Prijavi se z GoogleID

» »

Microsoft s proizvajalci razvija kriptografsko varne čipe

Microsoft s proizvajalci razvija kriptografsko varne čipe

Microsoft - Virusi so v zadnjih letih postali bolj dodelani in se skrivajo že v firmware, od koder jih je izjemno težko odstraniti, saj vztrajajo celo po ponovni namestitvi sistema ali menjavi diska. Hkrati je firmware izjemno močan vektor, ker ima običajno zelo široke privilegije, še več kakor jedro operacijskega sistema. Da bi zajezil širjenje tovrstnih virusov, je Microsoft z nekaj proizvajalci predstavil koncept računalnika z zaščitenim jedrom (secured-core PC). To je na nek način nujno, saj medtem ko ima Apple že dlje časa polni nadzor nad strojno in programsko opremo, Windows teče na najrazličnejših komponentah.

Novi vezni nabori iz Intela, AMD-ja in Qualcomma bodo podpirali novo tehnologijo. Računalnike s podporo zanjo bodo sestavljali Dell, Dynabook, HP, Lenovo, Panasonic in Microsoft Surface. Nekaj modelov je že napovedanih, denimo HP Elite Dragonfly. Tehnologija je naslednji korak od Windows Secure Boot, ki že obstaja. Ta ob zagonu preveri kriptografske podpise programske opreme in dovoli zagon le, če najde ustrezne. Toda to preverjanje izvaja firmware, ki je lahko sam okužen. Tu stopi na oder secured-core PC.

Okužbe firmwara namreč niso le teorija. Kitajska skupina APT28 (Fancy Bear) je že bila zalotena s kodo, ki počne točno to. Ideja je odstraniti firmware s seznama komponent, katerih integriteto moramo zagotavljati. AMD, Intel in Qualcomm so razvili čipe, ki omogočajo preverjanje integritete med zagonom na kriptografsko varen način. Ker bodo imeli ključe le ti trije, ki jih bodo neberljivo vpisali v procesorje, bo odpadla potreba po interakciji s firmwarom, ki ima lahko varnostne luknje, hrošče ali okužbe. Nekaj podobnega Microsoft že uporablja v Xboxu. Tudi Ciscovi čipi že uporabljajo FPGA (Field Programmable Gate Array) za preverjanje integritete ob zagonu; podobno velja za nove iPhone.

Seveda pa se vsaka veriga zaupanja nekje mora začeti. V konkretnem primeru je to pri proizvajalcih čipov, ki jim zaupamo, da bodo nalogo opravili brez malomarnosti. Če namreč odkrijejo luknjo ali ključi pobegnejo, programskega popravka ne bo moglo biti, ker bodo ključi zapečeni v strojno opremo.

9 komentarjev

JeBelaCesta ::

kaj to pomeni za namestitev Linux op. sistema ?
lp klemen

Lonsarg ::

To za linux če jaz prav razumem ne pomeni nič, ker gre za preverjanje integritete firmware in ne za preverjanje integritete OSa (kar itak počne že TPM).
BTW večina linux distribucij dandanes podpira TPM, v skrajnem primeru ga pa izklopiš.

Skratka zdaj imamo verigo, "secure core" v CPU preverja da je firmware ok, firemware nato preko TPM preverja če je OS ok, ta potem naprej preverja vse ostalo in veriga je sklenjena.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

s1m0n ::

Dokler je pri Linuxu tako popularna fragmentacija bo pač na teh par % uporabe.
Odprto kodne rešitve pač kažejo v obe smeri, da nam prinesejo dobre lastnosti ali pa to kar prinašajo Linux distribucije, da jih je 20+ brez kakršne koli skupnosti, podpore...
|4770K/H100i|ASUS Z87 Deluxe|16GB Vengeance Pro|
|840EVO 250GB|ASUS 1070 STRIX|Seasonic X|FD Define XL R2|

bbf ::

Še ena luknja več..

WhiteAngel ::

s1m0n je izjavil:

Dokler je pri Linuxu tako popularna fragmentacija bo pač na teh par % uporabe.


Huh? Na telefonih in strežnikih ima linux krepko večino. Na desktopu pa četudi bi bila ena in edina fašistična distribucija, ne bi bilo nikoli drugače, ker ni potrebe. Tisti, ki imamo potrebo po linux desktopu, pa predstavljamo ravno teh par % in se ne premaknemo. V glavnem developerji in entuziasti ... že zadnjih 20 let.

Ideja je dobra, ampak bo spet vse zaviselo od implementacije. Če bo Intel kje preveč šlampast, se bo secured-core enostavno prijel slab sloves.

Zgodovina sprememb…

jlpktnst ::

Če gledaš kaj uporabniki delajo na desktopu - potem je realno pričakovati nekaj ala android na desktopu. Chromebook bi bil, pa google ne zna prodajat.

borko ::

Napaka v članku - APT28 ni Kitajski, že ime Fancy Bear pove za katero državo gre.

Ahim ::

Niso virusi bolj sofisticirani (v resnici so precej napisani precej manj elegantno kot primerki izpred 30+ let), ampak je kretenizem proizvajalcev racunalnikov vedno vecji, zato pridno dodajajo nove vektorje napada, kakrsnih v preteklosti enostavno ni bilo. Najvecji krivec pri tem je UEFI, ki ga je na vsak ancin treba porivat naprej ...

Lonsarg ::

UEFI je zgolj standard. Če je implementacija bugasta nima to nič z UEFI. Tudi klasični bios je komot implementiran bugasto. Pravzaprav motherboard firmware znajo bodisi BIOS bodisi UEFI interface izpostavit, vse na isti underlying kodi.

Težave ni v teh standardih pač pa bolj v celotnem premiku industrije k več funkcionalnostim na nižjem nivoju(firmware) v kombinaciji z hardware firmami ki niso toliko fokusirane v secure razvoj softwerja.

Zgodovina sprememb…

  • spremenil: Lonsarg ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 )

Oddelek: Novice / Procesorji
10812269 (5598) rdecaluc
»

FBI: izsiljevalskim virusom kar plačajte (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5216812 (11188) Mare2
»

Prvi virus za Apple Mac, ki okuži strojno opremo

Oddelek: Novice / Varnost
3136133 (32761) kronik
»

UEFI???

Oddelek: Strojna oprema
91619 (1168) Nwanko
»

Maximalna zaščita! "uporabnika"

Oddelek: Informacijska varnost
112069 (1274) Janac

Več podobnih tem