Microsoft v sodelovanju z Intel, Qualcomm in AMD mobilni sistemi s strojno zaščito pred napadi preko vdelane programske opreme. Podjetje je bilo prisiljeno ustvariti takšne računalniške platforme zaradi vedno večjega števila napadov na uporabnike tako imenovanih "belih hekerjev" - skupin hekerskih strokovnjakov, podrejenih vladnim agencijam. Zlasti varnostni strokovnjaki ESET pripisujejo takšna dejanja skupini ruskih hekerjev APT28 (Fancy Bear). Skupina APT28 je domnevno testirala programsko opremo, ki izvaja zlonamerno kodo med nalaganjem vdelane programske opreme iz BIOS-a.
Microsoftovi strokovnjaki za kibernetsko varnost in razvijalci procesorjev so skupaj predstavili silikonsko rešitev v obliki strojnega korena zaupanja. Podjetje je takšne osebne računalnike poimenovalo Secured-core PC (PC z varnim jedrom). Trenutno osebni računalniki z varnim jedrom vključujejo številne prenosne računalnike Dell, Lenovo in Panasonic ter tablični računalnik Microsoft Surface Pro X. Ti in prihodnji osebni računalniki z varnim jedrom bi morali uporabnikom zagotoviti popolno zaupanje, da bodo vsi izračuni zaupanja vredni in ne bodo vodili do ogroženost podatkov.
Do zdaj je bila težava robustnih osebnih računalnikov ta, da so mikrokodo vdelane programske opreme ustvarili proizvajalci originalne opreme matične plošče in sistema. Pravzaprav je bil najšibkejši člen v Microsoftovi dobavni verigi. Igralna konzola Xbox na primer že leta deluje kot platforma Secured-core, saj varnost platforme na vseh ravneh – od strojne do programske – spremlja kar Microsoft. To z osebnim računalnikom do zdaj ni bilo mogoče.
Microsoft se je preprosto odločil, da strojno programsko opremo odstrani iz računovodskega seznama med prvim preverjanjem pooblastila. Natančneje, proces verifikacije so predali procesorju in posebnemu čipu. Zdi se, da to uporablja ključ strojne opreme, ki je zapisan v procesor med proizvodnjo. Ko je vdelana programska oprema naložena v računalnik, procesor preveri njeno varnost in ali ji lahko zaupate. Če procesor ni preprečil nalaganja vdelane programske opreme (sprejel jo je kot zaupanja vredno), se nadzor nad računalnikom prenese na operacijski sistem. Sistem začne platformo šteti za zaupanja vredno in šele nato prek procesa Windows Hello uporabniku omogoči dostop do nje, prav tako zagotavlja varno prijavo, vendar na najvišji ravni.
Poleg procesorja sta pri zaščiti strojne opreme korena zaupanja (in celovitosti vdelane programske opreme) vključena čip System Guard Secure Launch in nalagalnik operacijskega sistema. Proces vključuje tudi tehnologijo virtualizacije, ki izolira pomnilnik v operacijskem sistemu in tako prepreči napade na jedro OS in aplikacije. Vsa ta zapletenost je namenjena predvsem zaščiti korporativnega uporabnika, prej ali slej pa se bo verjetno nekaj podobnega pojavilo tudi v potrošniških osebnih računalnikih.
Vir: 3dnews.ru