Skip to main content

Windows 11:n TPM-sirujen vaatimus on vasta alkua – lisää on luultavasti tulossa

TPM
(Kuva: Quiet PC)

Microsoft on sekoittanut monet julkistamallaan minimikokoonpanolla Windows 11:lle. Suurin hämmentäjä on ollut teknologia nimeltä Trusted Platform Module, eli TPM.

TPM-piirien tehtävänä on suorittaa laitteistotason salausoperaatioita sekä varmentaa järjestelmän aitous käynnistäessä. Niissä on myös joitain ominaisuuksia, jotka suojaavat niitä peukaloinnilta.

Windows 11 vaatiikin perinteisten suorittimen, muistin ja tallennustilan lisäksi tietokoneilta TPM 2.0 -tukea, joka on joko sisäänrakennettu prosessoriin tai on emolevyyn liitetty erillinen siru.

Julkistus on saanut monet käyttäjät etsimään omalta tietokoneelta mahdollisia TPM-siruja sekä tarkastamaan, kuinka nämä voidaan aktivoida BIOS:ista. Myös hieman myöhemmin tullut paljastus, että Windows 11 voidaan teknisesti asentaa myös tätä tukemattomiin laitteisiin ei ole ainakaan hälventänyt hämmennystä.

Kameleonin perustaja ja toimitusjohtaja Jorge Myszne ihmettelee TMP:n pakollisuutta kuitenkin siksi, että kyseessä on hänen mukaansa jo vanhentunut teknologia.

"TPM on vuodelta 2003; se oli riittävä kaksikymmentä vuotta sitten, mutta mietitään, kuinka paljon infrastruktuuri on muuttunut viimeisen kahden vuosikymmenen aikana", Myszne kommentoi TechRadar Prolle.

Vaikka TPM-standardi on kehittynyt merkittävästi sen julkaisusta, ja viimeisin TPM 2.0 -päivitys julkaistiin vuonna 2019, Mysznen mukaan tällaisessa lähestymistavassa turvallisuuteen on yksi perusteellinen virhe.

"Päällisin haaste on siinä, että TPM on passiivinen laite. Vaikka voit säilyttää siellä dataa, jota kukaan ei näe, ohjelmisto vaatii siihen pääsyn, jos haluat tehdä sillä jotain. Ja jos ohjelmistolla on pääsy, silloin myös hyökkääjällä voi olla pääsy."

Firmware-turvaa

Kameleon perustettiin vuonna 2019 ja sen rahoittajana on toiminut muun muassa ohjelmoitavien SoC:n pioneeri Xilinx. Kameleonin tavoitteena on kääntää kyberrikollisuuden dynamiikka tuomalla etulyöntiaseman puolustajille.

Vaikka yhtiö ei ole vielä julkaissut yhtään tuotetta, se työskentelee Proactive Security Processing Unit -laitteen kimpussa (ProSPU). Yhtiö toivoo sen avulla pystyvänsä taistelemaan firmware-hyökkäyksiä vastaan, jotka ovat nousseet niin määrältään kuin monimutkaisuudellaan.

"Yleisin hyökkäystyyppi näyttää sovellukselta, joka kohdistaa hyökkäyksensä ylimpiin tasoihin. Nämä on onneksi suojattu melko onnistuneesti", Myszne keroo. "Tämän johdosta hyökkääjät ovat ryhtyneet tekemään entistä erikoistuneempia hyökkäyksiä, jotka kohdistuvat suoraan firmwareen. Tällaisia hyökkäyksiä on vaikea havaita ja ne ovat usein sinnikkäitä."

Microsoftin viimeaikaisten lukujen perusteella 80 % yrityksistä on kohdannut ainakin yhden firmware-hyökkäyksen viimeisen parin vuoden aikana. Silti vain kolmannes turvallisuusbudjetista on siunattu firmwaren suojaukselle, ja 21 % turvallisuuspäälliköistä myöntää, että firmwarea ei edes tarkkailla.

koodaus

(Image credit: Shutterstock / Gorodenkoff)

Ongelma tämänkaltaisissa hyökkäyksissä on se, ettei niitä voi tunnistaa ja estää ohjelmilla. Käynnistyessä järjestelmä käynnistyy osissa, ja aivan ensiksi se lataa pienen koodinpätkän suorittimeen. Sitä seuraa isompi koodirimpsu, jonka jälkeen käyttöjärjestelmä ladataan joko kovalevyltä tai verkosta.

"Mikä tahansa hyökkäys tässä vaiheessa prosessia on täysin jäljittämätön. Ohjelmisto ei ole vielä edes käynnissä, joten se ei voi tunnistaa mahdollisia haavoittuvuuksia", Myszne huomauttaa.

Hänen mukaansa ratkaisu onkin dedikoitu laite, joka suojaa järjestelmää. Samaan tapaan kuin näytönohjain huolehtii grafiikasta ja TPU:t tekoälyn työkuormasta, turvallisuusprosessorin tehtävänä on luoda "root-tason suoja" (root of trust) tarkastamalla, että firmware on aito.

Dedikoitu turvallisuussuoritin

Kameleonin ProSPU on suunniteltu palvelimille ja datakeskuksille ja sen tehtävänä on suojata sellaisilta ongelmilta, joihin TPM-siruihin luotto ohjelmatasolla voi johtaa.

TPM-sirujen ollessa passiivisia ja tarjoten siten mahdollisuuden tunkeutumiselle, ProSPU hallitsevat järjestelmää ja suorittavat aktiivisesti tarkastuksia, jotta kaikki osat boottausprosessissa ovat aitoja. Monet markkinoilla olevat sirut suorittavat jo oman turvatun käynnistyksen, Myszne myöntää, mutta yksikään näistä ei "sorki kaikkia eri paikkoja".

Root-tason suojan lisäksi ProSPU tarjoaa salauspalveluita ohjelmille, kuten avaingeneraattoreita, avainhallinnan, suojauksen ja purun, sekä ylläpitää suojaa, joka tunnistaa ja estää hyökkäyksiä.

Koska ProSPU:lla on myös suora pääsy muistiin käyttöjärjestelmän alapuolella, se voi toimia hyökkääjiltä piilossa. Ja koska se ei luota API:in pääsyn osalta, sitä ei voi myöskään tartuttaa.

"Hyökkääjä pyrkii ensimmäisenä ymmärtämään järjestelmän ja sen suojaukset. Tässä tapauksessa suojaus pyörii kokonaan omassa järjestelmässä, jolla on suorat yhteydet ohjelmiston alapuolella", Myszne sanoo.

"Hyökkääjä ei siten tiedä, mitä tapahtuu, ja joutuu hyökkäämään järjestelmään tuntematta sen puolustuksia. Ja koska hyökkääjät eivät pidä riskeistä, he kohdistavat hyökkäyksensä jonnekin muualle."

Laitteistosuojauksen tulevaisuus

Kun Myszneltä kysyttiin, pitääkö hän Microsoftin päätöstä vaatia TPM 2.0 -tuki Windows 11:lle vääränä, hän nyökkää.

"Jos työskentelisin yritystason käyttöjärjestelmän parissa, silloin kyllä, mutta geneeriselle käyttöjärjestelmälle kuten Windows se on iso panos, sillä siinä on ongelmansa", hän sanoo.

"Yleensä TPM:t on poistettu käytöstä vakioasetuksissa, koska niitä on vaikea hallita. Käyttäjän täytyy tietää, mitä he tekevät tai muutoin he saattavat tuhota tietokoneensa. Kuinka moni ihminen osaa säätää BIOS:ia turvallisesti?"

Vaikka Mysznen mielestä TPM on kuitenkin parempi kuin ei mitään turvallisuuden kannalta, hän epäilee, että käyttäjien heikon tietotaidon ja riittämättömän suojauksen takia vaatimus aiheuttaa enemmän päänvaivaa kuin oikeaa hyötyä.

"Järjestelmä ei pyöri enää yhdellä sirulla, kuten 20 vuotta sitten. Meidän täytyy kehittää laitteiston turvainfrastruktuuri nykypäivän ja seuraavan viiden tai kymmenen vuoden tasolle."

Kameleon odottaa tuovansa ProSPU:n alfaversion testattavaksi vuoden loppuun mennessä ja ensimmäisen versiot palvelimille vuoden 2022 ensimmäisellä puoliskolla. Vaikka teknologian käyttö on tärkeintä juuri datakeskuksissa, joissa riski on yleisempää, Myszne uskoo ProSPU-tyylisen laitteiston saapuvan hiljalleen myös käyttäjille ja yrityksille seuraavan kahden tai kolmen vuoden aikana.

"Meillä riittää suojattavaa", hän toteaa.