Dynamic application loader host interface service что это за программа
Боремся с дистанционным контролем: как отключить Intel ME
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
Автор: Positive Technologies рейтинг
Технология Intel ME (или AMT, Active Management Technology) является одним из самых загадочных и мощных элементов современных x86-платформ. Инструмент изначально создавался в качестве решения для удаленного администрирования. Однако он обладает столь мощной функциональностью и настолько неподконтролен пользователям Intel-based устройств, что многие из них хотели бы отключить эту технологию, что сделать не так-то просто.
На прошедшем 17 и 18 мая в Москве форуме Positive Hack Days VI исследователи Positive Technologies Максим Горячий и Марк Ермолов представили несколько техник отключения Intel ME, сопроводив доклад видеодемонстрацией процесса.
Что это, и зачем нужно отключать
Подсистема Intel Management Engine (ME) представляет собой дополнительный «скрытый» процессор, который присутствует во всех устройствах на базе чипсетов Intel (не только в PC и ноутбуках, но и в серверах). Среда исполнения ME никогда не «спит» и работает даже при выключенном компьютере (при наличии дежурного напряжения), а также имеет доступ к оперативной памяти, сетевому интерфейсу, USB контроллеру и встроенному графическому адаптеру.
Несмотря на столь обширные возможности, существуют вопросы к уровню защищенности ME — ранее исследователи уже находили серьезные уязвимости и векторы атак. Кроме того, подсистема содержит потенциально опасные функции — удаленное управление, NFC, скрытый сервисный раздел (hidden service partition). Интерфейсы подсистемы ME недокументированы, а реализация закрыта.
Все эти причины приводят к тому, что многие рассматривают технологию ME в качестве «аппаратной закладки». Ситуацию усугубляет тот факт, что с одной стороны у пользователя устройства нет возможностей по отключению этой функциональности, а с другой производитель оборудования может допустить ошибки в конфигурации МЕ.
Хорошая новость заключается в том, что способы отключения ME все же существуют.
Техники отключения Intel ME
Исследователи компании Positive Technologies Максим Горячий и Марк Ермолов в ходе состоявшегося в Москве форума Positive Hack Days VI представили доклад, посвященный отключению Intel ME. Специалисты описали несколько техник отключения данной подсистемы:
Большинство методов отключения используют встроенные механизмы ME, разработанные для вендоров устройств на платформе Intel. Все они подробно описаны в презентации, которая опубликована на GitHub. По ссылке представлено демонстрационное видео отключения ME (оно же ниже):
И тем не менее, возникает резонный вопрос: «Действительно ли ME перестает работать в полном объеме при использовании ее встроенных механизмов отключения?» В качестве доказательства факта отключения МЕ исследователи приводят следующий аргумент: ME работает в двух режимах использования памяти: только SRAM (встроенный в ME) и SRAM + UMA. UMA — это часть памяти хоста, которая используется как подкачиваемая память (swap). После инициализации DRAM-контроллера хостом ME всегда переключается в режим SRAM + UMA.
Таким образом, если ME действительно выключена, то при отключении на аппаратном уровне доступа МЕ к UMA-памяти в произвольный момент (посредствам канала VСm), в МЕ не будет происходить аппаратных сбоев, связанных с отсутствием данных и кода, которые были вытеснены в UMA память (такие аппаратные сбои приводят к аварийному отключению питания с основных аппаратных компонентов платформы). С другой стороны применение этих методов позволяет осуществить DoS-атаки на технологию AMT в случае ее применения для удаленного управления.
990x.top
Простой компьютерный блог для души)
Intel Dynamic Application Loader Host Interface Service — что это за служба?
Приветствую друзья! Данная заметка расскажет предназначение службы Интел, которая предположительно появилась после установки фирменного софта.
Intel Dynamic Application Loader Host Interface Service — что это за служба?
Появляется после установки программы Intel Management Engine Interface (Intel ME), позволяющей функционировать системе, расположенной в чипсете, необходимой для разных задач мониторинга/обслуживания ПК во время спящего режима, загрузки, а также при работы.
Также данная подсистема реализует фирменные технологии:
Программа работает под процессом jhi_service.exe:
Папка запуска процесса:
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\
Один пользователь выставил запуск службы вручную — проблем не обнаружено.
После корректной установки софта в диспетчере может появиться новое устройство.
Intel Management Engine — дополнительная информация
На самом деле это отдельный микрочип, находится внутри чипсета. Раньше был в составе северного моста, сегодня используется одночипсетная реализация — поэтому теперь микрочип просто находится внутри чипсета.
Такой микропроцессор мало потребляет энергии, но при этом имеет свою постоянную (ROM) и оперативную память (RAM).
На базе данного микропроцессора и работает подсистема ME, для обмена данными между подсистемой и операционкой необходимо поставить драйвер, который включен в состав приложения Intel Management Engine Interface.
Без этого ПО могут возможно будут отключены следующие возможности:
Поэтому желательно, чтобы данная программа была установлена. Операционка OS Windows способна автоматические установить данное ПО при обновлении системы.
Можно ли отключить службу?
Сперва создайте точку восстановления, можно отключить/нет — информация в интернете отсутствует. Попробуйте отключить:
Заключение
Можно сделать вывод:
Intel® Dynamic Application Loader
Run your sensitive code securely in a trusted execution environment that has its own dedicated processor, firmware, and hardware.
To download the SDK, contact your Intel® representative.
The Intel® Dynamic Application Loader (Intel® DAL) is a unique feature of Intel® platforms that is available on many form factors, including workstations, desktops, notebooks, tablets, and IoT devices. Use it to run small portions of Java* code on Intel® Converged Security and Management Engine firmware.
This collection of tools guides you through the development of your applet and host application.
Occasionally, applications that run on the host operating system need to perform tasks that require a high level of security. Instead of running the code or storing the data in memory that is accessible to the operating system, the host application uses an applet. The applet executes the work in the secure Intel DAL environment, which is protected from hacking.
Design and create a small Java applet for your users to install on the Intel® Management Engine firmware. This applet contains robust security functions that run whenever called upon by your host application.
Intel DAL includes:
Intel technologies may require enabled hardware, software or service activation. // No product or component can be absolutely secure. // Your costs and results may vary. // Performance varies by use, configuration and other factors. // See our complete legal Notices and Disclaimers. // Intel is committed to respecting human rights and avoiding complicity in human rights abuses. See Intel’s Global Human Rights Principles. Intel’s products and software are intended only to be used in applications that do not cause or contribute to a violation of an internationally recognized human right.
Intel ME driver что это за программа?
Intel ME driver — не программа, а драйвер для работы аппаратных датчиков. Например скорость вращения вентилятора. Также возможно необходим для разгона процессора — у некоторых пользователей выскакивала ошибка Please install intel ME driver to enable CPU overclock, что означает установите драйвер Intel ME для включения опции разгона процессора.
На заметку. Как правило, подобные драйвера устанавливаются автоматически при помощи центра обновлений Windows. Вручную стоит устанавливать только при возникновении проблем. Отсутствие драйвера не вызовет критических ошибок, однако Интел рекомендует все таки устанавливать.
Полное название — Intel Management Engine
Удалось выяснить — драйвер нужен для подсистемы, которая встроенная почти во все чипсеты процессоров Intel с 2008 года. Подсистема состоит из:
Management Engine функционирует всегда, даже когда ПК выключен — в таком случае источником энергии служит:
Сама компания Интел заявляет — подсистема ME необходима для максимальной производительности. При этом принцип работы нигде не описан, а исходный код закодирован.
Компания AMD также создала свою технологию в 2013 году — AMD Secure Technology (ранее называлась Platform Security Proccessor).
Не стоит путать технологию ME с AMT, которая хоть и основана на ME, но доступна только для процессоров с технологией vPro. При помощи AMT можно удаленно включать ПК или выключать, и даже устанавливать операционку.
Интересно — ME отключить никак нельзя в отличии AMT.
В теории, возможно что отказ от установки драйверов ME может отключить технологию, либо ограничить ее работу.
Оказывается, что ME отключить нельзя. Без этой технологии процессор НЕ сможет загрузиться. Все существующие методы отключения максимум что могут сделать — заставить технологию неправильно работать после включения. В таком состоянии функции не выполняются, однако встроенный микропроцессор дальше продолжает работать.
Все способы отключения не приветствуются и являются потенциально опасными.
Некоторые производители ноутбуков решили попробовать отключить ME. Так как корректного отключения все равно нет, то все это несет сомнительную пользу.
Интересно, но в некоторых современных биосах под материнки AMD уже есть опция отключения AMD Secure Technology (аналог Intel ME).
Intel Management Engine Components (IMEC)
Данное ПО устанавливает необходимые для корректной работы компоненты:
| Компонент | Краткое описание |
|---|---|
| Management Engine Interface | Для работы интерфейса ME. |
| Dynamic Application Loader | Предположительно работает под процессом jhi_service.exe. Вроде технология защиты, представляет базовые службы связи. Необходима для обеспечения аппаратного решения безопасности. |
| Identity Protection Technology (IPT) | Комплект технологий для проверки подлинности онлайн-доступа. Обеспечивает надежный уровень безопасности на предприятиях и веб-сайтах. В некотором смысле является альтернативной SMS аутентификации. Также включает в себя Intel Authenticate и Protected Transaction Display (PTD). |
| Manageability Engine Firmware Recovery Agent | Работает предположительно под процессом updateui.exe, который запускается из: |
C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin
Данный компонент позволяет выполнять критические обновления безопасности микропроцессора. Вероятно имеется ввиду обновление прошивки ME.
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\
Компонент представляет из себя службу локального управления. Имеет отношение к безопасности судя по полному названию — Management and Security Application Local Management Service. На офф сайте также указано название Intel Serial Over LAN.
Настройка в биосе — ME General Settings
Настройка ME General Settings предположительно может находиться в разделе MEBx Login. Содержит главные настройки ME, одна из которых — Change ME Password, служит для смены пароля удаленного управления (по умолчанию пароль admin).
Возможно данная настройка находится не в биосе, а в меню конфигурации Intel vPro.
На заметку. vPro — технология, позволяющая удаленно управлять ПК. Подразумевается в том числе и выключение, включение, открытие настроек биоса. В основе vPro выступают две технологии — удаленное управление мониторинга (Intel Active Management Technology, AMT) и виртуализация (Intel Virtualization Technology, VT)
Вывод
Исходя из всей вышеприведенной информации можно сделать вывод — пытаться отключить Intel ME нет смысла, официальных способов нет.
Отсутствие драйвера скорее всего не вызовет никаких критических проблем в работе Windows. Однако установить его все таки стоит, хотя бы из-за рекомендации Intel.
Учтите, что без ME у вас могут быть проблем с автоматической регулировкой оборотов вентилятора. В разгоне процессора также могут быть проблемы. Возможно драйвер имеет отношение к автоматическому сбросу частоты процессора в простое.
Details
The Intel® Dynamic Application Loader (Intel® DAL) is a unique feature of Intel® platforms that allows you to run small portions of Java* code on Intel® Converged Security and Management Engine (Intel® CSME) firmware. It is available on most Intel® Core™ and Intel Atom® processors.
Intel® DAL includes the following benefits:
On individual devices, a portion of the Intel CSME firmware is made available for third-party use. Install a small Java applet of your own design (called a trusted application) on the firmware. You can also create a host application that runs on the device’s Windows*, Android*, or Linux* operating system.
The host application executes its nonsensitive code in normal system memory. However, if a small function needs to be run in a secure environment outside of the operating system, the host application does not run this function by itself. Instead, it uses the Java host interface API to send a command to the applet. The applet executes the function in the Intel DAL secure environment and returns a response to the host application.
Typical Applet Functions
The isolated environment protects running code from spying and interference from malware that may be running on the operating system.
Key Features
Most snippets of simple Java code can be run in the Intel DAL environment (with certain limitations, such as a maximum package size and certain unavailable data types). Try these useful features in your applets.
The Intel DAL environment contains ready-to-use implementations of common encryption algorithms that include AES, RSA, ECDSA, SHA, HMAC, random number generator, and more.
Using the encryption capability of integrated graphics from Intel, this prevents the scraping of sensitive content from the display. The sensitive content is displayed in a window that can be seen only by the user sitting physically in front of the screen. To the operating system or any malware that may be running on it, that portion of the screen is blank. This makes it an ideal place to enter or display passwords.
The API provides an interface for the Intel DAL trusted applications to access the services provided by Intel® Active Management Technology (Intel® AMT). These services enable IT managers to remotely discover, repair, and help protect networked computing assets.
Send and receive events (for example, timeouts) from other trusted applications or native services.
This feature allows a service-trusted application to provide certain platform services (such as secure screen output) to other client-trusted applications via internal sessions.
For certain types of IoT platforms, Intel allows OEMs to sign Intel DAL trusted applications instead of submitting them to Intel. The applications can then be run on the platforms manufactured by the OEMs.
Intel DAL supports using TLS to establish a secure session between the Intel DAL environment and a remote server.
Intel recommends this algorithm for attestation of a trusted system while preserving privacy. It is used as part of the SIGMA protocol, and is used by Intel DAL applets for attestation.
Intel DAL supports a small amount of storage for use by trusted applications. This storage can be used for sensitive information that, if lost, would compromise a trusted application.
Get and set a secure time using the platform’s protected run-time clock (PRTC). Secure time means a time that cannot be tampered with (for example, by hackers). Secure time is used for date and time checks required for transport layer security (TLS) and Kerberos usage (a network authentication protocol). It is also used for timestamps for events and logging, and maintaining alarms for the Intel AMT alarm clock feature.
Intel DAL supports both shared and non-shared sessions between host applications and applets. In a shared session, multiple host applications connect to a single instance of the applet. In non-shared sessions, each host application connects to a separate instance of the applet.
Set asynchronous callbacks that cause functions in an applet to be invoked at specified times.