Microsoft mewn cydweithrediad ag Intel, Qualcomm ac AMD systemau symudol gyda diogelwch caledwedd rhag ymosodiadau trwy firmware. Gorfodwyd y cwmni i greu llwyfannau cyfrifiadurol o’r fath gan y nifer cynyddol o ymosodiadau ar ddefnyddwyr gan yr hyn a elwir yn “hacwyr het wen” – grwpiau o arbenigwyr hacio sy’n isradd i asiantaethau’r llywodraeth. Yn benodol, mae arbenigwyr diogelwch ESET yn priodoli gweithredoedd o'r fath i grŵp o hacwyr Rwsiaidd APT28 (Fancy Bear). Honnir bod y grŵp APT28 wedi profi meddalwedd a oedd yn rhedeg cod maleisus wrth lwytho firmware o'r BIOS.
Gyda'i gilydd, cyflwynodd arbenigwyr cybersecurity Microsoft a datblygwyr proseswyr ateb silicon ar ffurf sylfaen caledwedd o ymddiriedaeth. Galwodd y cwmni PCs o'r fath yn PC Secured-core (PC gyda chraidd diogel). Ar hyn o bryd, mae cyfrifiaduron craidd Diogel yn cynnwys nifer o liniaduron gan Dell, Lenovo a Panasonic a llechen Microsoft Surface Pro X. Dylai'r rhain a chyfrifiaduron personol yn y dyfodol gyda chraidd diogel roi hyder llwyr i ddefnyddwyr y bydd pob cyfrifiad yn ymddiried ynddo ac na fydd yn arwain at hynny cyfaddawdu data.
Hyd yn hyn, y broblem gyda PCs garw oedd bod y microcode firmware wedi'i greu gan y motherboard a OEMs system. Mewn gwirionedd, dyma'r cyswllt gwannaf yng nghadwyn gyflenwi Microsoft. Mae consol hapchwarae Xbox, er enghraifft, wedi bod yn gweithredu fel platfform craidd Diogel ers blynyddoedd, gan fod diogelwch y platfform ar bob lefel - o galedwedd i feddalwedd - yn cael ei fonitro gan Microsoft ei hun. Nid oedd hyn yn bosibl gyda PC tan nawr.
Gwnaeth Microsoft benderfyniad syml i dynnu'r firmware oddi ar y rhestr gyfrifo yn ystod y dilysiad cychwynnol o'r pŵer atwrnai. Yn fwy manwl gywir, fe wnaethant allanoli'r broses ddilysu i'r prosesydd a sglodyn arbennig. Mae'n ymddangos bod hyn yn defnyddio allwedd caledwedd sy'n cael ei ysgrifennu at y prosesydd yn ystod y gweithgynhyrchu. Pan fydd y firmware yn cael ei lwytho ar y PC, mae'r prosesydd yn ei wirio am ddiogelwch ac a ellir ymddiried ynddo. Os na wnaeth y prosesydd atal y firmware rhag llwytho (derbyniodd ei fod yn ymddiried ynddo), trosglwyddir rheolaeth dros y PC i'r system weithredu. Mae'r system yn dechrau ystyried y platfform y gellir ymddiried ynddo, a dim ond wedyn, trwy'r broses Windows Hello, mae'n caniatáu i'r defnyddiwr gael mynediad iddo, gan ddarparu mewngofnodi diogel hefyd, ond ar y lefel uchaf.
Yn ogystal â'r prosesydd, mae'r sglodyn System Guard Secure Launch a'r llwythwr system weithredu yn ymwneud â diogelu caledwedd gwraidd ymddiriedaeth (a chywirdeb firmware). Mae'r broses hefyd yn cynnwys technoleg rhithwiroli, sy'n ynysu cof yn y system weithredu i atal ymosodiadau ar y cnewyllyn OS a chymwysiadau. Bwriad yr holl gymhlethdod hwn yw amddiffyn, yn gyntaf oll, y defnyddiwr corfforaethol, ond yn hwyr neu'n hwyrach mae'n debyg y bydd rhywbeth tebyg yn ymddangos ar gyfrifiaduron personol defnyddwyr.
Ffynhonnell: 3dnewyddion.ru