Redmond ha annunciato una nuova iniziativa pensata per rafforzare la sicurezza del processo di boot di un PC Windows 10, un sistema integrato capace – a dire della corporation – di neutralizzare gli attacchi condotti contro il firmware e i più bassi livelli di funzionamento dell’hardware informatico.
Microsoft ha messo in cantiere una nuova protezione hardware a salvaguardia dei momenti più delicati dell’accensione di un PC, vale a dire l’istante in cui la CPU consegna il controllo al firmware di avvio (meglio noto come UEFI, dopo l’abbandono dello storico BIOS) e il firmware procede a sua volta all’inizializzazione del sistema operativo Windows 10. I PC “Secured-core”, dice Microsoft, saranno i sistemi Windows più sicuri di sempre.
L’iniziativa Secured-core PC è nata dall’esigenza di neutralizzare gli attacchi e le minacce contro il firmware UEFI, un problema sempre più pressante a causa delle vulnerabilità software ma anche per l’abuso diretto del suddetto firmware da parte di malintenzionati e agenzie di intelligence “antagoniste”. Al momento il firmware UEFI gestisce un livello di fiducia massimo, spiega Microsoft, mentre i PC Secured-core toglieranno un po’ di quella fiducia blindando ancora di più il processo di bootstrap fondamentale del sistema.
Già disponibile su una selezione limitata di PC laptop di terze parti (e Surface Pro X for Business), la piattaforma Secured-core sfrutterà un nuovo componente hardware chiamato System Guard Secure Launch per neutralizzare gli attacchi contro l’integrità del codice di avvio presente nel firmware.
System Guard userà le nuove capacità Dynamic Root of Trust for Measurement (DRTM) integrate nei processori di AMD, Intel e Qualcomm, passando (parzialmente) il controllo al firmware UEFI – deputato all’inizializzazione dell’hardware di base – e subito dopo “re-inizializzando” il sistema in uno stato “trusted” – sfruttando il boot loader del sistema operativo e la CPU – per il login e l’avvio della sessione di lavoro.
Dalla natura tecnica piuttosto complessa, l’iniziativa Secured-core richiede a quanto pare la presenza di componenti hardware dedicati e sembra quindi indirizzato solo a un numero limitato di sistemi OEM o Surface. L’obiettivo, ha spiegato Microsoft, è quello di fornire PC ultra-sicuri (e a prova di firmware compromessi) a chi deve gestire dati mission-critical, agli specialisti impegnati nel settore finanziario, negli apparati governativi, e altrove.