مايكروسافت پلوتون؛ پردازنده امنيتي ردمونديها براي بالا بردن امنيت سيستم
مايكروسافت در پاسخ به موج جديد حملات سايبري كه باعث شدهاند امنيت ويندوز به خطر بيافتد، پردازندهي امنيتي جديدي با نام پلوتون (Microsoft Pluton) معرفي كرده است. اين واحد پردازشي قرار است در تراشههاي اينتل و AMD به كار گرفته شود.
مايكروسافت ميگويد پردازندهي پلوتون با استفاده از نوعي فناوري خاص ساخته شده است كه پيشتر شاهد استفاده از آن در پردازندههاي سفارشي كنسولهاي بازي سري ايكس باكس بودهايم. پردازندههاي سفارشي ايكس باكس نتيجهي همكاري AMD و مايكروسافت هستند. پردازندهي پلوتون مجهز به نوعي قابليت استاندارد است كه در پردازندههاي سرور سري اپيك (AMD EPYC) پيدا ميشود. به لطف تراشهي پلوتون، اينتل نيز قصد دارد رويكردي مشابه براي كمك به محافظت امنيتي بيشتر از رايانههاي شخصي در پيش بگيرد.
همكاري تجاري مايكروسافت، اينتل، AMD و كوالكام باعث ميشود ميزان امنيت دستگاههاي مختلف افزايش پيدا كند تا شانس افراد سودجو براي انجام حملات هكري فيزيكي يا سرقت كليدهاي رمزنگاري كاهش پيدا كند. پردازندهي پلوتون همچنين از دستگاهها در برابر حملات سايبري به فرمور محافظت ميكند. مايكروسافت قصد دارد از فناوري بهكاررفته در پلوتون براي سادهسازي بهروزرساني فرمور ازطريق ويندوز آپديت (Windows Update) استفاده كند.
پردازندهي امنيتي پلوتون پاسخ مايكروسافت به موج جديد حملات سايبري عليه سيستمها است
همانطور كه در ابتدا اشاره كرديم، پردازندهي امنيتي پلوتون پاسخ مستقيم مايكروسافت به موج جديد حملاتي است كه به روشهاي خاصي متكي هستند و ردمونديها در تلاشند با پردازندهي پلوتون، جلوي انجام شدن اين نوع حملات را بگيرند.
محققان امنيتي ميگويند حملات مورد مباحثه بهصورت غير مستقيم ماژول پلتفرم مورد اعتماد (Trusted Platform Module - TPM) را هدف قرار ميدهند؛ TPM مدتها است كه بهعنوان روش اصلي امن كردن رايانههاي شخصي در مقابل تهديدهاي امنيتي احتمالي متخصصد دارد.
TPM تراشهي ثانويهي سيستم است كه وظيفهي ذخيره كردن كليدهاي رمزنگاري براي سرويسهايي نظير بيت لاكر (Bitlocker) و ويندوز هلو (Windows Hello) را بر عهده دارد و همچنان از پيشنيازهاي لازم براي محافظت كامل از كليدهاي رمزنگاري در برابر تهديدها برخوردار است؛ اما هكرها طي چند وقت اخير ياد گرفتهاند چگونه ميتوان ازطريق حملات فيزيكي، به رابطي كه TPM را به پردازندهي مركزي (CPU) سيستم متصل ميكند نفوذ كنند. با نفوذ هكرها به رابط مورد مباحثه، امنيت سيستم به خطر ميافتد.
مايكروسافت ميگويد بهترين نوع سيستمهاي امنيتي، آن دسته از سيستمها هستند كه مستقيما به درون پردازنده تزريق ميشوند. اين نوع سيستمهاي امنيتي در برابر حملات فيزيكي هكرها نيز مقاومند. همين موضوع باعث شده است ردمونديها تصميم به ساخت پردازندهي امنيتي پلوتون بگيرند.
رويكرد مايكروسافت در پلوتون براي محافظت از سيستمها، رويكرد كاملا جديدي نيست. AMD در سال ۲۰۱۳ واحد پردازشي با عنوان پردازندهي امنيتي AMD (AMD Security Processor - APS) درون كنسول ايكس باكس جاي داده بود. اين پردازندهي ۳۲ بيتي ARM Cortex-A5 از ديگر بخشهاي تراشهي اصلي ايزوله شده است و همين موضوع ميشود در برابر حملاتي كه اكسپلويتهايي نظير Spectre دارند مقاوم باشد. به لطف ايزوله بودن، پردازنده فرايند توليد كليد رمزنگاري را بر بستري امن انجام ميدهد.
AMD از سالها پيش پردازندههاي سرور سري اپيك را به واحد پردازشي مشابه پلوتون مجهز كرده است. اين رويكرد را در پردازندههاي تجاري AMD نيز شاهد هستيم. پردازندهي امنيتي AMD در كنسول ايكس باكس در همكاري مستقيم با پردازندهي پلوتون خواهد بود تا ارتباط تنگاتنگي بين نرمافزار مايكروسافت و سختافزار امنيتي AMD برقرار باشد. AMD قصد دارد به نخستين شركت دنيا تبديل شود كه اين سيستم امنيتي را به درون تمامي پردازندههاي مركزي و پردازندههاي شتابيافتهي (APU) آيندهي خود تزريق كند. درحالحاضر بهطور دقيق نميدانيم از چه زماني تراشههاي AMD به اين قابليت مجهز ميشوند.
پردازندهي مايكروسافت پلوتون براي سازگاري با API-هايي نظير بيت لاكر، از TPM الگوبرداري ميكند
از طرفي ديگر اينتل قصد دارد همچنان از قابليت هاردور شيلد (Hardware Shield) در پردازندههاي سري vPro بهره بگيرد؛ هاردور شيلد صرفا در مدلهاي بهخصوصي از پردازندههاي تجاري اينتل يافت ميشود و همهي متخصصان به آن دسترسي ندارند.
از اين پس به لطف واحد پردازشي پلوتون، تراشههاي اينتل به سطح پيشرفتهتري از امنيت ميرسند. اينتل هنوز نگفته است پلوتون را چه زماني به تراشههايش تزريق ميكند؛ اما ميگويد قصد دارد بهصورت نزديك با مايكروسافت همكاري كند تا پلوتون را بهعنوان قابليتي انتخابي در مقياس بزرگ دردسترس مشتريان قرار دهد.
بيانيهي اينتل بهطور واضح به همهي ابعاد ماجرا اشاره نميكند و هنوز نميدانيم تيم آبي پردازندهي پلوتون را به تمامي تراشههايش اضافه ميكند يا صرفا در پي اضافه كردن آن به تراشههاي سري vPro است. احتمالا تراشههاي مجهز به پلوتون ارزش بيشتري خواهند داشت و كساني كه با ارزش زياد اشكال نداشته باشند، سراغ تهيهي آنها خواهند رفت.
پردازندهي امنيتي پلوتون از TPM الگوبرداري ميكند تا بتواند با APIهايي نظير بيت لاكر و سيستم گارد (System Guard) سازگار باشد. پلوتون همچنين از فناوري خاصي با نام كليد رمزنگاري سختافزاري ايمن موسومبه SHACK استفاده ميكند تا كليدهاي رمزنگاري بهدست افراد سودجو نيافتند و حتي فرمور پلوتون نيز به آنها دسترسي نداشته باشد. اين رويكرد باعث ميشود متخصص دربرابر حملات فيزيكي، ايمن باشد.
مايكروسافت ميگويد پردازندهي پلوتون فرايند بهروزرساني فرمور را امن ميكند و در تلاش است روشي سادهتر و بادوامتر براي بهروزرساني فرمور ارائه دهد. اين رويكرد امروزه اهميت زيادي دارد؛ زيرا شماري از هكرها تلاش ميكنند در فرايند بهروزرساني فرمور، آسيبهاي امنيتي به آن تزريق كنند.
هم انديشي ها