Microsoft hợp tác với Intel, Qualcomm và AMD hệ thống di động có bảo vệ phần cứng chống lại các cuộc tấn công thông qua phần sụn. Công ty buộc phải tạo ra những nền tảng điện toán như vậy trước số lượng các cuộc tấn công vào người dùng ngày càng tăng của cái gọi là “tin tặc mũ trắng” - nhóm chuyên gia hack trực thuộc các cơ quan chính phủ. Đặc biệt, các chuyên gia bảo mật ESET cho rằng những hành động đó là do một nhóm tin tặc Nga APT28 (Fancy Bear) thực hiện. Nhóm APT28 bị cáo buộc đã thử nghiệm phần mềm chạy mã độc trong khi tải firmware từ BIOS.
Cùng với nhau, các chuyên gia an ninh mạng và nhà phát triển bộ xử lý của Microsoft đã trình bày một giải pháp silicon dưới dạng nền tảng phần cứng đáng tin cậy. Công ty gọi những chiếc PC như vậy là PC lõi bảo mật (PC có lõi bảo mật). Hiện tại, PC lõi bảo mật bao gồm một số máy tính xách tay của Dell, Lenovo, Panasonic và máy tính bảng Microsoft Surface Pro X. Những PC này và những PC tương lai có lõi bảo mật sẽ mang đến cho người dùng sự tin tưởng hoàn toàn rằng mọi tính toán sẽ đáng tin cậy và sẽ không dẫn đến thỏa hiệp dữ liệu.
Cho đến nay, vấn đề với những chiếc PC chắc chắn là vi mã phần sụn được tạo bởi bo mạch chủ và các OEM hệ thống. Trên thực tế, đó là mắt xích yếu nhất trong chuỗi cung ứng của Microsoft. Ví dụ: máy chơi game Xbox đã hoạt động như một nền tảng lõi bảo mật trong nhiều năm, vì tính bảo mật của nền tảng ở mọi cấp độ - từ phần cứng đến phần mềm - đều do chính Microsoft giám sát. Điều này là không thể với PC cho đến bây giờ.
Microsoft đã đưa ra một quyết định đơn giản là xóa phần sụn khỏi danh sách kế toán trong quá trình xác minh ban đầu về giấy ủy quyền. Chính xác hơn, họ giao quy trình xác minh cho bộ xử lý và một con chip đặc biệt. Điều này dường như sử dụng khóa phần cứng được ghi vào bộ xử lý trong quá trình sản xuất. Khi phần sụn được tải vào PC, bộ xử lý sẽ kiểm tra tính bảo mật của nó và liệu nó có thể tin cậy được hay không. Nếu bộ xử lý không ngăn việc tải chương trình cơ sở (nó chấp nhận nó là đáng tin cậy), quyền kiểm soát PC sẽ được chuyển sang hệ điều hành. Hệ thống bắt đầu coi nền tảng là đáng tin cậy và chỉ sau đó, thông qua quy trình Windows Hello, mới cho phép người dùng truy cập vào nền tảng đó, đồng thời cung cấp thông tin đăng nhập an toàn nhưng ở mức cao nhất.
Ngoài bộ xử lý, chip System Guard Secure Launch và bộ nạp hệ điều hành còn tham gia vào việc bảo vệ phần cứng gốc của sự tin cậy (và tính toàn vẹn của phần sụn). Quá trình này cũng bao gồm công nghệ ảo hóa, giúp cô lập bộ nhớ trong hệ điều hành để ngăn chặn các cuộc tấn công vào nhân hệ điều hành và các ứng dụng. Tất cả sự phức tạp này trước hết nhằm mục đích bảo vệ người dùng doanh nghiệp, nhưng sớm hay muộn điều gì đó tương tự có thể sẽ xuất hiện trên PC tiêu dùng.
Nguồn: 3dnews.ru