Microsoft v spolupráci s Intel, Qualcomm a AMD mobilné systémy s hardvérovou ochranou proti útokom prostredníctvom firmvéru. K vytvoreniu takýchto výpočtových platforiem prinútil spoločnosť narastajúci počet útokov na používateľov zo strany takzvaných „white hat hackerov“ – skupín hackerských špecialistov podriadených vládnym agentúram. Bezpečnostní experti ESET pripisujú takéto činy najmä skupine ruských hackerov APT28 (Fancy Bear). Skupina APT28 údajne testovala softvér, ktorý spúšťal škodlivý kód pri načítavaní firmvéru z BIOSu.
Odborníci na kybernetickú bezpečnosť spoločnosti Microsoft a vývojári procesorov spoločne predstavili kremíkové riešenie vo forme hardvérového koreňa dôvery. Spoločnosť takéto počítače nazvala Secured-core PC (PC so zabezpečeným jadrom). V súčasnosti medzi počítače so zabezpečeným jadrom patrí množstvo notebookov od spoločností Dell, Lenovo a Panasonic a tablet Microsoft Surface Pro X. Tieto a budúce počítače s bezpečným jadrom by mali používateľom poskytnúť úplnú istotu, že všetky výpočty budú dôveryhodné a nepovedú k kompromitácia údajov.
Až doteraz bol problém odolných počítačov v tom, že mikrokód firmvéru vytvárala základná doska a výrobcovia OEM systému. V skutočnosti to bol najslabší článok v dodávateľskom reťazci Microsoftu. Napríklad herná konzola Xbox funguje ako Secured-core platforma už roky, keďže bezpečnosť platformy na všetkých úrovniach – od hardvéru až po softvér – sleduje samotný Microsoft. Doteraz to s PC nebolo možné.
Microsoft sa pri prvotnom overení plnej moci rozhodol jednoducho odstrániť firmvér z účtovného zoznamu. Presnejšie povedané, overovací proces outsourcovali na procesor a špeciálny čip. Zdá sa, že sa používa hardvérový kľúč, ktorý je zapísaný do procesora počas výroby. Keď je firmvér načítaný do PC, procesor skontroluje jeho bezpečnosť a či mu možno dôverovať. Ak procesor nezabránil načítaniu firmvéru (akceptoval ho ako dôveryhodný), kontrola nad PC sa prenáša na operačný systém. Systém začne platformu považovať za dôveryhodnú a až potom prostredníctvom procesu Windows Hello umožní používateľovi k nej pristupovať, pričom poskytuje aj bezpečné prihlásenie, ale na najvyššej úrovni.
Okrem procesora sa na hardvérovej ochrane koreňa dôvery (a integrity firmvéru) podieľa čip System Guard Secure Launch a zavádzač operačného systému. Proces zahŕňa aj technológiu virtualizácie, ktorá izoluje pamäť v operačnom systéme, aby zabránila útokom na jadro OS a aplikácie. Celá táto zložitosť má chrániť v prvom rade firemného používateľa, no skôr či neskôr sa niečo podobné zrejme objaví aj v spotrebiteľských PC.
Zdroj: 3dnews.ru