O que os processadores vPro da Intel têm de diferença na prática?

Recentemente comecei a trabalhar em uma empresa e o notebook que forneceram inclui um i7 vPro. Muito pesquisei pra saber as diferenças mas não achei nada que fosse mais a fundo do que o marketing que a própria Intel anuncia: mais segurança, estabilidade e desempenho pro mercado corporativo, além de funções remotas.

Mas traduzindo em recursos no dia a dia, o que realmente eles têm de diferente na prática?

E no caso dessas funções remotas, o que a empresa consegue fazer de fato de forma remota no computador? Ela conseguiria ver, por exemplo, tempo de uso, softwares usados ou algo semelhante?

Acredito que seja a mesma coisa que Ryzen e Ryzen Pro.

Se for via software, tu consegue até nos outros CPUs.

O selo vPro é uma certificação para o hardware como um todo. Significa que a plataforma (seu PC) atende a um conjunto de requisitos que (segundo os critérios da Intel) são adequados para máquinas empresariais.

Junto a isso, como você bem notou, os hardwares vPro permitem que a empresa consiga gerenciar o parque de máquinas remotamente via plataforma Intel AMT.

Agora permita-me abrir a caixa de Pandora…

Sobre o que eles podem fazer com isso? Não sou expert no assunto, mas essa breve descrição no site deles dá uma ideia do quão “potente” esse gerenciamento pode ser:

Implante Controle Remoto Potente

A Intel® Active Management Technology baseada em hardware fornece conectividade fora de banda persistente que opera independentemente do SO, permitindo correções para uma ampla gama de problemas de sistemas, mesmo quando o SO está inativo. Repare drivers corrompidos, software de aplicativos ou o SO de sistemas que não respondem e que não rodarão, inicializarão, ou usarão KVM para monitorar atualizações do SO ou inicializar o BIOS do sistema.

Chama atenção o “opera independentemente de SO” e a capacidade de manipular a BIOS. Operar independente de SO só é possível porque as CPUs da Intel tem um SO oculto implementado a nível de hardware.

Eu acho que eles conseguem fazer muita coisa bypassando qualquer segurança a nível de software. Pois sendo uma API direta do processador, o nível pode ser baixo demais pra qualquer antivírus ou coisa parecida. Em teoria até a BIOS pode ser manipulada com isso aí. Logo, é bem abrangente.

Em suma, eles podem ter um poder razoavelmente alto sobre a máquina. Resta saber se sua empresa tem interesse (e know-how) para operar essas funcionalidades.

Por último, um fato interessante (e talvez preocupante). As CPUs da Intel possuem um mini Sistema Operacional dentro delas, o MINIX. Implementado dentro do processador. Isolado e oculto a nível de hardware. Então imagina a capacidade que ele pode fornecer no que diz respeito a gerenciamento remoto e monitoramento. É claro, o MINIX está diretamente relacionado com as capacidades do vPro (mais detalhes aqui).

Pra piorar, esse MINIX ainda possuiriam pilha TCP/IP o que teoricamente dá a ele capacidade de enviar e receber informações remotamente. Mais informações sobre isso.

Fun fact: muitos desconhecem a existência do MINIX dentro das CPUs Intel. E por isso, há quem acredite que na verdade o MINIX é o sistema operacional mais usado do mundo, pois independente de você estar executando Windows ou Linux, você sempre estará executando o MINIX sem saber. O lado menos legal é que também muitos acreditam que ele pode ser o backdoor definitivo. Pois implementando diretamente no metal ele seria indetectável, imbatível e talvez ilimitado.

A grande lição é que as CPUs x86 são grandes caixas pretas. Logo, difícil saber tudo do que são capazes com total precisão.

A Electronic Frontier Foundation fala a mesma coisa, por isso que eles falam para evitar Intel e usar AMD

Verdade. Há quem diga que a AMD tem algo parecido. Mas sei ainda menos sobre isso que sobre o Intel ME. Aliás, dizem que ele pode ser desativado parcialmente (mas nunca totalmente) de uma forma não trivial. Dizem que esse “killswitch” foi feito a pedido da NSA como um requisito para proteção das máquinas governamentais. E que essa tal flag que desabilita o ME foi descoberta por acaso.

De qualquer forma, acho que a plataforma da Intel deva ser menos confiável que a da AMD.

Pra que ter medo da espionagem chinesa? hahaha

Acho a mesma coisa.

Só que vejo a AMD indo muito para o open source, mas tem um porém, não sei se por quer ou se tem haver com aquela invasão e vazamento que eles sofreram

To loco pra chegar os chips Risc-V para computadores e notebooks

Na verdade a implementação e execução do Intel Management Engine (Intel ME) é dentro do chipset da máquina, não no processador em si. Para funcionalidade total é necessário uma CPU vPro (o Intel AMT que você mencionou é executado dentro do ME, que por sua vez fica no chipset).

Todos os processadores AMD lançados a partir de 2013 implementam o AMD Platform Security Processor, que é essencialmente a versão dela do Intel ME. A principal diferença é que a solução da Intel é implementada como um co-processador x86 dentro do chipset da máquina, enquanto a solução da AMD é implementada como um co-processador ARM diretamente no núcleo da CPU.

Se você considera a plataforma da Intel menos segura por conta do Management Engine, também deveria evitar CPUs da AMD, o nível de funcionalidade do AMD PSP é praticamente o mesmo. Aliás, por ser mais escrutinado, existem vários métodos para desabilitar grande parte do Intel ME (deixando apenas o mínimo necessário para dar boot na máquina), enquanto o AMD PSP não tem nada equivalente…

Este tópico foi fechado automaticamente 30 dias depois da última resposta. Novas respostas não são mais permitidas.