Кампанія Microsoft у садружнасці з кампаніямі Intel, Qualcomm і AMD мабільныя сістэмы з апаратнай абаронай ад нападаў праз прашыўку. Стварыць падобныя вылічальныя платформы кампанію вымусілі якія пачасціліся напады на карыстачоў са боку так званых «белых хакераў» ― груп адмыслоўцаў па ўзломе, падпарадкаваных урадавым структурам. У прыватнасці, спецыялісты па бяспецы ESET прыпісваюць падобныя дзеянні групе расійскіх хакераў APT28 (Fancy Bear). Група APT28 нібы тэставала ПА, якое запускала шкодны код падчас загрузкі прашыўкі з BIOS.
Сумеснымі намаганнямі спецыялісты па кібербяспецы Microsoft і распрацоўшчыкі працэсараў прадставілі нейкае крамянёвае рашэнне ў выглядзе апаратнага кораня даверу. Такія ПК кампанія назвала Secured-core PC (ПК з абароненым ядром). У сапраўдны момант да Secured-core PC ставіцца шэраг наўтбукаў кампаній Dell, Lenovo і Panasonic і планшэт Microsoft Surface Pro X. Гэтыя і будучыя ПК з абароненым ядром павінны гарантаваць карыстачам поўную ўпэўненасць у тым, што ўсе вылічэнні будуць даверанымі і не прывядуць да кампраметацыі дадзеных .
Да гэтага часу праблема з абароненымі ПК была ў тым, што мікракод прашывак стваралі OEM-вытворцы матчыных поплаткаў і сістэм. Фактычна гэта было самым слабым звяном у ланцужку паставак Microsoft. Гульнявая прыстаўка Xbox, напрыклад, гадамі працуе як платформа Secured-core, паколькі за бяспекай платформы на ўсіх узроўнях - ад апаратнага да праграмнага - сочаць у самой Microsoft. З ПК да гэтага часу такое было немагчыма.
У Microsoft прынялі простае рашэнне выкінуць прашыўку са спісу ўліку пры першаснай праверцы на даверанасць. Дакладней, яны аддалі працэс праверкі працэсару і спецыяльнаму чыпу. Падобна, пры гэтым выкарыстоўваецца апаратны ключ, які запісваецца ў працэсар на этапе вытворчасці. У момант загрузкі прашыўкі на ПК працэсар правярае яе на бяспеку, ці можна ёй давяраць. Калі працэсар не прадухіліў загрузку прашыўкі (прыняў яе за давераную), кантроль над ПК перадаецца аперацыйнай сістэме. Сістэма пачынае лічыць платформу даверанай, і толькі затым праз працэс Windows Hello дапушчае да яе карыстача, таксама забяспечваючы абаронены ўваход, але ўжо на вышэйшым узроўні.
Акрамя працэсара ў апаратнай абароне кораня даверу (і цэласнасці прашыўкі) удзельнічаюць чып System Guard Secure Launch і загрузнік аперацыйнай сістэмы. Таксама ў працэс уключана тэхналогія віртуалізацыі, якая ізалюе памяць у аперацыйнай сістэме для недапушчэння нападаў на ядро АС і прыкладанні. Уся гэтая складанасць заклікана абараніць, у першую чаргу, карпаратыўнага карыстальніка, але рана ці позна нешта падобнае напэўна з'явіцца ў спажывецкіх ПК.
Крыніца: 3dnews.ru