Microsoft în colaborare cu Intel, Qualcomm și AMD sisteme mobile cu protecție hardware împotriva atacurilor prin firmware. Compania a fost nevoită să creeze astfel de platforme de calcul din cauza numărului tot mai mare de atacuri asupra utilizatorilor de către așa-numiții „hackeri cu pălărie albă” - grupuri de specialiști în hacking subordonați agențiilor guvernamentale. În special, experții în securitate ESET atribuie astfel de acțiuni unui grup de hackeri ruși APT28 (Fancy Bear). Grupul APT28 ar fi testat software-ul care rula cod rău intenționat în timp ce încărca firmware din BIOS.
Împreună, experții în securitate cibernetică Microsoft și dezvoltatorii de procesoare au prezentat o soluție de siliciu sub forma unei rădăcini hardware de încredere. Compania a numit astfel de PC-uri Secured-core PC (PC cu un nucleu securizat). În prezent, PC-urile cu nucleu securizat includ o serie de laptop-uri de la Dell, Lenovo și Panasonic și tableta Microsoft Surface Pro X Acestea și viitoarele PC-uri cu un nucleu securizat ar trebui să ofere utilizatorilor încredere deplină că toate calculele vor fi de încredere și nu vor duce la. compromiterea datelor.
Până acum, problema cu PC-urile robuste era că microcodul firmware-ului a fost creat de OEM-urile plăcii de bază și ale sistemului. De fapt, a fost cea mai slabă verigă din lanțul de aprovizionare al Microsoft. Consola de jocuri Xbox, de exemplu, funcționează ca o platformă Secured-core de ani de zile, deoarece securitatea platformei la toate nivelurile - de la hardware la software - este monitorizată chiar de Microsoft. Acest lucru nu a fost posibil cu PC până acum.
Microsoft a luat o decizie simplă de a elimina firmware-ul din lista contabilă în timpul verificării inițiale a procurii. Mai exact, au externalizat procesul de verificare către procesor și un cip special. Aceasta pare să folosească o cheie hardware care este scrisă pe procesor în timpul producției. Când firmware-ul este încărcat pe computer, procesorul îl verifică pentru securitate și dacă poate fi de încredere. Dacă procesorul nu a împiedicat încărcarea firmware-ului (l-a acceptat ca fiind de încredere), controlul asupra computerului este transferat sistemului de operare. Sistemul începe să considere platforma de încredere și abia atunci, prin procesul Windows Hello, permite utilizatorului să o acceseze, oferind și logare securizată, dar la cel mai înalt nivel.
Pe lângă procesor, cipul System Guard Secure Launch și încărcătorul sistemului de operare sunt implicate în protecția hardware a rădăcinii de încredere (și integrității firmware-ului). Procesul include, de asemenea, tehnologia de virtualizare, care izolează memoria în sistemul de operare pentru a preveni atacurile asupra nucleului sistemului de operare și a aplicațiilor. Toată această complexitate este menită să protejeze, în primul rând, utilizatorul corporativ, dar mai devreme sau mai târziu ceva asemănător va apărea probabil în PC-urile de consum.
Sursa: 3dnews.ru