Microsoft kunlabore kun Intel, Qualcomm kaj AMD porteblaj sistemoj kun aparatara protekto kontraŭ atakoj per firmvaro. La kompanio estis devigita krei tiajn komputilajn platformojn pro la kreskanta nombro da atakoj kontraŭ uzantoj de tiel nomataj "blankĉapelaj piratoj" - grupoj de specialistoj pri kodrompado subigitaj al registaraj agentejoj. Precipe, spertuloj pri sekureco de ESET atribuas tiajn agojn al grupo de rusaj hakistoj APT28 (Fancy Bear). La APT28-grupo supozeble testis programaron, kiu kuris malican kodon dum ŝarĝo de firmvaro de la BIOS.
Kune, spertuloj pri cibersekureco de Mikrosofto kaj programistoj de procesoroj prezentis silician solvon en formo de aparatara radiko de fido. La kompanio nomis tiajn komputilojn Secured-core PC (PC kun sekura kerno). Nuntempe, Sekurigitaj-kernaj Komputiloj inkluzivas kelkajn tekkomputilojn de Dell, Lenovo kaj Panasonic kaj la Microsoft Surface Pro X-tabulo Ĉi tiuj kaj estontaj komputiloj kun sekura kerno devas provizi uzantojn kun plena fido, ke ĉiuj kalkuloj estos fidindaj kaj ne kondukos al. kompromiso de datumoj.
Ĝis nun, la problemo kun malglataj komputiloj estis, ke la firmware-mikrokodo estis kreita de la baztabulo kaj sistemaj OEM-oj. Fakte, ĝi estis la plej malforta ligilo en la provizoĉeno de Mikrosofto. La ludkonzolo Xbox, ekzemple, funkcias kiel Sekurigita-kerna platformo dum jaroj, ĉar la sekureco de la platformo sur ĉiuj niveloj - de aparataro ĝis programaro - estas monitorita de Microsoft mem. Ĉi tio ne eblis kun komputilo ĝis nun.
Microsoft faris simplan decidon forigi la firmware el la kontada listo dum la komenca kontrolo de la prokuroro. Pli precize, ili subkontraktis la kontrolan procezon al la procesoro kaj speciala blato. Ĉi tio ŝajnas uzi aparatan ŝlosilon, kiu estas skribita al la procesoro dum fabrikado. Kiam la firmvaro estas ŝarĝita sur la komputilon, la procesoro kontrolas ĝin por sekureco kaj ĉu ĝi povas esti fidinda. Se la procesoro ne malhelpis la ŝarĝon de la firmvaro (ĝi akceptis ĝin kiel fidinda), kontrolo de la komputilo estas transdonita al la operaciumo. La sistemo komencas konsideri la platformon fidinda, kaj nur tiam, per la procezo de Windows Hello, permesas al la uzanto aliri ĝin, ankaŭ disponigante sekuran ensaluton, sed ĉe la plej alta nivelo.
Krom la procesoro, la peceto System Guard Secure Launch kaj la operaciumo-ŝargilo estas implikitaj en la aparatara protekto de la radiko de fido (kaj firmware-integreco). La procezo ankaŭ inkluzivas virtualigan teknologion, kiu izolas memoron en la operaciumo por malhelpi atakojn kontraŭ la OS-kerno kaj aplikoj. Ĉio ĉi tiu komplekseco celas protekti, antaŭ ĉio, la kompanian uzanton, sed baldaŭ aŭ malfrue io simila probable aperos en konsumantaj komputiloj.
fonto: 3dnews.ru