.
Recurso patrocinado Quando o Windows 11 foi lançado em outubro de 2021, um de seus grandes pontos de venda era uma nova arquitetura de segurança. A Microsoft o projetou desde o início com princípios de confiança zero em mente, recusando-se a confiar na legitimidade de qualquer componente único do sistema. Em vez disso, tudo deve provar que não foi comprometido.
Proteger um sistema dessa maneira é uma tarefa difícil. Requer componentes para provar sua legitimidade usando meios além do escopo dos invasores. É por isso que a segurança de hardware se tornou uma prioridade para a Intel. A empresa trabalha com a Microsoft há anos, criando proteções diretamente em seu hardware por meio dos recursos da plataforma Intel vPro® que se integram diretamente ao sistema operacional.
A necessidade de segurança de hardware
Os invasores e os defensores da segurança cibernética estão em uma corrida semelhante ao Inception. Enquanto os defensores protegem as camadas superiores da pilha, os atacantes correm para comprometer o sistema nos níveis inferiores. Eles visam elementos que operam antes que o sistema operacional comece a funcionar, como o carregador de inicialização e o firmware – o código persistente que é executado no BIOS ou UEFI do sistema. Os rootkits que podem se instalar para interferir no sistema nesse nível podem persistir, controlando o sistema operacional antes mesmo de ele ser carregado.
O outro risco baseado em hardware é a adulteração da cadeia de suprimentos. Uma rede complexa de empresas globais colabora indiretamente para colocar um PC na prateleira de um varejista. A Microsoft tem detalhou o risco, descrevendo como invasores em qualquer estágio da cadeia podem injetar código malicioso em componentes de hardware. Assim como os rootkits, esses ataques são caros de montar, mas difíceis de detectar, tornando-os ideais para atores de estado-nação bem financiados.
A chave para proteger o sistema contra ataques de baixo nível como esses é combinar proteções baseadas no sistema operacional com medidas de segurança baseadas em hardware. Quanto mais hermética for essa integração, menos vulnerável você deixará o sistema comprometido. Venky Venkateswaran, diretor de segurança de produtos para clientes e arquitetura e definição de virtualização do Grupo de Computação de Cliente centrado em dispositivos da Intel, explica que esse é um processo contínuo.
“Trabalhamos muitos anos à frente com clientes OEM e parceiros importantes como a Microsoft para moldar as soluções que queremos construir em termos de desempenho e características de segurança”, explica ele. Para o Windows 11, a Microsoft e a Intel trabalharam por mais de cinco anos nos recursos que dariam suporte aos objetivos seguros por padrão do Windows 11, por exemplo.
Protegendo sistemas por meio de hardware seguro
A estreita colaboração com a Microsoft permite que a Intel proteja os usuários de pelo menos duas maneiras. O primeiro remove a confiança implícita em componentes de sistema de baixo nível, substituindo-a por uma prova de que seu código não foi adulterado. Ele faz isso direcionando o armazenamento de credenciais digitais mais adiante na pilha para o coração do próprio chip.
Em segundo lugar, a Intel usou a aceleração baseada em hardware para oferecer suporte a controles de segurança cibernética complexos e intensivos em computação que simplesmente não seriam viáveis antes.
“Se esses recursos não funcionassem bem e atrapalhassem a produtividade, ninguém iria querer ativá-los. Isso é visto como um imposto”, diz Venkateswaran. Eles devem trabalhar discretamente se quiserem trabalhar. “Você não pode resolver alguns desses problemas de maneira adequada e obter o tipo certo de desempenho e características de segurança se apenas tentar fazer isso no software.”
A arquitetura Intel vPro inclui um conjunto de recursos nos chips Intel que oferecem assistência de hardware em áreas como gerenciamento remoto e segurança. Todas essas medidas de proteção baseadas em hardware estão sob um conceito abrangente chamado Intel® Hardware Shield. O Intel Hardware Shield e a tecnologia de gerenciamento remoto mapeiam os cinco níveis de operação do dispositivo descritos no eBook de segurança do Windows 11: o hardware do processador do computador, o sistema operacional, os aplicativos, a identidade e a privacidade e a nuvem. Juntos, eles fornecem uma cadeia de confiança que começa antes mesmo de o PC inicializar e protege o sistema contra toxinas baseadas em software, operando em um nível mais baixo do que os invasores podem.
Evolução dos recursos de segurança
Graças à assistência de hardware, Venkateswaran explica que muitos dos recursos do Hardware Shield que costumavam ser desativados por padrão no Windows agora estão ativados imediatamente. A estudar da IOActive disse que isso permitiu à empresa reduzir a superfície de ataque no PC Windows médio em até 70% em comparação com os sistemas criados quatro anos antes.
Uma proteção agora ativada por padrão a partir do Windows 11 é a integridade do código protegido por hipervisor (HVCI ou integridade da memória). Esse recurso executa uma verificação de integridade do modo kernel dentro de uma máquina virtual (VM) em vez do kernel principal do Windows, para garantir que todo o código do kernel no convidado seja assinado corretamente. A Intel suporta recursos como este com controle de execução baseado em modo (MBEC). Essa ferramenta assistida por hardware permite que os hipervisores imponham a integridade do código do kernel por meio de um controle mais refinado da execução da página usando permissões de usuário e supervisor.
As proteções de virtualização da Intel estendem a pilha, começando com proteções em nível de chip, como sua arquitetura VT-x. Intel® Total Memory Encryption e Intel® Total Memory Encryption – Multi-Key estende a segurança usando criptografia reforçada por hardware para proteger o conteúdo da memória entre diferentes máquinas virtuais. Proteger espaços de trabalho isolados de forma independente ajuda a resolver o ponto ideal de desempenho versus segurança, diz a Intel.
A segurança da virtualização assistida por hardware também ajuda a fortalecer os sistemas e reduzir a superfície de ataque no nível do sistema operacional e do aplicativo. Aqui, a Intel aplica a tecnologia de virtualização Intel para E/S direcionada (VT-d). Isso oferece proteção em nível de kernel para acesso direto à memória (DMA). O DMA envolve leitura e gravação na memória do sistema sem usar o processador, o que significa que várias VMs e contêineres podem acessar diretamente os dispositivos de E/S. O VT-D protege os dispositivos contra acesso direto não autorizado à memória, isolando efetivamente as cargas de trabalho da VM contra malware no sistema operacional principal.
Protegendo o sistema de power-on
A Intel e a Microsoft uniram suas pesquisas para criar um sistema que permite que os endpoints sejam inicializados com segurança. Ele combina vários recursos do Hardware Shield para criar uma cadeia segura de confiança que monitora e verifica a integridade do processo de inicialização em todas as etapas.
Essa segurança começa com o Intel® Boot Guard, uma medida que verifica a integridade do firmware assinado em relação aos certificados digitais do OEM armazenados diretamente no hub do controlador de programa (PCH) do dispositivo. Isso fornece uma cadeia de confiança para garantir a integridade da inicialização, porque o sistema inicializará apenas o firmware UEFI assinado pelo OEM.
Um processo conhecido como Secure Boot lida com o processo de inicialização inicial, verificando todo o código executado antes do carregamento do sistema operacional. Depois disso, outro processo chamado Trusted Boot verifica a validade do kernel. Então o próprio Windows, tendo sido verificado como carregado com segurança, pode implementar seus próprios controles para proteger outras operações do sistema – geralmente com a ajuda do hardware Intel.
A Intel® Trusted Execution Technology (Intel® TXT) organiza o processo de inicialização, verificando o comportamento dos componentes do tempo de inicialização em relação a uma boa sequência conhecida, ajudando a identificar quaisquer anomalias que possam sinalizar um comprometimento.
Para que tudo isso funcione, a Intel deve ter uma maneira de armazenar segredos com segurança em uma região inviolável do hardware, protegendo-os de ataques baseados em software. É aqui que entra o modelo de plataforma confiável (TPM). Um TPM armazena segredos como chaves, senhas e certificados digitais diretamente no silício, em um nível que os invasores não podem alcançar. Os clientes corporativos geralmente precisam de TPMs totalmente certificados, que devem ser discretos (chips separados na placa-mãe) de acordo com a especificação do Trusted Computing Group. Portanto, os OEMs enviarão TPMs discretos como uma opção padrão em máquinas destinadas ao mercado corporativo. Por outro lado, os OEMs enviam máquinas de consumo normalmente sem TPMs discretos totalmente certificados. A Intel protege esses dispositivos com seu próprio Trusted Platform Module sob o nome Intel® Platform Trust Technology (Intel® PTT).
Interrompendo ataques baseados em memória
Tendo protegido a cadeia de inicialização, a Intel voltou sua atenção para outra técnica de ataque comum: ataques de código orientados a retorno. Atores mal-intencionados geralmente usam a tendência de um programa existente de pular para diferentes partes do código, alterando o local do código a ser executado. Isso permite que eles assumam o controle do fluxo do programa, executando seu próprio código. Essa é a base para ataques de estouro de buffer, que são a ruína dos desenvolvedores que trabalham em linguagens com vulnerabilidade de memória, como C++.
A Intel respondeu com sua Tecnologia Intel® Control-Flow Enforcement (Intel® CET), uma proteção em nível de hardware introduzida em suas CPUs seguras de 11ª geração para impedir ataques direcionados ao fluxo do programa. Extensões ao conjunto de instruções do chip permitem que ele rastreie a ramificação do programa para que possa detectar anomalias nos saltos do programa. Ele também oferece uma proteção semelhante para ataques orientados a retorno, em que o invasor sobrescreve a parte da pilha de memória que contém o endereço para o qual o fluxo do programa retornará. Ele usa uma pilha de sombra para proteger os endereços de retorno de adulteração.
A Microsoft criou suporte para esse recurso da Intel no Windows 10 2H20 com a introdução da proteção de pilha de hardware, posteriormente adicionando a proteção de pilha aplicada por hardware no modo Kernel no ano passado no Windows 11 22H2.
Avante e para cima
Proteger o endpoint é uma jornada sem fim que requer colaboração próxima entre as equipes de hardware e software, diz Venkateswaran. Existem muitos outros recursos assistidos por hardware que oferecem proteções de segurança, como Tecnologia de detecção de ameaças Intel® (Intel® TDT), que usa a GPU integrada de um processador para executar análises baseadas em IA do sistema operacional e do comportamento no nível do aplicativo.
Como a Microsoft, a Intel também aprende com os ataques aos seus próprios sistemas. “Fizemos avanços significativos em nossa garantia de segurança, aumentando os investimentos em garantia de segurança para que possamos localizar e corrigir bugs de forma proativa”, diz Venkateswaran. Para esse fim, a Intel também possui um programa de recompensas para recompensar os pesquisadores de segurança que encontram vulnerabilidades em seus sistemas. Em 2022, ampliou esse programa com Projeto Disjuntor, uma iniciativa para incentivar a pesquisa da comunidade sobre a segurança de mais produtos, incluindo GPUs, conjuntos de chips e hipervisores. Ele detalha suas descobertas em um relatório anual de segurança que usa para demonstrar como corrigiu novos bugs de segurança.
“A Intel e a Microsoft continuam a colaborar estreitamente como uma única equipe de segurança, fornecendo recursos de segurança para nossos clientes em comum”, conclui Venkateswaran. “No final das contas, é isso que permite que o Windows na Intel tenha a melhor segurança.”
Patrocinado pela Intel.
.
