Компания Microsoft в содружестве с компаниями Intel, Qualcomm и AMD представила мобильные системы с аппаратной защитой от атак через прошивку. Создать подобные вычислительные платформы компанию вынудили участившиеся атаки на пользователей со стороны так называемых «белых хакеров» ― групп специалистов по взлому, подчинённых правительственным структурам. В частности, специалисты по безопасности ESET приписывают подобные действия группе российских хакеров APT28 (Fancy Bear). Группа APT28 якобы тестировала ПО, которое запускало зловредный код во время загрузки прошивки из BIOS.
Совместными усилиями специалисты по кибербезопасности Microsoft и разработчики процессоров представили некое кремниевое решение в виде аппаратного корня доверия. Такие ПК компания назвала Secured-core PC (ПК с защищённым ядром). В настоящий момент к Secured-core PC относится ряд ноутбуков компаний Dell, Lenovo и Panasonic и планшет Microsoft Surface Pro X. Эти и будущие ПК с защищённым ядром должны гарантировать пользователям полную уверенность в том, что все вычисления будут доверенными и не приведут к компрометации данных.
До сих пор проблема с защищёнными ПК была в том, что микрокод прошивок создавали OEM-производители материнских плат и систем. Фактически это было самым слабым звеном в цепочке поставок Microsoft. Игровая приставка Xbox, например, годами работает как платформа Secured-core, поскольку за безопасностью платформы на всех уровнях ― от аппаратного до программного ― следят в самой Microsoft. С ПК до сих пор такое было невозможно.
В Microsoft приняли простое решение выбросить прошивку из списка учёта при первичной проверке на доверенность. Точнее, они отдали процесс проверки процессору и специальному чипу. Похоже, при этом используется аппаратный ключ, который записывается в процессор на этапе производства. В момент загрузки прошивки на ПК процессор проверяет её на безопасность, можно ли ей доверять. Если процессор не предотвратил загрузку прошивки (принял её за доверенную), контроль над ПК передаётся операционной системе. Система начинает считать платформу доверенной, и лишь затем через процесс Windows Hello допускает к ней пользователя, также обеспечивая защищённый вход, но уже на высшем уровне.
Кроме процессора в аппаратной защите корня доверия (и целостности прошивки) участвуют чип System Guard Secure Launch и загрузчик операционной системы. Также в процесс включена технология виртуализации, которая изолирует память в операционной системе для недопущения атак на ядро ОС и приложения. Вся эта сложность призвана защитить, в первую очередь, корпоративного пользователя, но рано или поздно нечто подобное наверняка появится в потребительских ПК.