O poder da Empatia num mundo híbrido
Microsoft Pluton: o chip de segurança concebido para o futuro dos PCs Windows
Paula Fernandes
Diretora da Unidade de Negócio de Segurança
A função do PC Windows e a confiança na tecnologia são mais importantes do que nunca, uma vez que os nossos dispositivos mantêm a interligação e a produtividade na vida profissional e pessoal. O Windows 10 é a versão mais segura do Windows de sempre, criada com segurança integral para proteção a todos os níveis, da periferia até à cloud, sem esquecer o hardware. Avanços como o reconhecimento facial biométrico do Windows Hello, o Antivírus do Microsoft Defender incorporado, as proteções de firmware e as capacidades avançadas do System Guard, o Controlo de Aplicações para o Windows e não só, ajudaram a Microsoft a acompanhar o ritmo da evolução no cenário de ameaças.
Embora as proteções asseguradas pela cloud e os avanços da IA para o sistema operativo Windows tenham tornado os ataques cada vez mais difíceis e dispendiosos, os atacantes estão rapidamente a evoluir e mudar os seus alvos: as falhas de segurança nas junções entre o hardware e o software cujo acesso e monitorização não são atualmente possíveis. Juntamente com os nossos parceiros, já tomámos medidas para combater estes sofisticados cibercriminosos e agentes estatais, através de inovações como os PCs de núcleo seguro que oferecem proteção avançada das identidades, do sistema operativo e do hardware.
Em conjunto com os seus maiores parceiros de silício, a Microsoft anuncia uma nova visão para a segurança do Windows que pretende ajudar a assegurar a proteção dos nossos clientes no presente e no futuro. Em colaboração com a AMD, a Intel e a Qualcomm Technologies, Inc., os nossos principais parceiros de silício, anunciamos o processador de segurança Microsoft Pluton. Esta tecnologia do chip até à cloud iniciada na Xbox e no Azure Sphere, irá trazer ainda mais avanços de segurança para os futuros PCs Windows e assinala o início de uma nova era com parceiros do ecossistema e OEMs.
A nossa visão para o futuro dos PCs Windows é a segurança ao nível mais básico, no núcleo, incorporada na CPU, onde o software e o hardware estão firmemente integrados numa abordagem unificada concebida para eliminar vetores completos de ataque. Este design revolucionário do processador de segurança irá dificultar de forma mais significativa a ocultação dos atacantes sob o sistema operativo e irá melhorar a nossa capacidade de proteção contra ataques físicos, evitar o roubo de chaves de encriptação e credenciais, além de fornecer a capacidade de recuperação de erros de software.
O design do Pluton redefine a segurança do Windows ao nível da CPU
Na base da segurança do sistema operativo da maioria dos PCs reside um chip separado da CPU, o chamado TPM (Trusted Platform Module). O TPM é um componente do hardware que é utilizado para ajudar a armazenar chaves e medições em segurança para verificar a integridade do sistema. Os TPMs estão disponíveis no Windows há mais de 10 anos e estão na base de muitas tecnologias essenciais como o Windows Hello e o BitLocker. Considerando a eficácia do TPM na execução de tarefas de segurança críticas, os atacantes começaram a inovar nas formas de ataque, especialmente em situações nas quais podem roubar ou obter acesso físico a um PC de forma temporária. Estas sofisticadas técnicas de ataque visam o canal de comunicação entre a CPU e o TPM, o qual normalmente é uma interface de barramento. Esta interface de barramento fornece a capacidade para partilhar informações entre a CPU principal e o processador de segurança, mas também uma oportunidade para os atacantes roubarem ou modificarem informações em trânsito através de um ataque físico.
O design do Pluton remove o potencial de ataque através desse canal de comunicação ao incorporar a segurança diretamente na CPU. Os PCs Windows que utilizam a arquitetura Pluton irão primeiro emular um TPM que funciona com as especificações de TPM e as APIs existentes, o que irá permitir aos clientes beneficiar imediatamente de uma maior segurança para funcionalidades do Windows que dependem de TPMs como o BitLocker e o System Guard. Os dispositivos Windows equipados com o Pluton irão utilizar o processador de segurança Pluton para proteger as credenciais, as identidades dos utilizadores, as chaves de encriptação e os dados pessoais. Nenhuma destas informações pode ser removida do Pluton, mesmo que um atacante tenha instalado malware ou tenha a posse física completa do PC.
Isto é conseguido pelo armazenamento seguro de dados confidenciais como as chaves de encriptação dentro do processador Pluton, que está isolado do resto do sistema, ajudando a assegurar que técnicas de ataque emergentes, como a execução especulativa, não tenham acesso a material essencial. O Pluton também fornece a tecnologia exclusiva SHACK (Secure Hardware Cryptography Key), que ajuda a assegurar que as chaves nunca são expostas fora do hardware protegido, mesmo ao próprio firmware do Pluton, o que fornece um nível de segurança sem precedentes para os clientes do Windows.
O processador de segurança Pluton complementa o trabalho que a Microsoft tem desenvolvido com a comunidade, incluindo o Project Cerberus, ao fornecer uma identidade segura para a CPU que pode ser atestada pelo Cerberus, aumentando assim a segurança da plataforma global.
Um dos outros grandes problemas de segurança resolvidos pelo Pluton é a necessidade de manter o firmware do sistema atualizado em todo o ecossistema do PC. Hoje em dia, os clientes recebem atualizações para o seu firmware de segurança provenientes de várias fontes, o que pode dificultar a sua gestão, resultando em problemas generalizados na aplicação de patches. O Pluton fornece uma plataforma flexível e atualizável para executar o firmware que implementa uma funcionalidade de segurança integral com autoria, manutenção e atualização por parte da Microsoft. O Pluton para os computadores Windows será integrado no processo do Windows Update do mesmo modo que o Serviço de Segurança do Azure Sphere se liga aos dispositivos IoT.
A fusão das melhorias de segurança do sistema operativo da Microsoft (inovações como PCs de núcleo seguro e o Azure Sphere) e das inovações de hardware dos nossos parceiros do silício, fornece à Microsoft a capacidade de se proteger de ataques sofisticados contra os PCs Windows, a cloud do Azure e os dispositivos periféricos inteligentes do Azure.
Inovar com os nossos parceiros para melhorar a segurança do chip até à cloud
O sucesso do PC deve-se, em larga medida, a um ecossistema extremamente vibrante de parceiros de sistema operativo, silício e OEM no qual todos trabalham todos em conjunto na resolução de problemas difíceis através da inovação colaborativa. Isto foi demonstrado há mais de 10 anos com o sucesso da introdução do TPM, o primeiro hardware com “root-of-trust” disponibilizado ao público em geral. Desde este marco, a Microsoft e os seus parceiros continuam a colaborar em tecnologias de segurança de próxima geração que tiram partido das mais recentes inovações do sistema operativo e do silício para resolver os mais desafiantes problemas de segurança. É com esta abordagem conjunta que tencionamos tornar o ecossistema do PC o mais seguro disponível.
A tecnologia de design do Microsoft Pluton incorpora todas as aprendizagens adquiridas graças à integração de dispositivos com hardware “root-of-trust” em centenas de milhões de PCs. O design do Pluton foi introduzido como parte das capacidades integradas de segurança de sistema operativo e hardware na consola Xbox One lançada em 2013 em parceria com a AMD e também no Azure Sphere. A introdução da tecnologia de propriedade intelectual da Microsoft diretamente no silício da CPU ajudou a proteger contra ataques físicos, a evitar a deteção de palavras-chave e a fornecer a capacidade de recuperação de erros de software.
Com a eficácia do design inicial do Pluton aprendemos muito sobre como utilizar o hardware para mitigar uma série de ataques físicos. Agora, estamos a aplicar o que aprendemos para fornecer uma visão de segurança do chip até à cloud e trazer ainda mais inovações de segurança ao futuro dos PCs Windows (mais detalhes nesta palestra do Microsoft BlueHat). O Azure Sphere tirou partido de uma abordagem de segurança semelhante para se tornar no primeiro produto IoT a cumprir as “Sete propriedades dos dispositivos altamente seguros.”
A tecnologia partilhada “root-of-trust” do Pluton irá maximizar o estado de funcionamento e a segurança de todo o ecossistema do PC Windows ao tirar partido da experiência e das tecnologias de segurança das empresas envolvidas. O processador de segurança Pluton irá fornecer a próxima geração de proteção de segurança do hardware para os PCs Windows através dos futuros chips da AMD, Intel e Qualcomm Technologies.
“Na AMD, a segurança é a nossa principal prioridade e temos orgulho por estar na vanguarda do design da plataforma de segurança de hardware para fomentar funcionalidades que ajudam a proteger os utilizadores contra os mais sofisticados ataques. Como parte dessa vigilância, a AMD e a Microsoft têm estado a desenvolver e a melhorar continuamente soluções de segurança baseadas no processador em estreita parceria, começando pela consola Xbox One e agora para o PC. Estamos a conceber e criar os nossos produtos tendo a segurança em mente e a integrar a tecnologia Pluton da Microsoft ao nível do chip irá aumentar as já fortes capacidades de segurança dos nossos processadores.” – Jason Thomas, Responsável pela Segurança dos Produtos, AMD
“A Intel continua a sua parceria com a Microsoft para aumentar a segurança das plataformas de PC Windows. A introdução do Microsoft Pluton em futuras CPUs da Intel irá permitir uma maior integração entre o hardware da Intel e o sistema operativo Windows.” – Mike Nordquist, Diretor Sénior, Segurança de Cliente Comercial, Intel
“A Qualcomm Technologies tem o prazer de continuar o seu trabalho com a Microsoft para ajudar a criar uma série de dispositivos e casos de utilização mais seguros. Acreditamos que um processador como o Microsoft Pluton, que incorpora “root-of-trust” mesmo no chip, é um componente importante na proteção de vários casos de utilização e dos dispositivos que os suportam.” – Asaf Shen, Diretor Sénior de Gestão de Produtos na Qualcomm Technologies, Inc.
Acreditamos que processadores com segurança incorporada como o Pluton são o futuro do hardware informático. O objetivo do Pluton é fornecer uma base mais segura para a periferia e a cloud inteligentes, ao alargar este nível de confiança incorporada a todo o tipo de recursos e dispositivos em qualquer lugar.
O nosso trabalho com a comunidade ajuda a Microsoft a inovar continuamente e a melhorar a segurança a todos os níveis. Estamos muito satisfeitos por, em conjunto com os maiores nomes do setor do silício, tornar este design de segurança revolucionário uma realidade, à medida que continuamos a trabalhar para melhorar a segurança de todos.