Secured-core PC: יוזמה חדשה של מיקרוסופט לשיפור האבטחה ברמת החומרה

מיקרוסופט הכריזה על יוזמה חדשה לשיפור האבטחה ברמת החומרה. הפרויקט החדשה הזה, שמכונה Secured-core PC, נועד לספק הגנה נגד התקפות ברמת הקושחה של המחשבים. אמנם מדובר בהתקפות נדירות יחסית, אבל תוקף מתקדם יכול להשיג גישה שעלולה לאפשר לו יכולת ניצול גבוהה במיוחד, כזו שהדרך הכמעט יחידה להתמודד עמה היא פשוט לזרוק את לוח האם, לכל הפחות, לפח.

אחת הבעיות העיקריות היא שהתקפה מעין זו מאוד קשה לאיתור. מערכות האנטי וירוס למיניהן, כולל זו שמיקרוסופט עצמה מספקת עם Windows, פועלת ברמת מערכת הפעלה, ובדרך אין גישה והרשאה לבדוק את הקושחה, ואם כבר – אז רק בדרך עקיפה.

היוזמה החדשה נבנית למעשה על כלי שכבר קיים ברוב המחשבים כיום, שמבטיח אתחול מאובטח, אך זו מערכת שנבנית על כך שהקושחה תקינה. הכלי שמיקרוסופט מציעה, System Guard Secure Launch, אמור להציע את היכולת להפעיל את המחשב גם עם קוד לא תקין ולא בטוח לשימוש, אך המערכת לוקחת מיד שליטה על המעבד ועל שאר משאבי המחשוב, ולאחר מכן כופה החלפה עם קוד בטוח שמוכר היטב למנהלי המערכת. הקוד המסוים הזה נשמר במערכת במקום בטוח, וכאן נכנסות לתמונה AMD ואינטל, שצריכות לשלב במעבדים תהליכים שיאפשרו לבצע את 'איפוס הקושחה'.

מעבר לכך מוצע כלי נוסף, System Management Mode, שכבר אמור לפעול בתוך מעבד x86 ולספק הגנה נוספת על פני אפשרות לפגיעה בכלל המערכת, על ידי ביצוע דברים שהקריאות ברמת התפעול הנמוכה ביותר לא אמורות לבצע. זהו מצב לטיפול בפעולות כמו ניהול כוח, תצורת חומרה וניטור טמפרטורה.

כשהמערכת זקוקה לפעולה כזו היא מובילה לביצוע קוד SMM, שמותקן בידי ה-BIOS של המחשב ברמת ההרשאות הגבוהה ביותר, שבעצם הופכת אותם לבלתי נראים מבחינת מערכת ההפעלה. הכלי לבצע זאת אמור להיות מסופק בידי יצרניות לוחות האם או המעבדים, כדי להבטיח שקוד ה-SMM יהיה תקין.

בשוק כבר קיימים מספר מחשבים שמציעים יכולות Secured-core PC, ומיקרוסופט עצמה מציגה מחשבים של לנובו ופנסוניק, כשבדרך לחנויות יש גם מחשבים כאלו של דל, HP ומיקרוסופט עצמה.