Microsoft i samarbejde med Intel, Qualcomm og AMD mobile systemer med hardwarebeskyttelse mod angreb via firmware. Virksomheden blev tvunget til at oprette sådanne computerplatforme på grund af det stigende antal angreb på brugere fra såkaldte "white hat hackere" - grupper af hacking-specialister underordnet regeringsorganer. Især ESET sikkerhedseksperter tilskriver sådanne handlinger til en gruppe russiske hackere APT28 (Fancy Bear). APT28-gruppen testede angiveligt software, der kørte ondsindet kode, mens de indlæste firmware fra BIOS.
Sammen præsenterede Microsoft cybersikkerhedseksperter og processorudviklere en siliciumløsning i form af en hardware root of trust. Virksomheden kaldte sådanne pc'er for Secured-core PC (PC med en sikker kerne). I øjeblikket omfatter Secured-core pc'er en række bærbare computere fra Dell, Lenovo og Panasonic og Microsoft Surface Pro X tabletten. Disse og fremtidige pc'er med en sikker kerne bør give brugerne fuld tillid til, at alle beregninger vil være tillid til og ikke vil føre til datakompromis.
Indtil nu var problemet med robuste pc'er, at firmware-mikrokoden blev skabt af bundkortet og system-OEM'erne. Faktisk var det det svageste led i Microsofts forsyningskæde. Xbox-spillekonsollen har for eksempel fungeret som en Secured-core-platform i årevis, da platformens sikkerhed på alle niveauer - fra hardware til software - overvåges af Microsoft selv. Dette var ikke muligt med pc indtil nu.
Microsoft tog en simpel beslutning om at fjerne firmwaren fra regnskabslisten under den første verifikation af fuldmagten. Mere præcist outsourcede de verifikationsprocessen til processoren og en speciel chip. Dette ser ud til at bruge en hardwarenøgle, der skrives til processoren under fremstillingen. Når firmwaren indlæses på pc'en, tjekker processoren den for sikkerhed, og om den er til at stole på. Hvis processoren ikke forhindrede firmwaren i at indlæse (den accepterede den som betroet), overføres kontrollen over pc'en til operativsystemet. Systemet begynder at betragte platformen som betroet, og først derefter, gennem Windows Hello-processen, giver det brugeren adgang til den, hvilket også giver sikkert login, men på højeste niveau.
Ud over processoren er System Guard Secure Launch-chippen og operativsystemindlæseren involveret i hardwarebeskyttelsen af tillidsroden (og firmwareintegriteten). Processen omfatter også virtualiseringsteknologi, som isolerer hukommelsen i operativsystemet for at forhindre angreb på OS-kernen og applikationer. Al denne kompleksitet har til formål at beskytte først og fremmest virksomhedsbrugeren, men før eller siden vil noget lignende sandsynligvis dukke op på forbruger-pc'er.
Kilde: 3dnews.ru