Microsoft in samewerking met Intel, Qualcomm en AMD mobiele stelsels met hardewarebeskerming teen aanvalle via firmware. Die maatskappy is gedwing om sulke rekenaarplatforms te skep deur die toenemende aantal aanvalle op gebruikers deur sogenaamde "white hat hackers" - groepe inbraak-spesialiste wat ondergeskik is aan regeringsagentskappe. Veral ESET-sekuriteitskenners skryf sulke aksies toe aan 'n groep Russiese hackers APT28 (Fancy Bear). Die APT28-groep het na bewering sagteware getoets wat kwaadwillige kode uitgevoer het terwyl hulle firmware vanaf die BIOS gelaai het.
Saam het Microsoft-kubersekuriteitskundiges en verwerkerontwikkelaars 'n silikonoplossing in die vorm van 'n hardeware-wortel van vertroue aangebied. Die maatskappy noem sulke rekenaars Secured-core PC (PC met 'n veilige kern). Tans sluit beveiligde-kern-rekenaars 'n aantal skootrekenaars van Dell, Lenovo en Panasonic en die Microsoft Surface Pro X-tablet in. Hierdie en toekomstige rekenaars met 'n veilige kern behoort gebruikers volkome vertroue te bied dat alle berekeninge vertrou sal word en nie sal lei tot data kompromie.
Tot nou toe was die probleem met robuuste rekenaars dat die firmware-mikrokode deur die moederbord en stelsel-OEM's geskep is. Trouens, dit was die swakste skakel in Microsoft se voorsieningsketting. Die Xbox-spelkonsole, byvoorbeeld, werk al jare lank as 'n Secured-core-platform, aangesien die sekuriteit van die platform op alle vlakke - van hardeware tot sagteware - deur Microsoft self gemonitor word. Dit was tot nou toe nie moontlik met PC nie.
Microsoft het 'n eenvoudige besluit geneem om die firmware van die rekeningkundige lys te verwyder tydens die aanvanklike verifikasie van die volmag. Meer presies, hulle het die verifikasieproses aan die verwerker en 'n spesiale skyfie uitgekontrakteer. Dit blyk 'n hardewaresleutel te gebruik wat tydens vervaardiging na die verwerker geskryf word. Wanneer die firmware op die rekenaar gelaai word, kontroleer die verwerker dit vir sekuriteit en of dit vertrou kan word. As die verwerker nie verhoed het dat die firmware laai nie (dit het dit as vertroud aanvaar), word beheer oor die rekenaar na die bedryfstelsel oorgedra. Die stelsel begin om die platform as vertroud te beskou, en eers dan, deur die Windows Hello-proses, laat die gebruiker toegang daartoe, wat ook veilige aanmelding verskaf, maar op die hoogste vlak.
Benewens die verwerker, is die System Guard Secure Launch-skyfie en die bedryfstelsellaaier betrokke by die hardewarebeskerming van die wortel van vertroue (en firmware-integriteit). Die proses sluit ook virtualiseringstegnologie in, wat geheue in die bedryfstelsel isoleer om aanvalle op die OS-kern en toepassings te voorkom. Al hierdie kompleksiteit is bedoel om eerstens die korporatiewe gebruiker te beskerm, maar vroeër of later sal iets soortgelyks waarskynlik in verbruikersrekenaars verskyn.
Bron: 3dnews.ru