Microsoft i samarbete med Intel, Qualcomm och AMD mobila system med hårdvaruskydd mot attacker via firmware. Företaget tvingades skapa sådana datorplattformar på grund av det ökande antalet attacker mot användare från så kallade "white hat hackers" - grupper av hackingspecialister som är underställda statliga myndigheter. I synnerhet tillskriver ESETs säkerhetsexperter sådana åtgärder till en grupp ryska hackare APT28 (Fancy Bear). APT28-gruppen ska ha testat mjukvara som körde skadlig kod medan den laddade firmware från BIOS.
Tillsammans presenterade Microsofts cybersäkerhetsexperter och processorutvecklare en kisellösning i form av en hårdvarurot av förtroende. Företaget kallade sådana datorer för Secured-core PC (PC med en säker kärna). För närvarande inkluderar Secured-core PC-datorer ett antal bärbara datorer från Dell, Lenovo och Panasonic och surfplattan Microsoft Surface Pro X. Dessa och framtida PC-datorer med en säker kärna bör ge användarna fullständigt förtroende för att alla beräkningar kommer att vara pålitliga och inte kommer att leda till datakompromiss.
Hittills var problemet med robusta datorer att mikrokoden för den fasta programvaran skapades av moderkortet och system-OEM. Det var faktiskt den svagaste länken i Microsofts leveranskedja. Xbox-spelkonsolen, till exempel, har fungerat som en Secured-core-plattform i flera år, eftersom säkerheten för plattformen på alla nivåer - från hårdvara till mjukvara - övervakas av Microsoft själv. Detta var inte möjligt med PC förrän nu.
Microsoft tog ett enkelt beslut att ta bort firmware från bokföringslistan under den första verifieringen av fullmakten. Mer exakt, de outsourcade verifieringsprocessen till processorn och ett speciellt chip. Detta verkar använda en hårdvarunyckel som skrivs till processorn under tillverkningen. När den fasta programvaran laddas på PC:n kontrollerar processorn den för säkerhet och om den är att lita på. Om processorn inte hindrade den fasta programvaran från att laddas (den accepterade den som betrodd), överförs kontrollen över datorn till operativsystemet. Systemet börjar betrakta plattformen som betrodd, och först då, genom Windows Hello-processen, låter användaren komma åt den, vilket också ger säker inloggning, men på högsta nivå.
Förutom processorn är System Guard Secure Launch-chipet och operativsystemets loader involverade i hårdvaruskyddet för roten av förtroende (och firmware-integritet). Processen inkluderar även virtualiseringsteknik, som isolerar minnet i operativsystemet för att förhindra attacker mot OS-kärnan och applikationer. All denna komplexitet är avsedd att skydda först och främst företagsanvändaren, men förr eller senare kommer förmodligen något liknande att dyka upp i konsumentdatorer.
Källa: 3dnews.ru