A Microsoft az Intellel, a Qualcommmal és az AMD-vel együttműködve mobil rendszerek hardveres védelemmel a firmware-n keresztüli támadások ellen. A vállalatot az kényszerítette ilyen számítástechnikai platformok létrehozására az úgynevezett „white hat hackerek” – kormányzati szerveknek alárendelt hacker-szakembercsoportok – növekvő számú támadása a felhasználók ellen. Az ESET biztonsági szakértői különösen az APT28 (Fancy Bear) orosz hackerek egy csoportjának tulajdonítják az ilyen műveleteket. Az APT28 csoport állítólag olyan szoftvereket tesztelt, amelyek rosszindulatú kódot futtattak a firmware BIOS-ból való betöltésekor.
A Microsoft kiberbiztonsági szakértői és processzorfejlesztői közösen egy szilícium-megoldást mutattak be a bizalom hardveres gyökere formájában. A cég az ilyen PC-ket Secured-core PC-nek (biztonságos maggal rendelkező PC) nevezte. Jelenleg a Secured-core PC-k között számos Dell, Lenovo és Panasonic laptop található, valamint a Microsoft Surface Pro X táblagép. Ezek és a jövőbeni, biztonságos maggal rendelkező PC-k teljes biztonságot nyújtanak a felhasználóknak abban, hogy minden számítás megbízható lesz, és nem vezet adatkompromisszum .
Eddig az volt a probléma a robusztus PC-kkel, hogy a firmware-mikrokódot az alaplap és a rendszergyártó gyártók hozták létre. Valójában ez volt a leggyengébb láncszem a Microsoft ellátási láncában. Az Xbox játékkonzol például évek óta Secured-core platformként működik, hiszen a platform biztonságát minden szinten – a hardvertől a szoftverig – maga a Microsoft felügyeli. PC-vel ez eddig nem volt lehetséges.
A Microsoft a meghatalmazás első ellenőrzése során egyszerű döntést hozott, hogy eltávolítja a firmware-t a könyvelési listáról. Pontosabban kiszervezték az ellenőrzési folyamatot a processzorra és egy speciális chipre. Úgy tűnik, hogy ez egy hardverkulcsot használ, amelyet a gyártás során a processzorba írnak. Amikor a firmware betöltődik a számítógépre, a processzor ellenőrzi a biztonságot és azt, hogy megbízható-e. Ha a processzor nem akadályozta meg a firmware betöltését (megbízhatóként fogadta el), akkor a számítógép feletti irányítás átkerül az operációs rendszerre. A rendszer elkezdi megbízhatónak tekinteni a platformot, és csak ezután teszi lehetővé a felhasználó számára a hozzáférést a Windows Hello folyamaton keresztül, biztonságos bejelentkezést is biztosítva, de a legmagasabb szinten.
A bizalom gyökerének (és a firmware integritásának) hardveres védelmében a processzoron kívül a System Guard Secure Launch chip és az operációs rendszer betöltője vesz részt. A folyamat magában foglalja a virtualizációs technológiát is, amely elszigeteli az operációs rendszer memóriáját, hogy megakadályozza az operációs rendszer kernel és az alkalmazások elleni támadásokat. Mindez a komplexitás elsősorban a vállalati felhasználók védelmét szolgálja, de előbb-utóbb valószínűleg a fogyasztói PC-kben is megjelenik valami hasonló.
Forrás: 3dnews.ru