Microsoft sa pakikipagtulungan sa Intel, Qualcomm at AMD mga mobile system na may proteksyon sa hardware laban sa mga pag-atake sa pamamagitan ng firmware. Napilitan ang kumpanya na lumikha ng mga naturang computing platform sa pamamagitan ng pagtaas ng bilang ng mga pag-atake sa mga user ng tinatawag na "white hat hackers" - mga grupo ng mga espesyalista sa pag-hack na nasa ilalim ng mga ahensya ng gobyerno. Sa partikular, iniuugnay ng mga eksperto sa seguridad ng ESET ang gayong mga aksyon sa isang pangkat ng mga hacker ng Russia na APT28 (Fancy Bear). Ang grupong APT28 ay di-umano'y sinubukan ang software na nagpatakbo ng malisyosong code habang naglo-load ng firmware mula sa BIOS.
Magkasama, ipinakita ng mga eksperto sa cybersecurity ng Microsoft at mga developer ng processor ang isang silicon na solusyon sa anyo ng isang hardware root of trust. Tinawag ng kumpanya ang naturang mga PC na Secured-core PC (PC na may secure na core). Sa kasalukuyan, ang mga Secured-core na PC ay may kasamang ilang mga laptop mula sa Dell, Lenovo at Panasonic at ang Microsoft Surface Pro X tablet Ang mga ito at ang mga hinaharap na PC na may secure na core ay dapat magbigay sa mga user ng kumpletong kumpiyansa na ang lahat ng mga kalkulasyon ay mapagkakatiwalaan at hindi hahantong sa. kompromiso ng data.
Hanggang ngayon, ang problema sa masungit na PC ay ang firmware microcode ay nilikha ng motherboard at system OEMs. Sa katunayan, ito ang pinakamahina na link sa supply chain ng Microsoft. Ang Xbox gaming console, halimbawa, ay tumatakbo bilang isang Secured-core platform sa loob ng maraming taon, dahil ang seguridad ng platform sa lahat ng antas - mula sa hardware hanggang sa software - ay sinusubaybayan ng Microsoft mismo. Hindi ito posible sa isang PC hanggang ngayon.
Gumawa ng simpleng desisyon ang Microsoft na alisin ang firmware mula sa listahan ng accounting sa panahon ng paunang pag-verify ng power of attorney. Mas tiyak, ini-outsource nila ang proseso ng pag-verify sa processor at isang espesyal na chip. Mukhang gumagamit ito ng hardware key na nakasulat sa processor habang gumagawa. Kapag na-load ang firmware sa PC, sinusuri ito ng processor para sa seguridad at kung mapagkakatiwalaan ito. Kung hindi napigilan ng processor ang pag-load ng firmware (tinanggap ito bilang pinagkakatiwalaan), ililipat ang kontrol sa PC sa operating system. Sinimulan ng system na isaalang-alang ang platform na pinagkakatiwalaan, at pagkatapos lamang, sa pamamagitan ng proseso ng Windows Hello, pinapayagan ang gumagamit na ma-access ito, na nagbibigay din ng secure na pag-login, ngunit sa pinakamataas na antas.
Bilang karagdagan sa processor, ang System Guard Secure Launch chip at ang operating system loader ay kasangkot sa proteksyon ng hardware ng root of trust (at integridad ng firmware). Kasama rin sa proseso ang teknolohiya ng virtualization, na naghihiwalay ng memorya sa operating system upang maiwasan ang mga pag-atake sa kernel ng OS at mga application. Ang lahat ng kumplikadong ito ay inilaan upang protektahan, una sa lahat, ang corporate user, ngunit sa lalong madaling panahon ang isang bagay na katulad ay malamang na lilitaw sa mga consumer PC.
Pinagmulan: 3dnews.ru