Microsoft we współpracy z Intelem, Qualcomm i AMD systemy mobilne ze sprzętową ochroną przed atakami poprzez oprogramowanie sprzętowe. Do stworzenia takich platform obliczeniowych firma została zmuszona rosnącą liczbą ataków na użytkowników ze strony tzw. „hakerów białych kapeluszy” – grup specjalistów od hakowania podległych agencjom rządowym. W szczególności eksperci ds. bezpieczeństwa firmy ESET przypisują takie działania grupie rosyjskich hakerów APT28 (Fancy Bear). Grupa APT28 rzekomo testowała oprogramowanie, które uruchamiało złośliwy kod podczas ładowania oprogramowania sprzętowego z BIOS-u.
Eksperci Microsoft ds. cyberbezpieczeństwa i twórcy procesorów wspólnie zaprezentowali rozwiązanie krzemowe w postaci sprzętowego źródła zaufania. Firma nazwała takie komputery PC z bezpiecznym rdzeniem (PC z bezpiecznym rdzeniem). Obecnie komputery PC z bezpiecznym rdzeniem obejmują szereg laptopów firm Dell, Lenovo i Panasonic oraz tablet Microsoft Surface Pro X. Te i przyszłe komputery PC z bezpiecznym rdzeniem powinny zapewnić użytkownikom całkowitą pewność, że wszelkie obliczenia będą wiarygodne i do nich nie doprowadzą kompromis danych.
Do tej pory problem wytrzymałych komputerów PC polegał na tym, że mikrokod oprogramowania sprzętowego był tworzony przez producentów OEM płyt głównych i systemów. Tak naprawdę było to najsłabsze ogniwo w łańcuchu dostaw Microsoftu. Na przykład konsola do gier Xbox od lat działa jako platforma Secured-core, ponieważ bezpieczeństwo platformy na wszystkich poziomach – od sprzętu po oprogramowanie – jest monitorowane przez sam Microsoft. Do tej pory nie było to możliwe w przypadku komputerów PC.
Microsoft podjął prostą decyzję o usunięciu oprogramowania z listy księgowej podczas wstępnej weryfikacji pełnomocnictwa. Dokładniej, zlecili proces weryfikacji procesorowi i specjalnemu chipowi. Wygląda na to, że używany jest klucz sprzętowy zapisywany w procesorze podczas produkcji. Po załadowaniu oprogramowania sprzętowego na komputer procesor sprawdza je pod kątem bezpieczeństwa i tego, czy można mu zaufać. Jeżeli procesor nie przeszkodził w załadowaniu oprogramowania (przyjął je jako zaufane), kontrola nad komputerem PC przekazywana jest systemowi operacyjnemu. System zaczyna uważać platformę za zaufaną i dopiero wtedy, poprzez proces Windows Hello, umożliwia użytkownikowi dostęp do niej, zapewniając także bezpieczne logowanie, ale na najwyższym poziomie.
Oprócz procesora, w ochronę sprzętu głównego zaufania (i integralność oprogramowania sprzętowego) zaangażowany jest układ System Guard Secure Launch i moduł ładujący system operacyjny. Proces obejmuje również technologię wirtualizacji, która izoluje pamięć w systemie operacyjnym, aby zapobiec atakom na jądro systemu operacyjnego i aplikacje. Cała ta złożoność ma na celu ochronę przede wszystkim użytkownika korporacyjnego, ale prędzej czy później coś podobnego prawdopodobnie pojawi się w komputerach konsumenckich.
Źródło: 3dnews.ru