Microsoft i samarbeid med Intel, Qualcomm og AMD mobile systemer med maskinvarebeskyttelse mot angrep via fastvare. Selskapet ble tvunget til å lage slike dataplattformer på grunn av det økende antallet angrep på brukere fra såkalte "white hat hackers" - grupper av hackingspesialister som er underlagt offentlige etater. Spesielt ESET sikkerhetseksperter tilskriver slike handlinger til en gruppe russiske hackere APT28 (Fancy Bear). APT28-gruppen skal ha testet programvare som kjørte ondsinnet kode mens de lastet fastvare fra BIOS.
Sammen presenterte Microsofts cybersikkerhetseksperter og prosessorutviklere en silisiumløsning i form av en hardware root of trust. Selskapet kalte slike PC-er for Secured-core PC (PC med en sikker kjerne). Foreløpig inkluderer PC-er med sikret kjerne en rekke bærbare datamaskiner fra Dell, Lenovo og Panasonic og Microsoft Surface Pro X-nettbrettet. Disse og fremtidige PC-er med en sikker kjerne skal gi brukerne full tillit til at alle beregninger vil være klarert og ikke vil føre til datakompromittering.
Til nå var problemet med robuste PC-er at fastvaremikrokoden ble laget av hovedkortet og system-OEM-ene. Faktisk var det det svakeste leddet i Microsofts forsyningskjede. Xbox-spillkonsollen har for eksempel fungert som en Secured-core-plattform i årevis, siden sikkerheten til plattformen på alle nivåer – fra maskinvare til programvare – overvåkes av Microsoft selv. Dette var ikke mulig med PC før nå.
Microsoft tok en enkel beslutning om å fjerne fastvaren fra regnskapslisten under den første verifiseringen av fullmakten. Mer presist outsourcet de verifikasjonsprosessen til prosessoren og en spesiell brikke. Dette ser ut til å bruke en maskinvarenøkkel som er skrevet til prosessoren under produksjon. Når fastvaren er lastet inn på PC-en, sjekker prosessoren den for sikkerhet og om den kan stole på. Hvis prosessoren ikke hindret fastvaren i å laste (den godtok den som klarert), overføres kontrollen over PC-en til operativsystemet. Systemet begynner å betrakte plattformen som pålitelig, og først da, gjennom Windows Hello-prosessen, lar brukeren få tilgang til den, og gir også sikker pålogging, men på høyeste nivå.
I tillegg til prosessoren er System Guard Secure Launch-brikken og operativsystemlasteren involvert i maskinvarebeskyttelsen av roten til tillit (og fastvareintegritet). Prosessen inkluderer også virtualiseringsteknologi, som isolerer minne i operativsystemet for å forhindre angrep på OS-kjernen og applikasjoner. All denne kompleksiteten er ment å beskytte først og fremst bedriftsbrukeren, men før eller siden vil nok noe lignende dukke opp på forbruker-PCer.
Kilde: 3dnews.ru