Microsoft ve spolupráci s Intel, Qualcomm a AMD mobilní systémy s hardwarovou ochranou proti útokům prostřednictvím firmwaru. Společnost byla nucena vytvořit takové výpočetní platformy rostoucím počtem útoků na uživatele ze strany takzvaných „white hat hackerů“ – skupin hackerských specialistů podřízených vládním agenturám. Bezpečnostní experti ESET připisují takové jednání zejména skupině ruských hackerů APT28 (Fancy Bear). Skupina APT28 údajně testovala software, který spouštěl škodlivý kód při načítání firmwaru z BIOSu.
Odborníci na kybernetickou bezpečnost společnosti Microsoft a vývojáři procesorů společně představili křemíkové řešení v podobě hardwarového kořene důvěry. Společnost takové počítače nazývala Secured-core PC (PC se zabezpečeným jádrem). V současnosti mezi počítače se zabezpečeným jádrem patří řada notebooků Dell, Lenovo a Panasonic a tablet Microsoft Surface Pro X Tyto a budoucí počítače se zabezpečeným jádrem by měly uživatelům poskytnout naprostou jistotu, že všechny výpočty budou důvěryhodné a nepovedou k. kompromitace dat.
Až dosud byl problém odolných počítačů v tom, že mikrokód firmwaru vytvářela základní deska a výrobci OEM systému. Ve skutečnosti šlo o nejslabší článek dodavatelského řetězce Microsoftu. Například herní konzole Xbox funguje jako Secured-core platforma už léta, protože bezpečnost platformy na všech úrovních – od hardwaru po software – sleduje sám Microsoft. To dosud u PC nebylo možné.
Microsoft se při prvotním ověření plné moci rozhodl jednoduše odstranit firmware z účetního seznamu. Přesněji řečeno, ověřovací proces outsourcovali na procesor a speciální čip. Zdá se, že se používá hardwarový klíč, který je zapsán do procesoru během výroby. Když je firmware nahrán do PC, procesor zkontroluje jeho bezpečnost a zda mu lze důvěřovat. Pokud procesor nezabránil načtení firmwaru (přijal jej jako důvěryhodný), je kontrola nad PC přenesena na operační systém. Systém začne platformu považovat za důvěryhodnou a teprve poté, prostřednictvím procesu Windows Hello, umožní uživateli k ní přístup, rovněž poskytuje bezpečné přihlášení, ale na nejvyšší úrovni.
Na hardwarové ochraně kořene důvěry (a integrity firmwaru) se kromě procesoru podílí čip System Guard Secure Launch a zavaděč operačního systému. Proces také zahrnuje technologii virtualizace, která izoluje paměť v operačním systému, aby se zabránilo útokům na jádro OS a aplikace. Celá tato složitost má chránit především firemního uživatele, ale dříve nebo později se pravděpodobně něco podobného objeví i ve spotřebitelských PC.
Zdroj: 3dnews.ru