Microsoft в сътрудничество с Intel, Qualcomm и AMD мобилни системи с хардуерна защита срещу атаки чрез фърмуер. Компанията беше принудена да създаде такива изчислителни платформи от нарастващия брой атаки срещу потребители от така наречените „хакери с бели шапки“ - групи от хакерски специалисти, подчинени на правителствени агенции. По-специално, експертите по сигурността на ESET приписват подобни действия на група руски хакери APT28 (Fancy Bear). Твърди се, че групата APT28 е тествала софтуер, който изпълнява злонамерен код, докато зарежда фърмуер от BIOS.
Заедно експертите по киберсигурност на Microsoft и разработчиците на процесори представиха силиконово решение под формата на хардуерен корен на доверие. Компанията нарече такива компютри Secured-core PC (PC със защитено ядро). Понастоящем компютрите със защитено ядро включват редица лаптопи от Dell, Lenovo и Panasonic и таблета Microsoft Surface Pro X. Тези и бъдещи компютри със защитено ядро трябва да предоставят на потребителите пълна увереност, че всички изчисления ще бъдат надеждни и няма да доведат до компрометиране на данни.
Досега проблемът със здравите персонални компютри беше, че микрокодът на фърмуера беше създаден от дънната платка и системните OEM производители. Всъщност това беше най-слабото звено във веригата за доставки на Microsoft. Игралната конзола Xbox например от години работи като Secured-core платформа, тъй като сигурността на платформата на всички нива – от хардуер до софтуер – се следи от самия Microsoft. Това не беше възможно с компютър досега.
Microsoft взе просто решение да премахне фърмуера от счетоводния списък по време на първоначалната проверка на пълномощното. По-точно, те възложиха процеса на проверка на процесора и специален чип. Това изглежда използва хардуерен ключ, който е записан в процесора по време на производството. Когато фърмуерът се зареди на компютъра, процесорът го проверява за сигурност и дали може да му се вярва. Ако процесорът не е попречил на зареждането на фърмуера (прие го като надежден), контролът върху компютъра се прехвърля към операционната система. Системата започва да счита платформата за доверена и едва след това, чрез процеса Windows Hello, позволява на потребителя достъп до нея, като също осигурява сигурно влизане, но на най-високо ниво.
В допълнение към процесора, чипът System Guard Secure Launch и товарачът на операционната система участват в хардуерната защита на корена на доверие (и целостта на фърмуера). Процесът включва и технология за виртуализация, която изолира паметта в операционната система, за да предотврати атаки срещу ядрото на ОС и приложенията. Цялата тази сложност е предназначена да защити преди всичко корпоративния потребител, но рано или късно нещо подобно вероятно ще се появи в потребителските компютри.
Източник: 3dnews.ru