствовать хотя бы одна цифра, одна заглавная буква и один спец. символ.
После настройки AMT-совместимой компьютерной системы, удалённому администратору
становятся доступными сетевые функции (для их использования требуется ввод логина и пароля):

  • инвентаризация аппаратного обеспечения;
  • веб-интерфейс (по HTTP через порт 16992);
  • Serial Over LAN (SOL) – виртуальный COM-порт через сеть, позволяющий включать/перезагружать/выключать компьютер, получать доступ к меню BIOS setup;
  • IDE-Redirection (IDE-R) – опция перенаправления загрузки с локального загрузочного устройства на удалённое (предварительно подготовленный образ системы).

AMT 1.0 была реализована на интегрированном в южный мост чипсета (Input/Output Controller Hub, ICH) сетевом модуле Intel 82573E series Gigabit Ethernet Controller.
Затем, в 2006 году, начиная с AMT версии 2.0, микроконтроллер перенесли в северный мост чипсета (Graphics and Memory Controller Hub, GMCH). Именно тогда подсистему наименовали в Intel Management Engine (ME) версии 2.0.

Одновременно с этим появился бренд Intel vPro, который обозначал комплекс реализованных на основе Intel ME технологий: AMT, Trusted Execution Technology (TXT) и Virtualization Technology (VT). Позже в этот список вошли Identity Protection Technology (IPT) и Anti-Theft (AT).
Тогда же Intel ME наделили ещё большим количеством впечатляющих возможностей, среди которых — полный доступ ко всему содержимому оперативной памяти компьютера через внутренний DMA-контроллер, а в дальнейшем появилась возможность мониторинга видеопотока, выводящегося на монитор (правда, только в случае использования встроенного графического ядра).
Постепенно на эту подсистему стали навешивать всё больше различных системных функций (некоторыми раньше занимался BIOS) для обеспечения работоспособности компьютерной платформы:
и других технологий.
AMT тоже не стояла на месте и активно развивалась: изменялся состав используемых протоколов (например, добавилась поддержка HTTPS через порт 16993), в версии 6.0 для удалённого администратора появилась фича Remote Desktop, она же KVM (Keyboard Video Mouse), и прочее.
Подробнее про развитие Intel AMT можно почитать .
Тем не менее, из-за высокой стоимости реализации, эта подсистема присутствовала, за несколькими исключениями, только на материнских платах с чипсетами Intel линейки Q:

GMCH ICH ME/AMT version
Q965 ICH8 ME 2.x (AMT 2.x)
GM965 / GME965 / GL960 / GLE960 / PM965 ICH8M ME 2.5.x (AMT 2.5.x) < — первое появление на ноутбуках
Q35 ICH9 ME 3.x (AMT 3.x)
GM45 / PM45 ICH9M ME 4.x (AMT 4.x) < — только на ноутбуках
Q45 ICH10 ME 5.x (AMT 5.x)

Тогда к чему вся эта специфика железа с шильдиком vPro, которое мало кто (в РФ) приобретал ввиду высокой стоимости (ну и других причин)?
Дело в том, что, начиная с 2010 года, вместе с переносом части функциональных блоков северного моста (графическое ядро, контроллер памяти, …) в корпус CPU, подсистему Intel ME стали встраивать во все чипсеты производства Intel. При этом ME-контроллер остался в корпусе чипсета – в Platform Controller Hub (PCH). Это чипсеты 5 серии и выше.
Итак, хронология последующих версий для десктопов и лаптопов:
Примечание: функциональность AMT по сей день остаётся доступной только на чипсетах линейки Q, т.е. только на оборудовании с шильдиком vPro.
Думаете только десктопы и ноутбуки? Нет, Intel-а ответ!
Та же участь постигла и серверные платформы от Intel: подсистема встроена в них, но под другим именем — Intel Server Platform Services (SPS). Произошло появление и в SoC (System-on-a-Chip) под именем Intel Trusted Execution Engine (TXE).
В итоге архитектура каждой современной мобильной/лаптопной/дескопной/серверной компьютерной платформы с чипсетом/SoC от Intel включает в себя самую скрытную (от пользователя системы) и привилегированную среду исполнения — подсистему Intel ME. Неудивительно, что разрабатывая эту архитектуру, компания Intel была вынуждена серьёзно поработать над её защитой от компрометации.
Вздохнём и рассмотрим архитектуру этой подсистемы, чтобы разобраться в применённой модели безопасности. Вдруг это поможет успокоиться?

Архитектура Intel ME

Intel Management Engine (ME) – встроенная в компьютерные платформы подсистема, обеспечивающая аппаратно-программную поддержку различных технологий Intel.
Как уже было сказано, первые версии этой подсистемы были основаны на двухкорпусных чипсетах Intel. Тогда в качестве базовой модели ME-контроллера использовался ARCtangent-A4 со стандартной системой команд ARC32.

В однокорпусных чипсетах уже использовались ARCtangent-A5/ARC600 с компактной системой команд ARCompact (ARC16/32).

В Intel SoC (там где эта подсистема называется Intel TXE) в качестве базовой модели для ME-контроллера используется SPARC.
ARC-и, SPARC-и какие-то, да? Ревёрсить некомфортно будет!
Ничего страшного, в Intel об этом позаботились: в самых последних платформах (Skylake, чипсеты 100 серии, Intel ME 11.x) ME-контроллер имеет архитектуру… x86!
Да-да, в чипсетах теперь живёт ещё один x86.
Впрочем, состав компонентов подсистемы Intel ME (с версии 2.0) не изменялся. Это:

  1. ME-контроллер – встроенный в чипсет 32-разрядный микроконтроллер типа RISC, имеющий внутренние ROM и SRAM;
  2. Регион ME в SPI флэш-памяти, в котором хранится разработанная и подписанная компанией Intel прошивка ME-контроллера (поэтому, именно Intel ME firmware);
  3. ME UMA – скрытая ото всех, кроме ME-контроллера, область (16 — 32 МБ) в оперативной памяти компьютера, которой он пользуется в качестве runtime-memory для размещения и запуска прошивки;
  4. Management Engine Interface (MEI), ранее известный как Host Embedded Controller Interface (HECI), – набор регистров в конфигурационном пространстве PCI и область в MMIO, представляющие собой интерфейс для обмена информацией с ME-контроллером (по сути, единственный канал связи софта, исполняющегося на CPU, с подсистемой Intel ME);
  5. Отдельный MAC – контроллер канального уровня, предоставляющий ME-контроллеру out-of-band доступ к общему физическому сетевому интерфейсу для удалённого администрирования компьютерной системой;
  6. Некоторые модули в BIOS, отвечающие за инициализацию платформы и сообщающие о результатах своей работы ME-контроллеру через MEI.

В случае наличия шильдика Intel vPro, в состав подсистемы Intel ME дополнительно входит BIOS-модуль ME BIOS Extenstion (MEBx), предоставляющий графический интерфейс (показан выше), а также осуществляющий включение и конфигурирование AMT через MEI.
Таким образом, у нас имеется среда исполнения ring -3 (так её условно называют) — 1 штука. Её привилегированность обуславливается способностями, которыми наделён ME-контроллер (о них написано выше), а скрытность — полным отсутствием возможности контроллировать программными (и даже аппаратными, в production-версиях плат) средствами.

Прошивка Intel ME

Intel ME firmware, в зависимости от наполнения, различают двух типов:

  • 1.5 МБ, урезанные версии;
  • 5 МБ, полные версии.

Тип прошивки определяет состав прикладных модулей, в которых реализованы определённые технологии (например, AMT, IPT и т.д.). Хотя есть и базовая часть, одинаковая для разных прошивок:

  1. Bring Up, первый запускаемый модуль из прошивки;
  2. Kernel, ядро ОСРВ ThreadX;
  3. Некоторые драйверы и службы.

Общее описание содержимого Intel ME firmware можно найти в книге 2 из списка литературы, но детальнее со структурами (разобраны аналитическим путём) можно ознакомиться, например, в этом скрипте для распаковки прошивок Intel ME.
Пойдём по порядку.
В SPI флэш-памяти есть несколько регионов:

  1. Flash Descriptors, в котором хранятся указатели на все остальные регионы, а также read/write привилегии для пользователей этой памяти. Отметим, что обычно этими дескприпторами запрещается перезапись ME региона всем, за исключением самого ME-контроллера;
  2. GbE (Gigabit Ethernet);
  3. ME, здесь хранится прошивка ME-контроллера;
  4. BIOS;
  5. 3PDS (Third Party Data Storage), опциональный регион.

Теперь взглянем на сам регион ME, вот пример содержимого из его начала:
Это Flash Partition Table (FPT) — таблица разделов ME firmware. В ней хранятся указатели на различного типа (код, данные, виртуальная область, …) разделы и их параметры. Целостность этой таблицы контролируется одним байтом чексуммы по смещению 1Bh.
Нас интересуют executable-разделы, т.е. те, что хранят исполнимый код. Их обычно несколько, рассмотрим один из них:
В начале кодового раздела располагается манифест, который состоит из заголовка (со служебными данными и ЭЦП) и таблицы модулей.
В приведённом дампе можно увидеть 2048-битный открытый RSA ключ (модуль по смещению 80h относительно начала раздела и экспонента по смещению 180h). Далее следует 256 байт сигнатуры.
Своим закрытым ключом компания Intel подписывает часть заголовка манифеста и таблицу модулей (см. следующий дамп), прикладывая полученную подпись и открытый ключ для проверки.
А вот и фрагмент таблицы модулей рассматриваемого раздела:
Эта таблица содержит заголовки модулей, где указаны некоторые параметры и хеш-сумма SHA256 (по смещению 14h внутри заголовка).
Сгенерировать собственную пару ключей RSA-2048 и подписать ими раздел не получится ввиду того, что целостность приложенного открытого ключа проверяется стартовым кодом в ME ROM, в котором хранится хеш-сумма SHA256 открытого ключа компании Intel.
В итоге, схему верификации кодового раздела ME firmware можно обобщить на рисунке:
Каждый кодовый раздел верифицируется по этой схеме.
Этого более чем достаточно для защиты прошивки от подделывания. Программно перезаписать ME регион SPI флеш-памяти нельзя (помним про разрешения в Flash Descriptors), аппаратные средства, конечно позволят обойти это ограничение, но контроль подлинности не выключить.
Напоследок, посмотрим в сторону защиты от бинарных уязвимостей.
Мы увидели, что весь исполнимый код ME firmware разбит на модули разного назначения:

У ME-контроллера есть два режима работы: привилегированный и пользовательский (аналоги kernel mode и user mode для CPU). Привилегированный режим отличает, прежде всего, возможность доступа к аппаратным ресурсам и возможность обращения по адресам вне отведённого этому модулю диапазона памяти.
Каждый модуль запускается и работает в заданном (в заголовке этого модуля) режиме.

Распарсив весь ME регион можно увидеть, что привилегированный режим используется ядром ОСРВ и некоторыми драверами. Службам и прикладными модулям, как и положено, отводится только пользовательский режим.

Мы показали, что подсистема Intel ME является неотъемлемой частью архитектуры современных компьютерных платформ (на основе чипсетов/SoC Intel). Очевидно, что её компрометация предоставляет потенциальному злоумышленнику безграничные возможности контроля над платформой: доступ ко всему содержимому оперативной памяти (системная память, память гипервизора, SMRAM, ACRAM, выделяемая память для графического ядра — GFX UMA), out-of-band доступ к сетевому интерфейсу (мониторинг всего сетевого трафика), удалённый контроль как часть штатной функциональности AMT, перезапись любых регионов SPI флеш-памяти. Бонусом к этому является полное отсутствие возможностей обнаружения.
Это является веской причиной для наличия у Intel ME серьёзной защиты. Мы считаем, что вендоры любого встраиваемого сетевого оборудования должны стремиться к описанной модели безопасности. Её характеризуют следующие принципы:

  • запрет на использование дефолтного пароля, принуждение к установке сильного пароля (соответствующего определённым требованиям);
  • использование функций шифрования в сетевых протоколах;
  • контроль целостности и подлинности всего исполнимого кода прошивки;
  • механизмы защиты от эксплуатации бинарных уязвимостей.

Заранее прокомментирую возможные призывы использовать компьютерные платформы на основе CPU и чипсетов от AMD: у них есть очень похожая технология, называется Platform Security Processor (PSP). Представлена не так давно, в 2013 году. Про неё пока известно не много, но кое-что можно почитать .
>Мой телевизор

Технологии, применяемые в телевизорах Samsung

20 сентября 2013 метки: Samsung, выбираем технику
Категория: Технологии 4 комментарии

Выбор современного телевизора – это задача не из самых простых. Огромный выбор различных предложений производителей заставляет нас более осознанно выбирать себе технику. Но довольно часто при прочтении различных обзоров, на упаковках и рекламных плакатах мы видим красочные логотипы применяемых в телевизорах технологий и функций. Неискушенному пользователю не всегда понятно, что же на самом деле производитель пытается продать нам. В этой статье вы найдете краткое описание наиболее часто встречающихся функций и технологий современных телевизоров Samsung.

Функция Samsung Micro Dimming

Функция Samsung Micro Dimming – специально разработана, чтобы пользователи смогли повысить контрастность и качество изображения, которое достигается за счет локального управления яркостью свечения экрана.

Технология Samsung Wide Color Enhancer Plus

Технология Samsung Wide Color Enhancer Plus – специально разработана, чтобы пользователь смог применять алгоритм обработки цвета и оттенков, разработанный специалистами компании «Samsung». Эта технология позволит существенно улучшить качество изображения, благодаря технологии, станут различимыми цветовые оттенки, которые на обычном телевизоре просто не могут воспроизводиться. Согласитесь, что задачей любого телевизионного экрана является воспроизведение реальности посредством света и цвета. Компания «Sfmsung» решила ее с помощью Wide Color Enhancer Plus. Технология анализирует абсолютно каждый пиксель, «растягивая» его так, насколько позволяет трехмерный формат изображения, поэтому в результате Вы увидите полную гамму максимально приближенных к реальности оттенков и цветов, которые Вам когда-либо пришлось видеть на экране телевизора.

Фильтр для устранения шумов

Цифровой фильтр шумов – специально был разработан, чтобы подавлять шумы качества изображения от аналогового источника видеосигнала, приближая его к качеству цифрового сигнала. Фирменный инновационный фильтр от компании Samsung устранит часть цифрового шума, который наблюдается на экране телевизора при приеме эфирного видеосигнала. Всем известно, что даже реалистичное и четкое изображение не всегда притягательно для зрителей, поэтому компания Samsung оснащает свои современные телевизоры инновационной цифровой системой шумоподавления. Поэтому, когда условия просмотра и изображения не идеально, эта система позволит уменьшить аналоговые шумы, которые возникают в процессе передачи сигнала, при этом обеспечив четкость картинки, контрастность всех деталей, возвратив изображению первоначальное очарование.

Разрешение Full HD

Разрешение Full HD (1920X1080 точек) – на сегодняшний день, это самое высокое экранное ТV – разрешение для телевизоров, они обеспечивает высочайшее качество и четкость изображения.

Функция Samsung Full HD — «Ближе к реальности» – специально разработана, чтобы плазменные телевизоры смогли похвастаться лучшим разрешением всех стандартных телевизоров HD, ведь оно лучше всех остальных в два раза. Реалистичность изображения, богатая текстура, натуралистические картины, пленяют Ваш разум, добавляя впечатления и наслаждения от просмотра. Функция поможет исправить некоторые ошибки воспроизведения изображения со стандартным изображением.

Технология 3D Auto Contrast

Технология 3D Auto Contrast – «загляни в глубину» – специально была разработана, чтобы пользователи смогла воспользоваться этой передовой технологией цветовой настройки 3D Auto для увеличения глубину 3D-изображения, создав реалистичные объемные образы на своем телевизоре. Эта технология позволит Вам заглянуть по ту сторону экрана, увидев там красочный и живописный живой мир.

Технология Clear Image Panel

Технология Clear Image Panel – специально разработана, чтобы пользователи могли порадоваться новыми фильтрами и конструкцией панели в новой линейке телевизоров Samsung. Они позволят устранить эффект наложения изображений, обеспечив условия, чтобы Вы могли под любым углом зрения наслаждаться четким и ярким изображением. Часто изображение экрана страдает из-за размытости, поэтому компанией Samsung была разработана эта инновационная технология для новых моделей плазменных телевизоров. Вместо привычного стекла применяется пленочный светофильтр, который устраняет слоистость изображения, обеспечивая ему высочайшую точность и четкость практически с любого угла просмотра телевизора.

Технология Cinema smooth

Технология Cinema Smooth – специально была разработана, чтобы пользователи смогли наслаждаться четким и контрастным просмотром телевизором, не беспокоясь о том, сколько вы заплатите за электричество. Погрузиться в современный мир мультимедиа с технологией Cinema Smooth, автоматически регулирующую нижнюю и верхнюю подсветку. Вы почувствуете разницу между

просмотром фильмов на TV и на «серебряном экране». Но компания «Samsung» не останавливается на достигнутом, она стремиться к новому, и недавно компания представила новую режим Movie Mode и технологию Cinema Smooth. Картинка, в результате стала четче и ярче, а цвета приближаются к реальному изображению. Создаются ощущения, будто Вы находитесь в большом кинотеатре.

Технология 3D HyperReal Engine

Технология Samsung 3D HyperReal Engine – специально разработана, чтобы позволить пользователям наслаждаться качественным изображением. Применив ее, Вы не поверите собственным глазам, именно таким будет первая реакция от ошеломляющего качества изображения. Именно это обеспечивает технология Samsung 3D HyperReal Engine – она позволит не просто смотреть фильм, Вы будете жить в нем. Каждый кадр фильма будет казаться более реальным, затронет глубокие струны Вашей души, будет восприниматься острее и радовать глаз. Выбудете наслаждаться любимыми передачами и телефильмами, не вставая с дивана, но для просмотра 3D фильмов необходимы специальные очки.

Светофильтр Real Black Filter

Светофильтр Real Black Filter – специально был разработан, чтобы улучшать качество изображения, благодаря своему инновационному повышенному уровню контрастности изображения. Этот фильтр поглощает блики, исходящие от внешних источников освещения, в итоге изображение становится более четким и ярки, а условия просмотра существенно улучшаются.

Технология Mega Contrast

Технология Mega Contrast – специально разработана, чтобы выбирать автоматически оптимальную LED-подсветку для каждого отдельно взятого
оттенка и кадра. Оттенки белого станут намного чище, а черные тени – еще насыщеннее. Цвета приобретут свою особенную глубину. Это идеальный союз, который совместил в себе искусство и технологию. Технология порадует тех, кто замечает прекрасное в мелочах, он оценит технологию Mega Contrast по достоинству.

Технология 960 Clear Motion Rate

Технология 960 Clear Motion Rate – специально разработана, чтобы на телевизорах Samsung все динамичные сцены выглядели четко, ясно и плавно, поскольку плавность движения, как все знают, зависит от частоты кадров, процессора, панели и технологии подсветки. Все перечисленные компоненты работают одновременно, чтобы создавать на вашем экране изображения потрясающего качества.

BD Wise

Функция BD Wise – специально разработана, чтобы качество изображения классических фильмов DVD стало аналогичным, как у фильмов на Blu-ray. Компания «Samsung» представила миру технологию BD Wise, предназначенную для проигрывателей Blue-ray и DVD, чтобы пользователи смогли использовать кабель HDMI для автоматического определения оптимального разрешения для воспроизводимой видеозаписи, чтобы они смогли самым лучшим образом настроить изображение на своем телевизоре Samsung.

Конвертация 2D изображения в 3D

Конвертация 2D изображения в 3D – специально разработано, чтобы пользователи смогли смотреть «плоское» обычное 2D изображение в 3D форматах. Телевизор Smart TV оснащен поддержкой новейшей интеллектуальной системы Samsung, в состав нее включен 3D конвертер, который преобразует 2D видеофильмы и телепередачи в 3D формат. Именно благодаря этому привычное плоское обычное изображение становиться объемнее, позволяя ощущать себя участником сюжета, происходящего на экране.

Порты HDMI 1.4

Порты мультимедийного интерфейса высочайшей четкости (HDMI® и High Definition Multimedia Interface™) – специально разработаны,чтобы пользователи могли свободно и быстро загружать свой цифровой контент высокой четкости сразу с нескольких устройств прямо на ваш Smart телевизор. Для того, чтобы подключить телевизор ко всем аудио- и видеоустройствам, которые находятся у вас дома, понадобится один кабель. А разъем HDMI позволит импортировать контент любого типа, не сжимая данные, в том числе видеозаписи и изображения, с цифровых камкодеров, мультимедийных компьютеров. Поэтому, чтобы воспроизвести все это на широкоформатном экране телевизора не составит никакого труда.

Web Browser

Функция Web Browser – специально разработана, чтобы обеспечить пользователям быстрый доступ в Интернет с собственного телевизора. Веб-браузер, предназначается для работы с инновационными интеллектуальными телевизорами Samsung Smart TV. Эта функция позволит вам с удобством использовать возможности Интернета. Web Browser – полноценный веб-браузер, который был специально оптимизирован для работы на большом экране телевизоров Samsung Smart TV.

Функция Connect Share Movie

Функция Connect Share™ Movie – специально разработана, чтобы пользователи смогли преобразовать свой телевизор в домашний кинотеатр. Для этого достаточно вставить флэшку, флэш-накопитель, внешний жесткий диск в USB-порт, чтобы просматривать на экране телевизора фотоснимки, видеофильмы или прослушивать музыку, потому что хранить ваши цифровые снимки, видеозаписи на камерах и фотоаппаратах просто непростительно. Телевизоры Samsung – решит все ваши проблемы, единственное, что потребуется – соединительный шнур стандарта USB 2.0, который нужно подключить и можно воспроизводить, сохранять или удалять мультимедийные файлы. Эта функция применима и для музыкальной коллекции. Выбирайте шоу для себя сами.

Технология Anynet+

Технология CEC Anynet+ – специально разработана, чтобы пользователи смогли свободно пользоваться, всеми функциями управления аудио и видео устройствами, подключенные посредством HDMI. Это новейшая интеллектуальная система поможет работать с ними с помощью одного пульта дистанционного управления. Система полностью соответствует спецификации СЕС (Consumer Electronic Control), позволяя управлять всеми функциями управления аудио и видео аппаратурой через HDMI интерфейс со спецификациями CEC (BD-проигрыватель, AV-ресивер). С помощью единственного пульта ДУ, при минимальном нажатии на его клавишу можно управлять всей системой домашнего кинотеатра, управлять DVD-плеером, ресивером и любым источником аудио, видео аппаратуры. LCD/LED и плазменные телевизоры принимают сигналы от пульта ДУ, преобразуя их в команды управления, для того, чтобы подключить технику.

Planet First – это «Планета, прежде всего»

Компонент Planet First — «Берегите нашу планету!» – специально разработан, чтобы пользователи знали, что в новых телевизорах Samsung применяются только новые компоненты, в них отсутствуют все вредные материалы и вещества для экологии, а также новационные энергосберегающие технологии, которые существенно понижают энергопотребление телевизоров Samsung.

Функция Smart Hub

Функция Smart Hub – специально разработана, чтобы пользователь смог загружать разнообразные приложения, предназначенные для поиска интересного телевизионного контента во время просмотра телепередач и фильмов в режиме реально времени, в прямом эфире. Она позволить искать и пользоваться информацией в Интернете лежа на диване, поддерживать связь с Вашими родными и друзьями, находить отзывы о новых фильмах и многое другое.

Функция Search All

Функция Samsung Search All – специально была разработана, чтобы пользователи смогли легко находить нужные телепередачи, при этом одновременно с поиском Вы смотрите телепрограмму, идущую в реальном времени. Владельцам телевизоров Samsung серий 8000, 7000 и 6000 данное приложение предоставить возможность отыскивать тематический контент прямо в Интернете.

Функция AllShare

Функция Samsung AllShare – специально разработана, чтобы пользователь смог с помощью беспроводной связи подключаться к совместимым мобильным устройствам согласно протоколу DLNA. Функция позволит просматривать на интеллектуальном телевизоре Smart TV фотоснимки и фильмы с этих устройств, насладиться прослушиванием музыкальных записей и многое другое. Телевизоры от компании «Samsung» – помогают делиться своими талантами со
всеми, со всем миром или, и, конечно же, с близкими. Передавайте музыку, фотографии, видеозаписи, музыку при помощи компьютера либо мобильного устройства, без лишних усилий и поводов. Более того, в телевизорах Smart TV
поддерживается сразу несколько подключений к разным компьютерам.

Функция Social TV

Функция Social TV – специально разработана компанией Samsung, чтобы рассказывать и делиться со своими друзьями и родными о блогах, о передачах, которые понравились вам, либо обсудить их всем вместе в Интернете. У пользователей телевизоров Smart TV появилась возможность общаться через популярные сайты и службы, такие как Facebook, Google Talk, Twitter, не прерывая при этом просмотр.

Приложение Skype – специально разработано, для телевизоров Samsung. Оно позволит всегда быть на связи и совершать видеозвонки на другие номера Skype своим друзьям – для этого достаточно подключить телекамеру. Кроме того, приложение поможет осуществлять звонить, как на стационарные, так и на мобильные телефоны, по низким тарифам. Общение с близкими людьми при помощи Skype™, не покидая своего уютного кресла в вашей комнате. Благодаря поддержке Skype, установленной в телевизорах Samsung, Вы можете совершать бесплатные голосовые, видеовызовы Skype–to–Skype со своими друзьям и родными, с любой точкой мира.

3D звучание

Технология Depth Rendering Technology Samsung – приложение 3D звучание – специально разработано для телевизоров Smart TV, чтобы пользователи смогли оказаться в центре объемного звука! Эта технология Samsung обеспечит «трехмерный» объемный звук — еще более живой, чем в кинотеатре. Вам будет казаться, что все, что происходит на экране, происходит у вас у вас в комнате.

Функция SRS Theater Sound

Функция SRS Theater Sound – специально разработана, чтобы пользователи смогли наслаждаться не только великолепным изображением, но чтобы испытать полностью всю гамму ощущений, нужна новая система. SRS Theater Sound помет прочувствовать Вам всю реалистичность акустической среды с богатым, живым и объемным звуком. Благодаря скрытым динамикам – вам покажется, что Вы в настоящем кинотеатре.

Your Video

Функция Your Video Samsung — специально была разработана для сервиса Video on Demand (видео по требованию). Это уникальная клиентская служба, позволяющая смотреть все, что хочется. Она поможет подобрать телепередачи и фильмы, соответствующие вашим вкусам. Актуальные обзоры и пользовательские рейтинги, позволят вам сделать правильный выбор и разнообразить досуг.

Функция Internet@TV

Функция Samsung internet@TV – специально была разработана, чтобы загружать на экран телевизора, а затем просматривать телевизора, найденный вами Интернет-контент, при помощи удобного и понятного интерфейса. Инновационная функция обеспечит вам спокойный просмотр и не заставит бегать от телевизора к компьютеру, чтобы подключить любимый фильм. Для этого подключите свой мобильный телефон или компьютер к плазменному телевизору, превратив ваш TV в мультимедийный центр. Функцию Samsung Applications library, что в переводе «Библиотека приложений Samsung» поможет вам легко систематизировать, удалять и добавлять контент из библиотеки.

Технология 600 Гц Subfield Motion

Технология 600Гц Subfiled Motion – была специально разработана, чтобы регулировать некую прерывистость движений на плазменном экране. Контуры на экране становятся более четкими, а бегучий текст – резче. 600Гц Subfiled Motion работает на базе инновационной технологии – все кадры становятся идеально равномерными, потому что в каждый добавляется по 12 субполей.

Intel Management Engine

Кольца привилегий архитектуры x86. ME иногда условно относят к кольцу −3, режимы System Management Mode — к кольцу −2, а гипервизор — к кольцу −1. Каждый из перечисленных режимов имеет больше привилегий, чем ядро ОС.

Intel Management Engine (Intel ME) — автономная подсистема, встроенная почти во все чипсеты процессоров Intel с 2008 года. Она состоит из проприетарной прошивки, исполняемой отдельным микропроцессором. Так как чипсет всегда подключен к источнику тока (батарейке или другому источнику питанию), эта подсистема продолжает работать даже когда компьютер отключен. Intel заявляет, что ME необходима для обеспечения максимальной производительности. Точный принцип работы по большей части недокументирован, а исходный код обфусцирован с помощью кода Хаффмана, таблица для которого хранится непосредственно в аппаратуре, поэтому сама прошивка не содержит информации для своего раскодирования. Главный конкурент Intel, компания AMD, также встраивает в свои процессоры аналогичную систему AMD Secure Technology (раньше называвшуюся Platform Security Proccessor), начиная с 2013 года.

Management Engine часто путают с Intel AMT. Технология AMT основана на ME, но доступна только для процессоров с технологией vPro. AMT позволяет владельцу удалённо администрировать компьютер, например включать или выключать его, устанавливать операционную систему. Однако ME устанавливается с 2008 года на все чипсеты Intel, вне зависимости от наличия на них AMT. В то время как технология AMT может быть отключена, нет официального документированного способа отключить ME.

В ME было найдено несколько уязвимостей. 1 мая 2017 года компания Intel подтвердила наличие уязвимости удалённого повышения привилегий (SA-00075) в Management Technology. Каждая платформа Intel с установленным Intel Standard Manageability, Intel Active Management Technology или Intel Small Business Technology, от Nehalem (2008 год) до Kaby Lake (2017 год) имеет уязвимость в ME, которую можно использовать удалённо. Были найдены несколько путей неавторизованного выключения ME, которые могут сорвать выполнение функций ME. Дополнительные критические уязвимости в ME, затрагивающие большое число компьютеров с прошивками, включающими ME, Trusted Execution Engine (TXE) и Server Platform Services (SPS), от Skylake (2015 год) до Coffee Lake (2017 год), были подтверждены Intel 20 ноября 2017 года (SA-00086). В отличие от SA-00075, эта уязвимости присутствует даже если AMT отключен, не входит в поставку или ME отключен одним из неофициальных методов.

Внутреннее устройство

Аппаратная часть

Начиная с ME 11, в основе лежит 32-битный x86-совместимый процессор на технологии Intel Quark, с запущенной на нём операционной системой MINIX 3. Состояние ME хранится в разделе шины SPI, с использованием файловой системы EFFS (Embedded Flash File System). Предыдущие версии базировались на RISC-ядре ARC, с использованием операционной системы реального времени ThreadX от компании Express Logic. Версии ME от 1.x до 5.x использовали ARCTangent-A4 (только 32-битные инструкции), тогда как в версиях от 6.x до 8.x использовался более новый ARCompact (смешанная 32- и 16-битная архитектура набора команд). Начиная с ME 7.1, процессор ARC мог выполнять подписанные Java-апплеты.

ME имеет свой MAC-адрес и IP-адрес для своего дополнительного интерфейса, с прямым доступом к контроллеру Ethernet. Каждый пакет Ethernet-траффика переадресуется в ME даже до достижения операционной системы хоста, причём такое поведение поддерживается многими контроллерами, настраиваемыми по протоколу MCTP. ME также взаимодействует с машиной через интерфейс PCI. В Linux взаимодействие машины и ME происходит через устройство /dev/mei.

Начиная с процессоров на микроархитектуре Nehalem, ME обычно интегрируется в северный мост материнской платы. На новых архитектурах Intel (начиная с Intel 5 Series), ME встроен в Platform Controller Hub.

Прошивка

Согласно терминологии Intel на 2017 год, ME — один из наборов микропрограмм системы Converged Security and Manageability Engine (CSME). До AMT версии 11, CSME назывался Intel Management Engine BIOS Extension (Intel MEBx).

Компания Positive Technologies обнаружила, что прошивка ME версии 11 использует MINIX 3.

Уязвимости

Отключение ME

Обычными способами отключить ME невозможно. Тем не менее, было обнаружено несколько недокументированных и потенциально рискованных методов для этого. Эти методы не поддерживаются Intel. Архитектура безопасности ME предполагает предотвращение отключения, поэтому возможность такого отключения считается уязвимостью. Например, вирус, используя возможность несанкционированного отключения, способен лишить компьютер части функций, ожидаемых конечным пользователем, например таких как воспроизведение медиа с техническими средствами защиты авторских прав. Однако критики ME не воспринимают это как уязвимость.

Строго говоря, ни один из методов не способен полностью отключить ME, так как без ME не возможна загрузка процессора. Все известные методы просто заставляют ME перейти вскоре после загрузки в неправильное состояние, в котором невозможно выполнение ни одной функции ME. ME продолжает быть подключенным к источнику питания, и встроенный в ME микропроцессор продолжает исполнять код.

Недокументированные методы

Нейтрализация прошивки

В 2016 году проект me_cleaner обнаружил, что проверка подлинности ME может быть взломана. ME должен определять нарушение подлинности прошивки и в случае провала проверки принудительно выключать компьютер через 30 минут. Это предотвращает работу скомпрометированной системы и позволяет владельцу исправить проблему путём загрузки подлинной версии прошивки. Как было установлено проектом, можно сделать неавторизованные изменения в прошивке ME таким образом, чтобы заставить ME перейти в ошибочное состояние, не позволяющее запустить принудительное выключение, даже если большая часть прошивки была перезаписана.

Режим «High Assurance Platform»

В августе 2017 года компания Positive Technologies опубликовала метод отключения ME через недокументированный встроенный режим. Компания Intel подтвердила, что ME содержит возможность для государственных органов, таких как АНБ, переключения в режим высокодоверенной платформы (High-Assurance Platform, HAP) сразу после загрузки. Этот режим выключает все функции ME. Он авторизован для использования только государственными органами и предполагается только для машины, произведённых для них. Однако оказалось, что в большинстве продаваемых на рынке компьютеров можно включить этот режим. Манипуляции с битом HAP были быстро встроены в проект me_cleaner.

Коммерческое отключение ME

В конце 2017 года, несколько производителей ноутбуков объявили о своих намерениях поставлять ноутбуки с отключенным Intel ME:

  • Компания Purism, SPC потребовала у Intel продавать процессоры без ME или же опубликовать исходный код ME, называя его «угрозой для цифровых прав пользователей». В марте 2017 года, компания Purism сообщила, что нейтрализовала ME путём удаления большей части исполняемого кода из флеш-памяти. Позже, в октябре 2017 года, компания сообщила, что новые партии основанных на Debian ноутбуков линейки Librem будет выпускаться с нейтрализованным (через стирание большей части кода из флеш-памяти, как и сообщалось ранее), а также дополнительно выключенными через бит HAP модулями ME. Также были выпущены обновления для существующих ноутбуков Librem.
  • System 76 анонсировала в ноябре 2017 года о своих планах отключить ME в новых и текущих основанных на Ubuntu машинах через HAP бит.

Эффективность против уязвимостей

Ни один из двух обнаруженных методов отключения ME не способен быть эффективной контрмерой против уязвимости SA-00086. Причина этого в том, что уязвимость находится в модуле ME, загружаемом на раннем этапе и необходимом для загрузки основного процессора.

Руткит кольца −3

Руткит кольца −3 был представлен исследователями Invisible Things Lab для чипсета Q35; он не работает для более нового чипсета Q45, так как Intel реализовал дополнительные меры защиты. Эксплоит действовал посредством переотображения защищённого в нормальных условиях региона памяти (верхние 16 МБайт ОЗУ), зарезервированного для ME. ME-руткит мог быть установлен независимо от наличия AMT, так как чипсет всегда содержит ARC-сопроцессор ME. Обозначение «−3» было выбрано потому, что сопроцессор ME активен, даже когда система находится в спящем режиме (состояние S3), следовательно он считается более низкоуровневым, чем руткиты System Management Mode. Для уязвимого чипсета Q35 Патриком Стевином (Patrick Stewin) был продемонстрирован отслеживающий нажатия клавиш ME-руткит.

SA-00075

В мае 2017 года компания Intel подтвердила, что многие компьютеры с AMT содержат незакрытую критическую уязвимость повышения привилегий (CVE-2017-5689). Уязвимость, которую сообщившие о ней компании Intel исследователи назвали «Silent Bob is Silent», затрагивает множество ноутбуков, компьютеров и серверов, продаваемых компаниями Dell, Fujitsu, Hewlett-Packard (Hewlett Packard Enterprise и HP Inc. после разделения), Intel, Lenovo и, возможно, других. Исследователи заявили, что ошибка затрагивает системы, произведённые в 2010 году и позднее. Некоторые сообщают, что ошибка также распространяется на системы, произведённые ещё в 2008 году. По описаниям, уязвимость позволяет удалённым злоумышленникам получить:

полный контроль над уязвимыми машинами, включая возможность читать и изменять всё что угодно. Она может быть использована для установки персистентых злонамеренных программ (возможно в прошивку) и для чтения и изменения любых данных.

Оригинальный текст (англ.) full control of affected machines, including the ability to read and modify everything. It can be used to install persistent malware (possibly in firmware), and read and modify any data. — Tatu Ylönen

SA-00086

Через несколько месяцев после обнаружения предыдущей уязвимости и последовавших предупреждений EFF, компания Positive Technologies заявила о разработке работающего эксплоита. 20 ноября 2017 года компания Intel подтвердила обнаружение серьёзных брешей в Management Engine, Trusted Execution Engine и Server Platform Services, и выпустила критическое обновление («critical firmware update»). Практически каждый компьютер на базе Intel, выпущенный в последние несколько лет, включая большинство серверов и домашних компьютеров, уязвим и может быть скомпрометирован, хотя не все потенциальные пути использования уязвимости точно известны. Проблему нельзя исправить на уровне операционной системы, и необходимо обновление прошивки материнской платы (BIOS, UEFI), что предположительно займёт некоторое время у производителей.

Рубрики: IT

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *