Компанія Microsoft у співдружності з компаніями Intel, Qualcomm та AMD мобільні системи з апаратним захистом від атак через прошивку. Створити подібні обчислювальні платформи компанію змусили атаки, що почастішали, на користувачів з боку так званих «білих хакерів» ― груп фахівців зі злому, підпорядкованих урядовим структурам. Спеціалісти з безпеки ESET приписують подібні дії групі російських хакерів APT28 (Fancy Bear). Група APT28 нібито тестувала програмне забезпечення, яке запускало шкідливий код під час завантаження прошивки з BIOS.
Спільними зусиллями фахівці з кібербезпеки Microsoft та розробники процесорів представили якесь кремнієве рішення у вигляді апаратного кореня довіри. Такі ПК компанія назвала Secured-core PC (ПК із захищеним ядром). На даний момент до Secured-core PC відноситься ряд ноутбуків компаній Dell, Lenovo і Panasonic і планшет Microsoft Surface Pro X. Ці та майбутні ПК із захищеним ядром повинні гарантувати користувачам повну впевненість у тому, що всі обчислення будуть довіреними і не призведуть до компрометації даних .
Досі проблема із захищеними ПК була в тому, що мікрокод прошивок створювали OEM-виробники материнських плат та систем. Фактично це була найслабша ланка в ланцюжку поставок Microsoft. Ігрова приставка Xbox, наприклад, роками працює як платформа Secured-core, оскільки за безпекою платформи на всіх рівнях – від апаратного до програмного – стежать у самій Microsoft. З ПК досі таке було неможливо.
У Microsoft вирішили викинути прошивку зі списку обліку при первинній перевірці на довіреність. Точніше, вони віддали процес перевірки процесору та спеціальному чіпу. Схоже, у своїй використовується апаратний ключ, який записується в процесор на етапі виробництва. У момент завантаження прошивки на ПК процесор перевіряє її на безпеку, чи можна їй довіряти. Якщо процесор не запобіг завантаженню прошивки (прийняв її за довірену), контроль над ПК передається операційній системі. Система починає вважати платформу довіреною, і лише потім через процес Windows Hello допускає до неї користувача, також забезпечуючи захищений вхід, але вже на найвищому рівні.
Крім процесора в апаратному захисті кореня довіри (і цілісності прошивки) беруть участь чіп System Guard Secure Launch та завантажувач операційної системи. Також у процес включено технологію віртуалізації, яка ізолює пам'ять в операційній системі для недопущення атак на ядро ОС та програми. Уся ця складність покликана захистити, насамперед, корпоративного користувача, але рано чи пізно щось подібне напевно з'явиться у споживчих ПК.
Джерело: 3dnews.ru