인텔 액티브 매니지먼트 기술

Intel Active Management Technology
Intel AMT 웹 관리 인터페이스의 일부로서, 시스템이 절전 모드일 때에도 액세스 가능

Intel Active Management Technology(AMT)는 엄선된 비즈니스 컴퓨터의 원격 Out-of-Band Management를 위한 하드웨어 및 펌웨어로, 사용자에게 노출되지 않은 별도의 마이크로프로세서인 Intel Management Engine에서 실행되며, 이를 모니터링, 유지, 업데이트, 업그레이드 및 복구하기 위해 실행된다.[1][2][3][4][5][1] OOB(Out-of-Band) 또는 하드웨어 기반 관리는 소프트웨어 기반(또는 인밴드)[1][2] 관리 에이전트와 다르다.

하드웨어 기반 관리는 소프트웨어 애플리케이션과는 다른 수준에서 작동하며, 소프트웨어 기반 통신(운영 체제의 소프트웨어 스택을 통한)과는 다른 통신 채널(TCP/IP 스택을 통한)을 사용한다. 하드웨어 기반 관리는 OS 또는 로컬로 설치된 관리 에이전트의 존재 여부에 따라 달라지지 않는다. 과거에는 인텔/AMD 기반 컴퓨터에서 하드웨어 기반 관리가 가능했지만, 동적 IP 주소 할당과 디스크 미포함 워크스테이션DHCP 또는 BOOTP를 이용한 자동 구성과 시스템 전원을 원격으로 켜기 위한 WOL(Wake-on-LAN)에 크게 제한되었다.[6] AMT는 그 자체로 사용하기 위한 것이 아니라 소프트웨어 관리 애플리케이션과 함께 사용하기 위한 것이다.[1] 원격 기능이 내장되지 않은 PC에서 작업할 때 어렵거나 때로는 불가능한 작업을 원격으로 수행하기 위해 관리 애플리케이션(따라서 이를 사용하는 시스템 관리자)[1][3][7]을 무선으로 PC에 접속하게 한다.

AMT는 마더보드에 위치한 2차(서비스) 프로세서로 설계되어 있으며,[8] TLS 보안 통신과 강력한 암호화를 사용하여 추가적인 보안을 제공한다.[2] AMT는 Intel vPro 기술이 적용된 PC에 내장되어 있으며 Intel Management Engine(ME)을 기반으로 하며,[2] AMT는 DMTF Desktop and Mobile Architecture for System Hardware(DASH) 표준에 대한 지원을 늘리는 방향으로 나아가고 있으며 AMT 릴리스 5.1 이상 버전은 Out-of-Band Management를 위한 DASH 버전 1.0/1.1 표준의 구현이다.[9] AMT는 일반적으로 서버 기반 IPMI와 비교하여 클라이언트 컴퓨팅 시스템을 위해 설계되었지만, AMT는 IPMI와 유사한 기능을 제공한다.

현재 AMT는 Intel Core i5, Core i7, Core i9 및 Intel Xeon E3-1200, Xeon E, Xeon W-1200 제품군을 포함한 Intel Core vPro 프로세서 제품군이 탑재된 데스크톱, 서버, 울트라북, 태블릿 및 랩톱에서 사용할 수 있다.[1][10][11]

Intel이 원격 권한 상승 버그(CVE-)를 확인함2017-5689, SA-00075)는 2017년 5월 1일 경영기술에 수록되었다.[12] 양쪽 인텔 표준 Manageability, Active기술 경영 또는 중소 기업 기술, Nehalem2008년 Kaby호 2017년에서 가진 모든 인텔 플랫폼이 ME.[13][14]에 Purism[15]과 System76[16] 같은 일부 제조사들, 이미 인텔 관리 엔진으로 하드웨어 파는 원격으로 이용할 수 있는 보안 구멍 pr에 장애인이 있다.행사는 remot착취하다 2015년 스카이레이크부터 2017년 커피레이크까지 매니지먼트 엔진, 트러스트된 실행 엔진, 서버 플랫폼 서비스 펌웨어가 통합된 매우 많은 컴퓨터에 영향을 미치는 ME의 주요 보안 결함이 2017년 11월 20일(SA-00086) 인텔에 의해 확인되었다.

비무료 서비스 액세스

일반 대중이나 중소기업에 판매되는 기기에는 iAMT가 무료로 포함될 수 있지만, 공개키 인증을 통한 암호화된 원격 접속, 구성되지 않은 iAMT 클라이언트의 자동 원격 장치 프로비저닝 등 iAMT의 전체 기능은 일반 대중이나 장착된 iAMT의 직접 소유자에게 무료로 접근할 수 없다. 장치. iAMT는 인텔이나 다른 제3자 독립 소프트웨어 벤더(ISV) 또는 부가가치 재판매업체(VAR)로부터 추가 소프트웨어 또는 관리 서비스를 구입하지 않고는 최대한의 잠재력을 발휘할 수 없다.

인텔 자체는 iAMT에 대한 기본 액세스가 가능한 개발자의 툴킷 소프트웨어 패키지를 제공하지만, 일반적으로 이 기술에 접근하는 데 사용되도록 의도된 것은 아니다.[17] 전체 구매 관리 시스템의 암호화된 통신에 대한 완전한 접근 없이 기본 접근 모드만 지원된다.[18]

특징들

Intel AMT에는 하드웨어 기반 원격 관리, 보안, 전원 관리 및 AMT 지원 PC에 대한 독립적인 원격 액세스를 지원하는 원격 구성 기능이 포함되어 있다.[1][7][19] 인텔 AMT는 인텔 vPro 기술로 PC에 내장된 보안 및 관리 기술이다.[1][6]

Intel AMT는 작동 중인 운영 체제의 유무에 관계없이 작동하는 하드웨어 기반 OOB(Out-of-Band) 통신 채널을[1] 사용한다. 통신 채널은 PC의 전원 상태, 관리 에이전트의 존재, 하드 디스크 드라이브메모리 같은 많은 하드웨어 구성요소의 상태와 무관하다.

대부분의 AMT 기능은 PC 전원 상태에 관계없이 OOB를 사용할 수 있다.[1] 다른 기능에서는 PC의 전원을 켜야 한다(예: 직렬-over LAN을 통한 콘솔 리디렉션, 에이전트 존재 여부 검사, 네트워크 트래픽 필터링).[1] Intel AMT는 원격 전원 공급 기능을 가지고 있다.

하드웨어 기반 기능을 스크립팅과 결합하여 유지보수 및 서비스를 자동화할 수 있다.[1]

노트북 및 데스크탑 PC의 하드웨어 기반 AMT 기능:

  • IT 콘솔과 Intel AMT 사이의 네트워크 트래픽을 위한 암호화 원격 통신 채널.[1][2]
  • 개방형 LAN을 통해 회사 방화벽 외부의 유선 PC(물리적 네트워크 연결)[1][2]를 통해 보안 통신 터널(AMT를 통해)을 IT 콘솔로 다시 설정할 수 있는 기능 개방형 LAN의 예로는 가정이나 프록시 서버가 없는 SMB 사이트의 유선 랩톱이 있다.
  • 암호화된 WOL을 통한 원격 전원 켜기/[1][2]끄기/전원 주기
  • IDE-R([1][2]Integrated Device Electronics remote boot
  • SOL(Serial over LAN)[1]을 통한 콘솔 리디렉션
  • 네트워크를 통한 키보드, 비디오, 마우스(KVM)
  • 인바운드 및 아웃바운드 네트워크 트래픽에서 알려진 위협(프로그래밍 타이머 기반)에 대해 패킷 헤더를 모니터링하고 시간 기반 휴리스틱스에 따라 알려진/알 수 없는 위협을 모니터링하기 위한 하드웨어 기반 필터. 노트북과 데스크탑 PC에는 패킷 헤더를 모니터링하는 필터가 있다. 데스크톱 PC에는 패킷 헤더 필터와 시간 기반 필터가 있다.[1][2][20]
  • 포트 차단, 속도 제한 또는 손상되거나 감염될 수 있는 PC에 대한 격리 회로(Intel에 의해 이전에는 비공식적으로 "회로 차단기"[1][2][20]라고 불림)
  • 하드웨어 기반 정책 기반 프로그래밍 가능한 타이머를 통해 에이전트 존재 여부 검사 "누락"은 이벤트를 생성하며, 이것은 또한 경보를 생성할 수 있다.[1][2][20]
  • OOB 경보.[1][2]
  • 하드 드라이브가 아닌 보호된 메모리에 저장된 영구 이벤트 로그.[1][2]
  • PC의 UUID(Universal Unique Identifier)에 액세스(사전 부트)하십시오.[1][2]
  • 시스템의 전원 켜기 자가 테스트(POST)를 거칠 때마다 업데이트되는 구성 요소의 제조업체 및 모델과 같은 하드웨어 자산 정보에 액세스(사전 부트)[1][2]
  • 소프트웨어 벤더가 사용할 수 있는 보호된 메모리 영역인 TPDS(타사 데이터 저장소)에 액세스(사전 부트)하십시오.DAT 파일 [1][2]및 기타 정보
  • 인증서 기반 제로 터치 원격 구성, USB 키 구성([1][2][21]라이트 터치) 및 수동 구성을 포함한 원격 구성 옵션
  • DRM 보호 미디어의 재생 보호를 위한 보호된 오디오/비디오 경로.

AMT가 탑재된 노트북에는 무선 기술도 포함된다.

역사

주요 기사: Intel AMT 버전

소프트웨어 업데이트는 Intel AMT의 다음 마이너 버전으로 업그레이드를 제공한다. Intel AMT의 새로운 주요 릴리스는 새로운 칩셋에 내장되어 있으며, 새로운 하드웨어를 통해 업데이트된다.[2]

적용들

거의 모든 AMT 기능은 PC 전원이 꺼졌지만 전원 코드가 연결된 상태, 운영 체제가 충돌한 경우, 소프트웨어 에이전트가 누락된 경우 또는 하드웨어(하드 드라이브나 메모리 등)가 고장 난 경우에도 사용할 수 있다.[1][2] 콘솔 양방향 기능(SOL), 에이전트 존재 확인 및 네트워크 트래픽 필터는 PC 전원이 켜진 후에 사용할 수 있다.[1][2]

Intel AMT는 다음과 같은 관리 태스크를 지원한다.

  • 원격으로 시스템 전원 켜기, 전원 끄기,[1] 전원 주기 및 전원 재설정
  • PC의 부팅 프로세스를 원격으로 리디렉션하여 PC를 네트워크 공유, 부팅 가능한 CD-ROM 또는 DVD, 업데이트 적용 드라이브 또는 기타 부팅 장치와 같은 다른 이미지로 부팅하도록 하여 PC를 원격 부팅하십시오.[1][7] OS가 손상되거나 누락된 PC의 원격 부팅을 지원하는 기능이다.
  • SOL([1]Serial over LAN)을 통해 콘솔 리디렉션을 통해 시스템의 I/O를 원격으로 리디렉션 이 기능은 원격 문제 해결, 원격 수리, 소프트웨어 업그레이드 및 유사한 프로세스를 지원한다.
  • 원격으로 BIOS 설정에 액세스하고 변경하십시오.[1] PC 전원이 꺼지거나 OS가 다운되거나 하드웨어가 고장 난 경우에도 이 기능을 이용할 수 있다. 이 기능은 원격 업데이트 및 구성 설정 수정을 허용하도록 설계되었다. 이 기능은 특정 설정에 대한 변경뿐만 아니라 전체 BIOS 업데이트를 지원한다.
  • 의심스러운 네트워크 트래픽 탐지.[1][20] 노트북과 데스크탑 PC에서 이 기능을 통해 sys-admin은 네트워크 패킷 헤더에서 인바운드 또는 아웃바운드 위협을 나타낼 수 있는 이벤트를 정의할 수 있다. 데스크톱 PC에서 이 기능은 시간 기반 휴리스틱스 기반 필터를 통한 네트워크 트래픽에서 알려진 위협 및/또는 알려지지 않은 위협(느리고 빠르게 이동하는 컴퓨터 웜 포함)의 탐지를 지원하기도 한다. 네트워크 트래픽은 OS에 도달하기 전에 확인되기 때문에 OS 및 소프트웨어 애플리케이션이 로드되기 전, 종료된 후(PC의[citation needed] 경우 전통적으로 취약한 기간)도 점검한다.
  • 컴퓨터 바이러스,[1][20] 컴퓨터 웜 또는 기타 위협에 의해 감염되거나 손상된 것으로 의심되는 시스템과의 네트워크 트래픽을 차단하거나 속도 제한 이 기능은 IT 정책(특정 이벤트)에 따라 수동으로(원격적으로, sys-admin에 의해) 또는 자동으로 트리거할 수 있는 Intel AMT 하드웨어 기반 격리 회로를 사용한다.
  • 온보드 네트워크 어댑터에서 하드웨어 패킷 필터 [1][20]관리
  • 중요한 소프트웨어 에이전트가 프로그램 가능한 정책 기반 하드웨어 기반 타이머로 할당된 체크인을 누락할 경우 자동으로 [1][20]OOB 통신을 IT 콘솔로 전송 "누락"은 잠재적인 문제를 나타낸다. 이 기능을 OOB 경보와 결합하면 잠재적인 문제가 발생할 때에만 IT 콘솔에 알림이 전달될 수 있다(불필요한 "긍정적인" 이벤트 알림에 의해 네트워크가 침수되는 것을 방지하는 데 도움이 된다.
  • AMT 하위 시스템으로부터 PET(플랫폼 이벤트 트랩) 이벤트 수신(예: OS가 정지 또는 충돌했거나 암호 공격이 시도되었음을 나타내는 이벤트)[1] 경고는 이벤트(예: 에이전트 존재 확인과 함께 규정 준수에서 벗어나는 경우) 또는 임계값(예: 특정 팬 속도에 도달하는 경우)에 발생할 수 있다.
  • 보호된 [1]메모리에 저장된 영구 이벤트 로그 액세스 OS가 다운되었거나 하드웨어에 이미 장애가 발생한 경우에도 이벤트 로그는 OOB를 사용할 수 있다.
  • PC의 전원 상태 또는 OS 상태와 독립적으로 AMT 시스템을 검색하십시오.[1] 시스템 전원이 꺼지거나, 시스템 OS가 손상 또는 다운되거나, 하드웨어(하드 드라이브 또는 메모리 등)가 고장 났거나, 관리 에이전트가 누락된 경우 검색(UUUID에 대한 사전 부트 액세스)을 사용할 수 있다.
  • 소프트웨어 인벤토리를 수행하거나 PC의 소프트웨어에 대한 정보에 액세스하십시오.[1] 이 기능을 사용하면 타사 소프트웨어 벤더가 로컬 애플리케이션의 소프트웨어 자산 또는 버전 정보를 Intel AMT 보호 메모리에 저장할 수 있다(이것은 하드웨어 구성 요소 정보 및 기타 시스템 정보에 대한 보호된 AMT 메모리와 다른 보호되는 타사 데이터 저장소임). 타사 데이터 저장소는 sys-admin에 의해 OOB에 액세스할 수 있다. 예를 들어 바이러스 백신 프로그램은 타사 데이터에 사용할 수 있는 보호 메모리에 버전 정보를 저장할 수 있다. 컴퓨터 스크립트는 이 기능을 사용하여 업데이트가 필요한 PC를 식별할 수 있다.
  • 원격 PC의 하드웨어 자산 목록(플랫폼, 베이스보드 관리 컨트롤러, BIOS, 프로세서, 메모리, 디스크, 휴대용 배터리, 현장 교체 가능 장치 및 기타 정보)[1]을 업로드하여 하드웨어 인벤토리를 수행하십시오. 하드웨어 자산 정보는 시스템이 전원 켜기 자가 테스트(POST)를 통해 실행될 때마다 업데이트된다.

주요 버전 6부터 Intel AMT는 전용 VNC 호환 뷰어 기술을 사용한 대역 외 액세스를 위해 전용 VNC 서버를 내장하고 운영 체제가 로드될 때 데스크톱을 중단 없이 제어하는 등 전원 주기 전반에 걸쳐 전체 KVM(키보드, 비디오, 마우스) 기능을 갖추고 있다. RealVNC의 VNC Viewer Plus와 같은 클라이언트도 시스템 전원 끄기와 켜기, BIOS 구성, 원격 이미지(IDER) 마운트 등과 같은 특정 Intel AMT 작업을 보다 쉽게 수행(및 시청)할 수 있는 추가 기능을 제공한다.

프로비저닝 및 통합

AMT는 인증서 기반 또는 PSK 기반 원격 프로비저닝(전체 원격 배포), USB기반 프로비저닝("원터치" 프로비저닝), 로컬 호스트에서 에이전트를 사용한 수동 프로비저닝[1] 및 프로비저닝("호스트 기반 프로비저닝")을 지원한다. OEM은 AMT를 사전 프로비저닝할 수도 있다.[21]

현재 버전의 AMT는 랩톱과 데스크톱 PC 모두에서 원격 배포를 지원한다. (원격 배포는 이전 버전의 AMT에서 누락된 주요 기능 중 하나였으며 시장에서 AMT의 수용을 지연시켰다.)[7] 최근까지 원격 배치는 기업 네트워크 내에서만 가능했다.[24] 원격 배포를 통해 시스템 관리자는 시스템을 물리적으로 "터치"하지 않고 PC를 배포할 수 있다.[1] 또한 시스템 관리자가 배포를 지연시키고 일정 기간 동안 PC를 사용하게 한 후 AMT 기능을 IT 콘솔에서 사용할 수 있게 한다.[25] 배달 및 배치 모델이 진화함에 따라 AMT는 이제 "제로 터치"와 "호스트 기반" 방법을 모두 사용하여 인터넷을 통해 배포할 수 있다.[26]

AMT를 실행하거나 실행 중지한 상태에서 PC를 판매할 수 있다. OEM은 AMT를 설정(실행) 가능한 기능과 함께 제공할지 또는 실행 중지할지를 결정한다. 설정 및 구성 프로세스는 OEM 빌드에 따라 달라질 수 있다.[21]

AMT는 IMSS라고 불리는 프라이버시 아이콘 응용프로그램을 포함하며,[27] AMT가 실행되었는지 여부를 시스템 사용자에게 통지한다. 아이콘 표시 여부는 OEM이 결정한다.

AMT는 관리 및 보안 기술을 비활성화하는 여러 가지 방법과 기술을 다시 활성화하는 여러 가지 방법을 지원한다.[1][25][28][29]

AMT는 구성 설정을 사용하여 부분적으로 프로비저닝되지 않거나, 모든 구성 설정, 보안 인증 정보 및 운영 및 네트워킹 설정을 삭제하여 완전히 프로비저닝되지 않을 수 있다.[30] 부분적인 미프로비저닝은 PC를 설정 상태로 남긴다. 이 상태에서 PC는 자동화된 원격 구성 프로세스를 스스로 시작할 수 있다. 완전한 비프로비저닝은 Intel Management Engine과 통신하는 데 필요한 보안 인증 정보 및 운영/네트워킹 설정뿐만 아니라 구성 프로필도 지운다. 전체 미프로비저닝은 Intel AMT를 출고 시 기본 상태로 되돌린다.

AMT를 실행 중지한 후 AMT를 다시 실행하기 위해 인증된 sys-admin은 다음 중 하나를 통해 원격 구성을 수행하는 데 필요한 보안 인증 정보를 다시 설정할 수 있다.

  • 원격 구성 프로세스 사용(인증서 및 키를 통해 완전 자동화된 원격 구성).[1]
  • USB 키를 사용하거나 인증 정보 및 MEBx 매개 변수를 수동으로 입력하여 보안 인증 정보를 복원하기 위해 PC에 물리적으로 액세스.[1]

AMT를 완전히 재설정하고 공장 디폴트로 되돌리는 방법이 있다. 이 작업은 두 가지 방법으로 수행할 수 있다.

AMT의 설정 및 통합은 설정 및 구성 서비스(자동화된 설정을 위한 경우), AMT Webserver 도구(Intel AMT에 포함됨) 및 Intel 웹 사이트에서 사용할 수 있는 지원되지 않는 무료 전용 응용 프로그램인 AMT Commander에 의해 지원된다.

커뮤니케이션

Intel AMT 기능에 대한 모든 액세스는 PC의 하드웨어 및 펌웨어에 있는 Intel Management Engine을 통해 이루어진다.[1] AMT 통신은 PC의 OS 상태가 아닌 관리 엔진의 상태에 따라 달라진다.

Intel Management Engine의 일부로 AMT OOB 통신 채널은 시스템 하드웨어에 설계된 TCP/IP 펌웨어 스택을 기반으로 한다.[1] TCP/IP 스택을 기반으로 하기 때문에, AMT와의 원격 통신은 OS에 통신이 전달되기 전에 네트워크 데이터 경로를 통해 이루어진다.

Intel AMT는 유무선 네트워크를 지원한다.[1][10][22][31] 배터리 전원에 관한 무선 노트북의 경우 OS가 다운되더라도 시스템이 깨어 회사 네트워크에 연결되었을 때 OOB 통신이 가능하다. 또한 OOB 통신은 노트북이 깨어 있고 제대로 작동할 때 호스트 OS 기반 가상 사설망(VPN)을 통해 회사 네트워크에 연결된 무선 또는 유선 노트북에 대해서도 이용할 수 있다.

AMT 버전 4.0 이상은 기업 방화벽 외부의 유선 PC와 IT 콘솔 사이에 보안 통신 터널을 구축할 수 있다.[1][32] 이 방식에서 관리 프레즌스 서버(Intel은 이것을 "vPro-enabled gateway"라고 부른다)는 PC를 인증하고, IT 콘솔과 PC 사이의 보안 TLS 터널을 열고, 통신을 중개한다.[1][33] 현장 프록시 서버나 관리 어플라이언스가 없는 위성 사무실이나 유사 장소에서 사용자나 PC 자체가 유지보수나 서비스를 요청할 수 있도록 돕기 위한 것이다.

기업 방화벽 외부의 통신을 보호하는 기술은 비교적 새로운 것이다. 또한 IT 콘솔과 방화벽의 지원을 포함한 인프라가 갖춰져야 한다.

AMT PC는 시스템 구성 정보를 보호 메모리에 저장한다. PC 버전 4.0 이상의 경우, 이 정보에는 회사에 적합한 "화이트리스트" 관리 서버의 이름이 포함될 수 있다. 사용자가 개방형 LAN에서 유선 PC와 회사 서버 사이의 원격 세션을 시작하려고 할 때 AMT는 저장된 정보를 기업 방화벽과 클라이언트(사용자 PC) 방화벽 사이에 존재하는 "비무장지대"(DMZ)의 관리 프레즌스 서버(MPS)로 전송한다. MPS는 PC를 인증하는데 도움을 주기 위해 그 정보를 사용한다. 그리고 나서 MPS는 노트북과 회사의 관리 서버 사이의 통신을 중재한다.[1]

통신이 인증되기 때문에 TLS 암호화를 사용하여 보안 통신 터널을 열 수 있다. 사용자의 PC에서 IT 콘솔과 Intel AMT 간에 보안 통신이 설정되면 sys-admin은 일반적인 AMT 기능을 사용하여 PC를 원격으로 진단, 복구, 유지보수 또는 업데이트할 수 있다.[1]

디자인

하드웨어

주요 기사: 인텔 매니지먼트 엔진

ME(Management Engine)는 격리되고 보호되는 코프로세서로, 현재(2015년 기준) 모든 인텔 칩셋에 비옵션[34] 부품으로 내장되어 있다.[35]

ME 11을 시작으로 인텔 쿼크 x86 기반 32비트 CPU를 기반으로 MINIX 3 운영 체제를 운영한다. ME 상태는 EFS(Embedded Flash File System)를 사용하여 SPI 플래시의 파티션에 저장된다.[36] 이전 버전은 관리 엔진이 Express Logic에서 ThreadX RTOS를 실행하면서 ARC 코어를 기반으로 했다. ME 버전 1.x ~ 5.x는 ARCangent-A4(32비트 전용 지침)를 사용한 반면, 버전 6.x ~ 8.x는 최신 ARCompact(32비트 및 16비트 명령 집합 아키텍처 혼합)를 사용했다. ME 7.1부터 ARC 프로세서는 서명된 자바 애플릿도 실행할 수 있었다.

ME는 호스트 시스템과 동일한 네트워크 인터페이스와 IP를 공유한다. 트래픽은 패킷을 기반으로 포트 16992-16995로 라우팅된다. 다양한 Intel 이더넷 컨트롤러에 지원이 존재하며, MCTP(Management Component Transport Protocol)를 통해 내보내지고 구성 가능하게 한다.[37][38] 또한 ME는 PCI 인터페이스를 통해 호스트와 통신한다.[36] Linux에서는 호스트와 ME 간의 통신이 또는 최근에 수행된다[39].[40]

Nehalem 프로세서가 출시되기 전까지 ME는 대개 MECH(Memory Controller Hub) 레이아웃에 따라 마더보드의 Northbridge에 내장되었다.[41] 새로운 Intel 아키텍처(Intel 5 Series 이후 버전)로 ME는 플랫폼 컨트롤러 허브(PCH)에 포함된다.[42][43]

펌웨어

  • 관리 엔진(ME) - 메인스트림 칩셋
  • SPS(Server Platform Services) - 서버
  • 신뢰할 수 있는 실행 엔진(TXE) - 태블릿/모바일/저전력

보안

AMT는 OS 수준 이하의 PC에 대한 액세스를 허용하기 때문에 AMT 기능에 대한 보안이 핵심 관심사다.

Intel AMT와 프로비저닝 서비스 및/또는 관리 콘솔 간의 통신을 위한 보안은 네트워크 환경에 따라 다른 방식으로 설정될 수 있다. 보안은 인증서 및 키(TLS 공용 키 인프라 또는 TLS-PKI), 사전 공유 키(TLS-PSK) 또는 관리자 암호를 통해 설정할 수 있다.[1][2]

AMT 기능에 대한 액세스를 보호하는 보안 기술은 하드웨어와 펌웨어에 내장되어 있다. AMT의 다른 하드웨어 기반 기능과 마찬가지로 PC 전원이 꺼지거나 OS가 다운되거나 소프트웨어 에이전트가 누락되거나 하드웨어(하드 드라이브나 메모리 등)가 고장나더라도 보안 기술이 활성화된다.[1][2][44]

AMT를 구현하는 소프트웨어가 운영 체제 외부에 존재하기 때문에 운영 체제의 정상적인 업데이트 메커니즘에 의해 최신 상태로 유지되지 않는다. 따라서 AMT 소프트웨어의 보안 결함은 발견된 후에도 계속 남아 잠재적인 공격자에게 알려지기 때문에 특히 심각할 수 있다.

2017년 5월 15일, Intel은 AMT에 중대한 취약성을 발표했다. 업데이트에 따르면, "이 취약성을 통해 네트워크 공격자는 이러한 기술을 사용하는 비즈니스 PC나 장치에 원격으로 액세스할 수 있다."[45] Intel은 영향을 받는 일부 장치의 취약성을 패치하기 위해 펌웨어 업데이트의 부분적인 가용성을 발표했다.

네트워킹

대역 내 원격 관리를 위한 일부 프로토콜은 보안 네트워크 통신 채널(예: Secure Shell)을 사용하는 반면, 다른 프로토콜은 보안되지 않는다. 따라서 일부 기업은 PC를 유지 보수하고 서비스하기 위해 보안 통신 없이 IT가 원격 관리 애플리케이션을 사용할 수 있도록 하는 것 중 하나를 선택해야 했다.[1]

현대적인 보안 기술과 하드웨어 설계는 더 안전한 환경에서도 원격 관리를 가능하게 한다. 예를 들어 Intel AMT는 IEEE 802.1x, PXE(Preboot Execution Environment), Cisco SDN마이크로소프트 NAP를 지원한다.[1]

모든 AMT 기능은 안전한 네트워크 환경에서 사용할 수 있다. 보안 네트워크 환경에서 Intel AMT 사용:

  • 네트워크는 AMT 지원 PC의 보안 상태를 확인하고 OS가 로딩되기 전과 PC가 네트워크에 접속할 수 있도록 허용되기 전에 PC를 인증할 수 있다.
  • 네트워크 보안을 유지하는 동안 PXE 부팅을 사용할 수 있다. 즉, IT 관리자는 IEEE 802.1x, Cisco SDN 또는 마이크로소프트 NAP 네트워크의 기존 PXE 인프라를 사용할 수 있다.

Intel AMT는 Intel AMT Embedded Trust 에이전트 및 AMT 상태 플러그인을 통해 하드웨어에 네트워크 보안 인증 정보를 내장할 수 있다.[1][2] 이 플러그인은 타사 소프트웨어(바이러스 백신 소프트웨어스파이웨어 방지 등), BIOS보호 메모리로부터 펌웨어 구성 및 보안 파라미터와 같은 보안 상태 정보를 수집한다. 플러그인 및 트러스트 에이전트는 보안 프로파일을 하드 디스크 드라이브에 없는 AMT의 보호된 비휘발성 메모리에 저장할 수 있다.

AMT는 대역 외 통신 채널을 갖췄기 때문에 PC의 OS나 보안 소프트웨어가 훼손되더라도 AMT는 PC의 보안태세를 네트워크에 제시할 수 있다. AMT는 자세 Out-of-Band를 제공하므로, 네트워크는 또한 OS나 애플리케이션이 네트워크에 로드되기 전, 그리고 그들이 네트워크에 액세스하기 전에 PC Out-of-Band를 인증할 수 있다. 보안 상태가 올바르지 않은 경우 시스템 관리자는 PC가 네트워크에 액세스하도록 허용하기 전에 Intel AMT를 통해 업데이트 OOB를 푸시하거나 중요한 보안 소프트웨어를 다시 설치할 수 있다.

서로 다른 보안 자세에 대한 지원은 AMT 릴리스에 따라 달라진다.

기술

AMT는 배포 중 및 원격 관리 중에 AMT 기능에 대한 액세스를 보호하기 위한 몇 가지 보안 체계, 기술 및 방법론을 포함한다.[1][2][44] AMT 보안 기술 및 방법론:

Intel AMT의 다른 측면과 마찬가지로 보안 기술과 방법론이 칩셋에 내장되어 있다.

알려진 취약성 및 취약성

참고 항목: Intel Management Engine § 보안 취약성

링 -3 루트킷

Ring -3 루트킷은 Q35 칩셋을 위한 Invisible Things Lab에 의해 입증되었다. 인텔이 추가적인 보호를 구현함에 따라 이후 Q45 칩셋에서는 작동하지 않는다.[48] ME를 위해 예약된 정상적으로 보호된 메모리 영역(상위 16MB RAM)을 다시 매핑하여 이 취약성을 이용했다. 칩셋은 항상 ARC ME 코프로세서를 포함하고 있으므로 AMT가 시스템에 존재하거나 활성화되었는지에 관계없이 ME 루트킷을 설치할 수 있었다. (ME coprocessor는 시스템이 S3 상태일 때에도 작동하기 때문에 시스템 관리 모드 루트킷 아래의 계층으로 간주되었기 때문에 "-3" 명칭이 선택되었다.)[41] 취약한 Q35 칩셋을 위해 키 스트로크 로거 ME 기반 루트킷이 패트릭 스테윈에 의해 시연되었다.[49][50]

제로 터치 프로비저닝

바실리오스 베르베리스의 또 다른 보안 평가에서는 GM45 칩셋 구현에 심각한 약점이 나타났다. 특히 IDE 리디렉션과 직렬 over LAN 기능이 사용될 때 AMT가 암호화되지 않은 암호를 SMB 프로비저닝 모드로 전송하고 있다고 비판했다. 또 BIOS에서 AMT가 비활성화된 것으로 보여도 '제로터치(zero touch)' 프로비저닝 모드(ZTC)가 여전히 활성화된 것으로 파악됐다. 약 60유로에 Ververis는 Go Daddy로부터 ME 펌웨어에 의해 받아들여지고 Hello 패킷을 구성 서버로 방송하는 (아마도 의심하지 않는) 머신의 원격 "제로터치" 프로비저닝을 허용하는 인증서를 구입했다.[51]

사일런트 밥은 사일런트

Intel은 2017년 5월 AMT를 탑재한 많은 시스템이 감시되지 않은 중요 권한 분산 취약성(CVE-2017-5689)을 갖고 있음을 확인했다.[14][52][12][53][54] 인텔에 보고한 연구원들에 의해 "침묵한 밥은 침묵이다"라는 별명이 붙은 이 취약성은 , 후지쓰, 휴렛팩커드, 인텔, 레노버 이 판매하는 수많은 노트북, 데스크톱, 서버에 영향을 미친다.[55][55][56][57][58][59][60][61] 그 연구원들은 그 벌레가 2010년 이후에 만들어진 시스템에 영향을 미친다고 주장했다.[62] 다른 보고서들은 이 벌레가 2008년까지 만들어진 시스템에도 영향을 미친다고 주장했다.[63][14] 이 취약성은 원격 공격자에게 다음과 같은 이점을 제공하는 것으로 설명되었다.

모든 것을 읽고 수정할 수 있는 기능을 포함하여 영향을 받는 기계에 대한 완전한 제어 영구 맬웨어(펌웨어에 있을 가능성이 있음)를 설치하고 모든 데이터를 읽고 수정하는 데 사용할 수 있다.

Tatu Ylönen, ssh.com[55]

원격 사용자 인증 프로세스에는 사용자가 제공한 인증 토큰 해시를 비교하는 프로그래머 오류가 포함되었다.user_response해시의 실제 값으로 ()computed_response이 코드 사용: 

strncmp(sulf_response, user_response, response_

취약점은 다음과 같았다. response_length 사용자가 제공한 토큰의 길이일 뿐 실제 토큰은 아니었다.

에 대한 세 번째 주장 이후 strncmp 비교할 두 문자열의 길이입니다(두 문자열의 길이보다 작을 경우). computed_response, 문자열의 일부분만 동등하게 테스트될 것이다. 구체적으로 말하자면 user_response 빈 문자열(길이 0)이며, 이 "비교"는 항상 True를 반환하고, 따라서 사용자를 검증한다. 이것은 모든 사람이 간단히 에 로그인할 수 있게 했다. admin 전송된 HTTP 패킷을 편집하여 빈 문자열을 response 밭의 가치

플래티넘

2017년 6월 플래티넘 사이버 범죄 그룹은 AMT의 직렬 오버 LAN(SOL) 기능을 악용해 도난된 문서의 데이터 유출 행위를 한 점이 눈에 띄었다.[64][65][66][67][68][69][70][71]

SA-00086

2017년 11월 보안업체 포지티브 테크놀로지스가 USB 포트에 물리적으로 접근하는 사람을 위해 이 시스템을 실용적으로 이용했다고 주장한 ME(Management Engine) 펌웨어에서 심각한 결함이 감지되었다.[72] 2017년 11월 20일 Intel은 Management Engine, Trusted Execution Engine, Server Platform Services에서 많은 심각한 결함이 발견되었음을 확인하고 "중요한 펌웨어 업데이트"[73][74]를 발표했다.

회피 및 완화

AMT가 탑재된 PC는 OEM이 BIOS 기능을 다르게 [75]구현하므로 BIOS가 AMT를 끄기 위한 신뢰할 수 있는 방법이 아니다. AMT 없이 출하된 Intel 기반 PC는 AMT를 나중에 설치할 수 없도록 되어 있다. 그러나 PC의 하드웨어가 잠재적으로 AMT를 실행할 수 있는 한 이러한 보호가 얼마나 효과적인지는 불분명하다.[76][77][78] 현재 윈도우즈에서는 AMT를 실행 중지할 수 있는 경감 가이드와[79] 툴이[80] 있지만 리눅스는 리눅스 시스템에서 AMT의 실행 및 프로비저닝 여부를 확인할 수 있는 툴만 받았다.[81] 이 취약성을 실제로 해결하는 유일한 방법은 펌웨어 업데이트를 설치하는 것이다. 인텔은 이용 가능한 업데이트 목록을 만들었다.[82] AMT와 달리, 일반적으로 관리 엔진(ME)을 비활성화하는 공식적이고 문서화된 방법은 없다. OEM에 의해 전혀 활성화되지 않는 한, ME는 항상 켜져 있다.[83][84]

2015년에 소수의 경쟁 벤더는 잠재적인 AMT 취약성과 관련 문제를 해결하기 위해 특별히 설계되거나 수정된 인텔 기반 PC를 제공하기 시작했다.[85][86][87][88][89][90][91]

참고 항목

참조

  1. ^ a b c d e f g h i j k l m n o p q r s t u v w x y z aa ab ac ad ae af ag ah ai aj ak al am an ao ap aq ar as at au av aw ax ay az ba bb bc bd be bf bg bh bi bj bk bl "Intel Centrino 2 with vPro Technology and Intel Core2 Processor with vPro Technology" (PDF). Intel. 2008. Archived from the original (PDF) on December 6, 2008. Retrieved August 7, 2008.
  2. ^ a b c d e f g h i j k l m n o p q r s t u v w x "Architecture Guide: Intel Active Management Technology". Intel. June 26, 2008. Archived from the original on October 19, 2008. Retrieved August 12, 2008.
  3. ^ a b "Remote Pc Management with Intel's vPro". Tom's Hardware Guide. Retrieved November 21, 2007.
  4. ^ "Intel vPro Chipset Lures MSPs, System Builders". ChannelWeb. Retrieved August 1, 2007.
  5. ^ "Intel Mostly Launches Centrino 2 Notebook Platform". ChannelWeb. Retrieved July 1, 2008.
  6. ^ a b "A new dawn for remote management? A first glimpse at Intel's vPro platform". ars technica. Retrieved November 7, 2007.
  7. ^ a b c d "Revisiting vPro for Corporate Purchases". Gartner. Archived from the original on July 23, 2008. Retrieved August 7, 2008.
  8. ^ "Answers to Frequently Asked Questions about libreboot". libreboot.org. Retrieved September 25, 2015.
  9. ^ "Archived copy". Archived from the original on April 14, 2012. Retrieved April 30, 2012.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  10. ^ a b c d "Intel Centrino 2 with vPro Technology" (PDF). Intel. Archived from the original (PDF) on March 15, 2008. Retrieved July 15, 2008.
  11. ^ "Intel MSP". Msp.intel.com. Retrieved May 25, 2016.
  12. ^ a b "Intel® Product Security Center". Security-center.intel.com. Retrieved May 7, 2017.
  13. ^ Charlie Demerjian (May 1, 2017). "Remote security exploit in all 2008+ Intel platforms". SemiAccurate. Retrieved May 7, 2017.
  14. ^ a b c "Red alert! Intel patches remote execution hole that's been hidden in chips since 2010". Theregister.co.uk. Retrieved May 7, 2017.
  15. ^ HardOCP: Purism이 Intel의 관리 엔진이 비활성화된 노트북을 제공하고 있음
  16. ^ System76 노트북에서 Intel Management Engine을 사용하지 않도록 설정
  17. ^ Garrison, Justin (March 28, 2011). "How to Remotely Control Your PC (Even When it Crashes)". Howtogeek.com. Retrieved May 7, 2017.
  18. ^ "Open Manageability Developer Tool Kit Intel® Software". Software.intel.com. Retrieved May 7, 2017.
  19. ^ "Intel vPro Technology". Intel. Retrieved July 14, 2008.
  20. ^ a b c d e f g "Intel Active Management Technology System Defense and Agent Presence Overview" (PDF). Intel. February 2007. Retrieved August 16, 2008.
  21. ^ a b c "Intel Centrino 2 with vPro Technology". Intel. Archived from the original on March 15, 2008. Retrieved June 30, 2008.
  22. ^ a b c "New Intel-Based Laptops Advance All Facets of Notebook PCs". Intel. Archived from the original on July 17, 2008. Retrieved July 15, 2008.
  23. ^ a b "Understanding Intel AMT over wired vs. wireless (video)". Intel. Archived from the original on March 26, 2008. Retrieved August 14, 2008.
  24. ^ "Intel® vPro™ Technology". Intel.
  25. ^ a b "Part 3: Post Deployment of Intel vPro in an Altiris Environment: Enabling and Configuring Delayed Provisioning". Intel (forum). Retrieved September 12, 2008.
  26. ^ "Archived copy" (PDF). Archived from the original (PDF) on January 3, 2014. Retrieved July 20, 2013.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  27. ^ "Archived copy". Archived from the original on February 20, 2011. Retrieved December 26, 2010.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  28. ^ "Intel vPro Provisioning" (PDF). HP (Hewlett Packard). Retrieved June 2, 2008.
  29. ^ "vPro Setup and Configuration for the dc7700 Business PC with Intel vPro Technology" (PDF). HP (Hewlett Packard). Retrieved June 2, 2008.[영구적 데드링크]
  30. ^ "Part 4: Post Deployment of Intel vPro in an Altiris Environment Intel: Partial UnProvDefault". Intel (forum). Retrieved September 12, 2008.
  31. ^ "Technical Considerations for Intel AMT in a Wireless Environment". Intel. September 27, 2007. Retrieved August 16, 2008.
  32. ^ "Intel Active Management Technology Setup and Configuration Service, Version 5.0" (PDF). Intel. Retrieved October 13, 2018.
  33. ^ "Intel AMT - Fast Call for Help". Intel. August 15, 2008. Archived from the original on February 11, 2009. Retrieved August 17, 2008.(인텔 개발자 블로그)
  34. ^ "Archived copy". Archived from the original on January 3, 2016. Retrieved January 16, 2016.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  35. ^ a b "Archived copy". Archived from the original on November 1, 2014. Retrieved February 25, 2014.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  36. ^ a b 노트북의 Igor Skochinskinsky (Hex-Rays) 루트킷, Ruxcon Breakpoint 2012
  37. ^ "Intel Ethernet Controller I210 Datasheet" (PDF). Intel. 2013. pp. 1, 15, 52, 621–776. Retrieved November 9, 2013.
  38. ^ "Intel Ethernet Controller X540 Product Brief" (PDF). Intel. 2012. Retrieved February 26, 2014.
  39. ^ "samples: mei: use /dev/mei0 instead of /dev/mei · torvalds/linux@c4a46ac". GitHub. Retrieved July 14, 2021.
  40. ^ "Introduction — The Linux Kernel documentation". www.kernel.org. Retrieved July 14, 2021.
  41. ^ a b Joanna Rutkowska. "A Quest to the Core" (PDF). Invisiblethingslab.com. Retrieved May 25, 2016.
  42. ^ "Archived copy" (PDF). Archived from the original (PDF) on February 11, 2014. Retrieved February 26, 2014.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  43. ^ "Platforms II" (PDF). Users.nik.uni-obuda.hu. Retrieved May 25, 2016.
  44. ^ a b "New Intel vPro Processor Technology Fortifies Security for Business PCs (news release)". Intel. August 27, 2007. Archived from the original on September 12, 2007. Retrieved August 7, 2007.
  45. ^ "Intel® AMT Critical Firmware Vulnerability". Intel. Retrieved June 10, 2017.
  46. ^ "Intel Software Network, engineer / developers forum". Intel. Archived from the original on August 13, 2011. Retrieved August 9, 2008.
  47. ^ "Cisco Security Solutions with Intel Centrino Pro and Intel vPro Processor Technology" (PDF). Intel. 2007.
  48. ^ "Invisible Things Lab to present two new technical presentations disclosing system-level vulnerabilities affecting modern PC hardware at its core" (PDF). Invisiblethingslab.com. Archived from the original (PDF) on April 12, 2016. Retrieved May 25, 2016.
  49. ^ "Berlin Institute of Technology : FG Security in telecommunications : Evaluating "Ring-3" Rootkits" (PDF). Stewin.org. Archived from the original (PDF) on March 4, 2016. Retrieved May 25, 2016.
  50. ^ "Persistent, Stealthy Remote-controlled Dedicated Hardware Malware" (PDF). Stewin.org. Archived from the original (PDF) on March 3, 2016. Retrieved May 25, 2016.
  51. ^ "Security Evaluation of Intel's Active Management Technology" (PDF). Web.it.kth.se. Retrieved May 25, 2016.
  52. ^ "CVE - CVE-2017-5689". Cve.mitre.org. Archived from the original on May 5, 2017. Retrieved May 7, 2017.
  53. ^ "Intel Hidden Management Engine - x86 Security Risk?". Darknet. June 16, 2016. Retrieved May 7, 2017.
  54. ^ Garrett, Matthew (May 1, 2017). "Intel's remote AMT vulnerablity". mjg59.dreamwidth.org. Retrieved May 7, 2017.
  55. ^ a b c "2017-05-05 ALERT! Intel AMT EXPLOIT OUT! IT'S BAD! DISABLE AMT NOW!". Ssh.com\Accessdate=2017-05-07.
  56. ^ Dan Goodin (May 6, 2017). "The hijacking flaw that lurked in Intel chips is worse than anyone thought". Ars Technica. Retrieved May 8, 2017.
  57. ^ "General: BIOS updates due to Intel AMT IME vulnerability - General Hardware - Laptop - Dell Community". En.community.dell.com. Retrieved May 7, 2017.
  58. ^ "Advisory note: Intel Firmware vulnerability – Fujitsu Technical Support pages from Fujitsu Fujitsu Continental Europe, Middle East, Africa & India". Support.ts.fujitsu.com. May 1, 2017. Retrieved May 8, 2017.
  59. ^ "HPE HPE CS700 2.0 for VMware". H22208.www2.hpe.com. May 1, 2017. Retrieved May 7, 2017.
  60. ^ "Intel® Security Advisory regarding escalation o... Intel Communities". Communities.intel.com. Retrieved May 7, 2017.
  61. ^ "Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Remote Privilege Escalation". Support.lenovo.com. Retrieved May 7, 2017.
  62. ^ "MythBusters: CVE-2017-5689". Embedi.com. Archived from the original on May 6, 2017. Retrieved May 7, 2017.
  63. ^ Charlie Demerjian (May 1, 2017). "Remote security exploit in all 2008+ Intel platforms". SemiAccurate.com. Retrieved May 7, 2017.
  64. ^ "Sneaky hackers use Intel management tools to bypass Windows firewall". Retrieved June 10, 2017.
  65. ^ Tung, Liam. "Windows firewall dodged by 'hot-patching' spies using Intel AMT, says Microsoft - ZDNet". Retrieved June 10, 2017.
  66. ^ "PLATINUM continues to evolve, find ways to maintain invisibility". Retrieved June 10, 2017.
  67. ^ "Malware Uses Obscure Intel CPU Feature to Steal Data and Avoid Firewalls". Retrieved June 10, 2017.
  68. ^ "Hackers abuse low-level management feature for invisible backdoor". iTnews. Retrieved June 10, 2017.
  69. ^ "Vxers exploit Intel's Active Management for malware-over-LAN • The Register". www.theregister.co.uk. Retrieved June 10, 2017.
  70. ^ Security, heise. "Intel-Fernwartung AMT bei Angriffen auf PCs genutzt". Security. Retrieved June 10, 2017.
  71. ^ "PLATINUM activity group file-transfer method using Intel AMT SOL". Channel 9. Retrieved June 10, 2017.
  72. ^ 연구자들은 인텔 스카이레이크 이상의 CPU를 가진 거의 모든 컴퓨터를 USB를 통해 소유할 수 있다는 것을 발견했다.
  73. ^ "Intel® Management Engine Critical Firmware Update (Intel SA-00086)". Intel.
  74. ^ "Intel Chip Flaws Leave Millions of Devices Exposed". Wired.
  75. ^ "Disabling AMT in BIOS". software.intel.com. Retrieved May 17, 2017.
  76. ^ "Are consumer PCs safe from the Intel ME/AMT exploit? - SemiAccurate". semiaccurate.com.
  77. ^ "Intel x86s hide another CPU that can take over your machine (you can't audit it)". Boing Boing. June 15, 2016. Retrieved May 11, 2017.
  78. ^ "[coreboot] : AMT bug". Mail.coreboot.org. May 11, 2017. Retrieved June 13, 2017.
  79. ^ "Disabling Intel AMT on Windows (and a simpler CVE-2017-5689 Mitigation Guide)". Social Media Marketing Digital Marketing Electronic Commerce. May 3, 2017. Retrieved May 17, 2017.
  80. ^ "bartblaze/Disable-Intel-AMT". GitHub. Retrieved May 17, 2017.
  81. ^ "mjg59/mei-amt-check". GitHub. Retrieved May 17, 2017.
  82. ^ "Intel® AMT Critical Firmware Vulnerability". Intel. Retrieved May 17, 2017.
  83. ^ "Positive Technologies Blog: Disabling Intel ME 11 via undocumented mode". Retrieved August 30, 2017.
  84. ^ "Intel Patches Major Flaws in the Intel Management Engine". Extreme Tech.
  85. ^ Vaughan-Nichols, Steven J. "Taurinus X200: Now the most 'Free Software' laptop on the planet - ZDNet".
  86. ^ Kißling, Kristian. "Libreboot: Thinkpad X220 ohne Management Engine » Linux-Magazin". Linux-Magazin.
  87. ^ online, heise. "Libiquity Taurinus X200: Linux-Notebook ohne Intels Management Engine". heise online.
  88. ^ "Intel AMT Vulnerability Shows Intel's Management Engine Can Be Dangerous". May 2, 2017.
  89. ^ "Purism Explains Why It Avoids Intel's AMT And Networking Cards For Its Privacy-Focused 'Librem' Notebooks". Tom's Hardware. August 29, 2016. Retrieved May 10, 2017.
  90. ^ "The Free Software Foundation loves this laptop, but you won't".
  91. ^ "FSF Endorses Yet Another (Outdated) Laptop - Phoronix". phoronix.com.

외부 링크