Компания
191,17
рейтинг
3 февраля 2012 в 14:17

Разное → Intel Anti-Theft ― отряд специального назначения



Каждые 53 секунды в мире крадут ноутбук. В одних только американских аэропортах число похищенных ноутбуков доходит до 12 тыс. еженедельно. Около половины из них содержат конфиденциальные данные в незашифрованном виде. Такую занимательную статистику приводит компания Intel на официальном сайте.
В своей заметке я расскажу о том, какие шаги сделала Intel в сторону изменения этой печальной статистики.

Для начала — немного громких заголовков об утере конфиденциальной или даже секретной правительственной информации.
  • «В Бостоне украден ноутбук инвестиционной компании Fidelity Investments. Компьютер содержал конфиденциальные данные о почти 2 тыс. счетов своих клиентов».
  • «Из автомобиля сотрудника компании Ameriprise Financial Inc. был украден ноутбук с персональными данными более 2 тыс. человек».
  • И даже такое:
    «Агент MI5 (Британской службы контрразведки) потерял ноутбук, содержащий секретную правительственную информацию».

Технология Intel AT или Anti-Theft Technology призвана покончить с этим безобразием.
Ее поддержка уже реализована в платформах Intel с процессорами Core i3, i5, i7. В настоящее время технология получает активное продвижение в связи с появлением ультрабуков ― легких и удобных для работы в дороге устройств. Так как это в большинстве своем компактные и дорогие гаджеты, вопросы безопасности имеют здесь критическое значение.

Так как же безопасность обеспечивается на деле?

Компьютер, поддерживающий технологию Intel AT, может быть деактивирован так называемой «таблеткой с ядом» (poison pill). Это зашифрованное sms сообщение, которое передается через сеть 3G. Кроме того, в режиме блокировки ноутбук через заданные интервалы времени сообщает свои географические координаты.
Для этой дополнительной функции отслеживания при покупке девайса нужно заранее проверить наличие совместимого 3G/GPS модуля. На фото показан такой модуль от компании Sony-Ericsson.



Взаимодействие между чипсетом и 3G модулем происходит на аппаратном уровне. Таким образом, переустановка операционной системы и даже замена жесткого диска (которая, по сути, немногим сложнее замены сим-карты в мобильном телефоне) не могут отключить защиту ноутбука.

Аппаратная поддержка Intel Anti-Theft заложена в том блоке чипсета, который называется Management Engine (ME). ME управляет ноутбуком до загрузки операционной системы и, в частности, управляет работой системы питания. Также он отвечает за хранение ключей системы шифрования данных. В случае инициализации процедуры блокировки компьютера система не проходит POST.

Немаловажно, что владелец компьютера получает подтверждение его блокировки. Процесс деактивации является обратимым. Если удастся вернуть ноутбук, его можно легко реанимировать.


Ряд других функций:

  • На украденный ноутбук администратор может послать сообщение, которое злоумышленник увидит при включении.
  • Повторные неудачные попытки авторизации приводят к блокировке системы. Количество разрешенных попыток задается администратором.
  • Можно заранее задать географическую область, за пределами которой ноутбук блокируется.
  • Еще одна интересная функция — это обязательные “чекины” или “рандеву” с центральным сервером через заранее заданные интервалы. Если компьютер их пропускает, то он блокируется до тех пор, пока администратор его не реактивирует.

Так выглядит экран заблокированного компьютера:



Уже сейчас на рынке представлены решения с поддержкой этой технологии от всех крупных игроков рынка ноутбуков: Acer, Asus Dell, Fujitsu, HP, Lenovo, Sony, и других. Полный список можно посмотреть по ссылке.

Для того чтобы защитить ноутбук, нужно зайти на страницу atservice.intel.com и создать учетную запись, используя код активации с карточки, которая поставляется в комплекте с ноутбуком.
Затем осуществляется привязка компьютера к аккаунту с помощью специального приложения. После того как компьютер зарегистрирован в системе, пользователь через web-интерфейс может настраивать интервалы «рандеву» с сервером, менять сообщение которое показывается в режиме блокировки и, наконец, в любой момент объявить систему в розыск.
Intel AT работает по всему миру, в том числе и в России. К сожалению, на данной момент веб-интерфейс имеет только англоязычную версию.

Заключение.




Казалось бы, данная технология интересна только крупным компаниям, которым нужно обеспечить сохранность своих конфиденциальных данных. Однако вряд ли кому-то из обычных пользователей захочется, чтобы их частная переписка, фото- и видеоматериалы вместе с сохраненными паролями стали достоянием злоумышленников. Поэтому технология в высшей степени востребована, а ее повсеместное внедрение позволит снизить привлекательность ноутбука как объекта кражи. Ведь похищенный девайс с таким встроенным сервисом в худшем случае превратится в бесполезный кирпич, в лучшем — приведет напрямую к грабителю.
Автор: @nE0
Intel
рейтинг 191,17

Комментарии (51)

  • +13
    Если я все верно понял, то какой смысл «защищать ноутбук», если по-прежнему можно вынуть жесткий диск и слить с него информацию?
    Хотя, конечно, эта система — серьезный шаг в развитии технологий защиты.

    Ну и логотип с кусающимся буком привлекает))
    • +4
      Есть такая штука как шифрование. хД
      • +7
        Шифрование можно использовать и без описанной здесь технологии.
        • 0
          Да, но одно лишь шифрование не поможет предотвратить использование самого ноутбука похитителем при замене HDD.
    • +1
      ну наверное для комплексной защиты еще было бы неплохо и винчестер шифровать )
    • 0
      Ну думаю после кражи вор его все таки включит, а не побежит сразу винт доставать, а раз включил значит можно винт и почистить
    • +8
      Также Management Engine отвечает за хранение ключей системы шифрования данных.
      Поэтому просто слить не получится.
    • +3
      Осталось приделать этому кусающемуся буку ножки, чтобы к хозяину сам прибегал. :)
      • +2
        Вспоминается Пратчетт с его сундуком.)
    • +2
      Я думаю от силы 0.1% ноутбуков крадутся ради именно информации. Большинство — ради железа. А если вор будет знать, что украденный ноут в полночь превратится в тыкву бесполезен — то и красть не будет.
      • +3
        Мда, мысль о том что он будет тупо разобран современных IT профессионалов не посещает.
        Отвертка — убер девайс хакера :)
    • 0
      система — серьёзный шаг в развити технологий слежения
      кто знает, что ещё эта таблетка делает, но то, что по ненй можно отслеживать местонахождения владельца ноутбука — точно
      • 0
        Интересно, если подрезать некоторые ноги ME, или заглушить 3g, или перепрошить биос на программаторе, то ноут можно будет запустить?
        Как уже сказали, ноуты обычно воруют ради железа, и содержимое HDD в данном случае особой роли не играет.
        • 0
          AT отключается в БИОСе, причем там даже есть возможно отключить её навсегда (не уточнял что это значит).
  • +5
    Жесткий диск шифруется, причем ключ хранится в интегрированной на плате ноутбука памяти. Если ноутбук «объявляется в розыск» эта область памяти стирается. Так что все под контролем.
    • +1
      А как потом происходит разблокирование? Ключ хранится где-то на сервере?
      • 0
        Я понял именно так.
      • +1
        Если посмотреть на FAQ, то можно увидеть следующие: «SDV Maintenance – This maintenance function allows you to recover your SDV containers (where you store your sensitive data) to another PC from a backup if your PC is lost, stolen, or disabled. See the user guide for more instructions. „

        Значить все таки какой то механизм есть.
        • +1
          Насколько я понимаю, AT-p лишь блокирует TPM либо доступ к дискам. А для шифрования используется уникальный ключ из TPM, который нельзя изменить или удалить.
          • +1
            А хотя нет, кроме endorsement key есть ещё storage root key, который изменяется пользователем.
  • +1
    А, ну в таком случае — все отлично! Добавьте в статью, пожалуйста.
  • +3
    То есть теперь айфоны с Find My iPhone после кражи сразу выключаются и перепрошиваются, а ноутбуки будут помещаться в железный ящик (от 3G) и потом из SIM-слота вытаскиваться симка?

    На самом деле, имхо, это классное решение. Вместе с шифрованием диска возможность удаленной блокировки делает современный ноутбук таким же защищенным, как и современный (правильно настроенный) смартфон. Другими словами, если всем устройствам добавить такую фичу (а пользователей научить её активировать), то количество краж постепенно сократится. Ну, не сразу, наверное. Но, видимо, еще на нашем веку.

    Или это всё мечты сумасшедшего гика?
    • 0
      А что вы подразумеваете под правильно настроенным смартфоном?
    • 0
      Не. Оно без физическо 3Г модуля не пускает.
  • +3
    А можно поподробнее о 3G/GPS модуле? Кто платит за сообщения-трафик? Нужна ли для модуля сим-карта, или он поставляется уже с предустановленной картой от глобального оператора? Какие GSM операторы в России поддерживают данный сервис? Что произойдет в случае невозможности определить координаты GPS? Кто-нибудь проверял работу системы в родных пенатах на практике?

    Для этой дополнительной функции отслеживания при покупке девайса нужно заранее проверить наличие совместимого 3G/GPS модуля. На фото показан такой модуль от компании Sony-Ericsson.


    Наконец, самый главный вопрос: а что если вместо зашифрованного диска вытащить сам модуль? Гарантируется ли сброс ключа криптографической защиты при попытке вмешательства в модуль Anti-Theft?

    Похоже, нужно писать продолжение в виде практического теста этой технологии. За вводную статью — спасибо!
    • +1
      Да, мне самому интересно поведение системы, в следующих случаях:
      * отсутствие самого модуля безопасности
      * отсутствие сигнала GPS/3G в течении длительного времени при наличии модуля

      А так же самое интересное, возможная процедура «деактивации блокировки»…

      Если честно, создается впечатление, что это просто очередной маркетинговий хайп.
      • 0
        1) AT-p реализована в чипсете, так что его просто так не вытащить
        2) Это настраивается, о чем написано в статье
        • 0
          Пардон, я имел в виду 3G модуль, а не модул(ь|и) отвенственны(й|е) за АТ в чипсете. Т.е. если банально не будет связи.
          • 0
            Еще одна интересная функция — это обязательные “чекины” или “рандеву” с центральным сервером через заранее заданные интервалы. Если компьютер их пропускает, то он блокируется до тех пор, пока администратор его не реактивирует.
  • 0
    За исходящие сообщения с координатами платит пользователь, в ноутбуке должен быть слот для сим-карты, а в нем собственно сим-карта. По своему опыту скажу, что как правило разъем находится за батареей найти его непросто. К сожалению своими руками мне пока протестировать работу данной системы не довелось, но технически совсем не сложно предусмотреть блокировку при удалении сим-карты или модуля. Уточню этот вопрос.
    • 0
      Печально, в связи с любовью российских операторов самостоятельно менять тарифный план на гораздо более дорогой или отключать контракт при отсутствии активности.
  • +3
    А еще украденный ноут можно сложить в свинцовый кейс, чтобы смс на ноут не пришла. И тогда до следующего чекпоинта, когда бук должен бы выйти на связь, можно спокойно поработать за ним.

    На этот случай было бы хорошо, наверное, предусмотреть еще один вариант — радиометку у пользователя, при отдалении от которой ноут блочится. Ну или еще что-нибудь для параноиков.
    • 0
      зачем же в кейс, можно просто откусить/повредить антенну перед включением…
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      ХР с соответстсвующим по и выше и последние KDE точно умеют блочиться по исчезании из зоны действия блутус вашего телефона.
      у меня в свое время так комп блокировался — нет рядом телефона — досвиданья.
      Не считая штатной автоматической блокировки аккаунта по истечении определенного интервала времени/включении заставки/убирания морды лица с изображения от вебкамеры/придумать что-то свое.
  • +1
    >Кроме того, в режиме блокировки ноутбук через заданные интервалы времени сообщает свои географические координаты.
    Intel collects personal information such as your name, address, email address, and payment card information for a variety of reasons.
    Intel may share your personal information with Intel Corporation in the US, with any Intel subsidiary worldwide, or with authorized third parties.
    We may need to access or disclose your personal information to comply with the law or legal process and to exercise our legal rights or defend against legal claims.
    We may transfer your personal information to third parties located in another country for purposes of processing, storage, or fulfillment.

    Жизнь параноика становится все более невыносимой.
    • +1
      Интел утверждает, что пока не включен режим блокировки, она не получает GPS координаты. К тому же параноидально настроенные личности могут отключить AT в BIOS.
      • +5
        Как это в стиле параноиков — купить ноут с системой защиты от кражи, чтобы ее отключить, т.к. она собирает данные!
        • +1
          Когда ничего другого нет, приходится или брать что есть, или идти до конца и читать интернеты через емакс.
  • +1
    Спасибо за обзор. В блоге Lenovo обещали выложить большую статью про средства защиты корпоративных ноутбуков, надеюсь, там распишут подробнее интеграцию AT-p с TPM и т.п…
    • 0
      Пожалуйста :)
  • 0
    Спасибо за обзор. В блоге Lenovo обещали выложить большую статью про средства защиты корпоративных ноутбуков, надеюсь, там распишут подробнее AT-p, TPM и прочее.
  • 0
    какова цена услуги?
    • 0
      Если вы покупаете ноутбук с поддержкой Intel AT услуга для вас бесплатна.
      Купон с кодом активации находится в коробке с ноутбуком, никакой абонентской платы не существует.
      • 0
        А есть пример такого ноутбука? Ни с одним ThinkPad кодов не видел, хотя на всех заявлена поддержка AT.
  • +2
    У меня Lenovo X220, в нем есть некий Security Chip(шифрование диска?), Intel AT и Computrace, нет 3G модуля и GPS. И еще я пользуюсь linux.
    Что такое Computrace? Аналогичная технология, но не от Intel? Как мне использовать Security Chip под linux? (aes-ni не заблокирован, ноутбук из США). Как будет работать Computrace или AT без 3G/GPS?
    • 0
      Без 3G модуля работать не будет. Как Вы себе это представляете?
      Думаю от операционки блокировка никак не зависит, ибо написано: модуль начинает работу сразу после включения и до загрузки ОС.
      По поводу Computrace. Возможно это получение координат по GPS (которого у Вас нет, но, видимо, его можно установить) + какие-либо настройки отправки этих координат через 3G (Опять таки которого у Вас нет). И повторюсь: от ОС это не должно зависеть.
      • 0
        AT раньше работала (видимо и сейчас так, давно не проверял) и без 3G, можно настроить Management Engine на переодическую отправку сообщений по доступным каналам связи (wifi, lan).
        • 0
          Это так.
  • 0
    используя код активации с карточки, которая поставляется в комплекте с ноутбуком


    А как быть если такого кода с ноутбуком не было? Я докупал 3G-модуль отдельно, возможно в этом причина.
    Где можно получить код активации?
  • 0
    Самым выгодным окажется производство наклеек. Я бы себе купил пару… даже пяток (на десктоп-компьютер, телефоны и холодильник)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное