Microsoft представила ПК с аппаратной защитой от атак через прошивку

Microsoft совместно с компаниями Intel, Qualcomm и AMD представила мобильные системы с аппаратной защитой от атак через прошивку, пишет 3DNews.

Создать подобные вычислительные платформы компанию вынудили участившиеся атаки на пользователей со стороны правительственных хакеров — например группы APT28 (Fancy Bear), которая якобы тестировала ПО, запускающее зловредный код во время загрузки прошивки из BIOS.

Специалисты по кибербезопасности Microsoft и разработчики процессоров представили некое кремниевое решение в виде аппаратного корня доверия. Такие ПК получили название Secured-core PC (ПК с защищённым ядром). Сейчас к ним относится ряд ноутбуков компаний Dell, Lenovo и Panasonic и планшет Microsoft Surface Pro X. Эти и будущие ПК с защищённым ядром должны полностью гарантировать пользователям, что все вычисления будут доверенными и не приведут к компрометации данных.

До сих пор проблема с защищёнными ПК была в том, что микрокод прошивок создавали OEM-производители материнских плат и систем. Фактически это было самым слабым звеном в цепочке поставок Microsoft. Игровая приставка Xbox, например, годами работает как платформа Secured-core, поскольку за безопасностью платформы на всех уровнях — от аппаратного до программного — следят в самой Microsoft. С ПК до сих пор такое было невозможно.

В Microsoft решили отдать процесс проверки прошивки на доверенность процессору и специальному чипу. Похоже, при этом используется аппаратный ключ, который записывается в процессор на этапе производства. В момент загрузки прошивки на ПК процессор проверяет её на безопасность. Если он не предотвратил загрузку прошивки (принял за доверенную), контроль над ПК передаётся операционной системе. Система начинает считать платформу доверенной, и лишь затем через процесс Windows Hello допускает к ней пользователя, также обеспечивая защищённый вход, но уже на высшем уровне.

Кроме процессора в аппаратной защите корня доверия (и целостности прошивки) участвуют чип System Guard Secure Launch и загрузчик операционной системы. Также в процесс включена технология виртуализации, которая изолирует память в операционной системе для недопущения атак на ядро ОС и приложения. Вся эта сложность призвана защитить, в первую очередь, корпоративного пользователя, но рано или поздно нечто подобное наверняка появится в потребительских ПК.