Microsoft yhteistyössä Intelin, Qualcommin ja AMD:n kanssa mobiilijärjestelmät, joissa on laitteistosuojaus laiteohjelmiston kautta tapahtuvia hyökkäyksiä vastaan. Yrityksen oli pakko luoda tällaisia laskenta-alustoja, koska niin sanotut "valkohattu-hakkerit" - valtion virastojen alaisuudessa toimivat hakkerointiasiantuntijaryhmät - hyökkäsivät yhä useammin käyttäjiin. Erityisesti ESET-tietoturvaasiantuntijat katsovat, että tällaiset toimet johtuvat venäläisten hakkerien APT28 (Fancy Bear) joukosta. APT28-ryhmän väitettiin testaavan ohjelmistoja, jotka suorittivat haitallista koodia lataaessaan laiteohjelmistoa BIOSista.
Microsoftin kyberturvallisuuden asiantuntijat ja prosessorien kehittäjät esittelivät yhdessä piiratkaisun laitteiston luottamuksen juuren muodossa. Yritys kutsui tällaisia tietokoneita Secured-core PC:ksi (PC, jossa on suojattu ydin). Tällä hetkellä suojatut ytimen tietokoneet sisältävät useita Dellin, Lenovon ja Panasonicin kannettavia tietokoneita sekä Microsoft Surface Pro X -tabletin. Näiden ja tulevien tietokoneiden, joissa on suojattu ydin, pitäisi antaa käyttäjille täydellinen luottamus siihen, että kaikkiin laskelmiin luotetaan eivätkä ne johda siihen. tietojen kompromissi.
Tähän asti kestävien tietokoneiden ongelmana oli se, että laiteohjelmiston mikrokoodi on luotu emolevyn ja järjestelmän OEM:n toimesta. Itse asiassa se oli Microsoftin toimitusketjun heikoin lenkki. Esimerkiksi Xbox-pelikonsoli on toiminut Secured-core-alustana jo vuosia, koska alustan turvallisuutta kaikilla tasoilla - laitteistosta ohjelmistoon - valvoo Microsoft itse. Tämä ei ollut mahdollista PC:llä tähän asti.
Microsoft teki yksinkertaisen päätöksen poistaa laiteohjelmisto kirjanpitoluettelosta valtakirjan ensitarkastuksen yhteydessä. Tarkemmin sanottuna he ulkoistivat varmennusprosessin prosessorille ja erityiselle sirulle. Tämä näyttää käyttävän laitteistoavainta, joka kirjoitetaan prosessoriin valmistuksen aikana. Kun laiteohjelmisto ladataan tietokoneeseen, prosessori tarkistaa sen turvallisuuden ja sen, voidaanko siihen luottaa. Jos prosessori ei estänyt laiteohjelmiston latautumista (se hyväksyi sen luotetuksi), PC:n hallinta siirtyy käyttöjärjestelmälle. Järjestelmä alkaa pitää alustaa luotettavana ja vasta sitten, Windows Hello -prosessin kautta, antaa käyttäjälle pääsyn siihen tarjoten myös turvallisen kirjautumisen, mutta korkeimmalla tasolla.
Prosessorin lisäksi System Guard Secure Launch -siru ja käyttöjärjestelmän latausohjelma ovat mukana luottamuksen juuren (ja laiteohjelmiston eheyden) laitteistosuojauksessa. Prosessi sisältää myös virtualisointiteknologian, joka eristää käyttöjärjestelmän muistin estääkseen hyökkäykset käyttöjärjestelmän ytimeen ja sovelluksiin. Kaiken tämän monimutkaisuuden tarkoituksena on suojella ennen kaikkea yrityskäyttäjää, mutta ennemmin tai myöhemmin jotain vastaavaa todennäköisesti ilmestyy kuluttajatietokoneisiin.
Lähde: 3dnews.ru