Skip to main content

Glem TPM i Windows 11, problemene stikker dypere enn som så

TPM
(Foto: Quiet PC)

Microsofts uttalelser om maskinvarekravene i Windows 11 har forvirret nær sagt alle. I sentrum av misforståelsene ligger en teknologi kjent som Trusted Platform Module, eller TPM.

TPM-brikkene har som oppgave å utføre kryptografiske operasjoner som gir sikkerhet på maskinvarenivå, og verifiserer på denne måten at systemet er som det skal når det slås på. De innehar også en rekke andre mekanismer som gjør at de er vanskelige å påvirke utenfra.

Blant andre spesifikasjoner relatert til CPU, RAM og lagring, krever Windows 11 at alle maskiner som skal ta det i bruk må ha støtte for TPM 2.0, enten innebygget i prosessoren, eller i form av en ekstern brikke sittende på hovedkortet.

Annonseringen ble kimen til at en skare PC-eiere lettere panisk måtte finne ut hvorvidt maskinen de bruker støtter TPM, og i noen tilfeller, hvordan man slår på funksjonen i BIOS. Mindre forvirring ble det ikke etter at det ble klart at Windows 11, teknisk sett, kunne installeres på inkompatible maskiner.

Samtidig sitter et annet selskap og klør seg i hodet over TPM-avgjørelsene i Microsoft, men av helt andre grunner. Ifølge Jorge Myszne, grunnlegger og administrerende direktør i det nyetablerte halvlederfirmaet Kameleon er TPM allerede en anakronistisk teknologi.

«TPM er fra 2003. Det var bra nok for 20 år siden, men tenk på alt som har forandret seg når det gjelder infrastruktur de siste to tiårene», sier han til TechRadar Pro.

Selv om TPM-standarden har utviklet seg betraktelig siden unnfangelsen (den seneste TPM 2.0-oppdateringen fant sted i 2019), takket være tilbakemeldinger fra en rekke organisasjoner, så mener Myszne at denne tilnærmingen til sikkerhet har én fundamental feil.

«Hovedutfordringen er at TPM er en passiv enhet. Selv om du kan lagre data der, og ingen kan se dataene, så trenger programvare tilgang om man skal gjøre noe med dataene. Hvis programvaren har tilgang, så kan en angriper også få tilgang.»

Firmware-sikkerhet

Kameleon ble grunnlagt i 2019, med støtte fra Xilinx, en pioner innen programmerbare SoC, og har som mål å reversere dynamikken i datakriminalitet, ved å gi fordelene til de som forsvarer seg.

Selv om selskapet ennå ikke har produkter på markedet, så jobbes det nå med ny maskinvare som går under navnet Proactive Security Processing Unit (ProSPU). Kameleon håper at denne brikken kan få bukt med firmwareangrep, en type trussel som øker i volum og finesse.

«Den vanligste typen angrep er applikasjoner som tar sikte på de øver lag, men disse har man vært ganske flinke med å blokkere», forklarer Myszne. «Som et resultat av det har angripere blitt mer spesialiserte, hvilket vil si at de har gravd seg lengre ned i lagene, mot firmware. Angrep her er både vanskelige å få øye på og standhaftige.»

Ferske tall fra Microsoft viser at 80 % av organisasjoner har opplevd minst ett firmware-angrep i løpet av de siste to årene. Samtidig brukes mindre enn en tredjedel av sikkerhetsbudsjettene på beskyttelse av firmware, og 21 % av sikkerhetssjefer innrømmer at firmware aldri overvåkes.

Koding

(Image credit: Shutterstock / Gorodenkoff)

Problemet med angrep av denne typen er at de ikke kan identifiseres og blokkeres av programvare. Når man slår på en maskin blir systemet startet trinnvis, først ut er en liten kodesnutt som lastes inn i CPU-en, før det litt etter litt sendes inn mer kode, og så startes operativsystemet fra harddisken eller nettverket.

«Enhver svakhet som finnes i denne prosessen er helt umulig å monitorere. Programvare kjøres ikke ennå, så eventuelle applikasjoner har ingen mulighet til å sjekke hva som foregår», sier Myszne.

Løsningen på dette problemet, sier han, er å ha en enhet dedikert til systemsikkerheten. På samme måte som GPU-er håndterer grafikk, og TPU-er håndterer AI-arbeid, vil en sikkerhetsprosessor ha som oppgave å etablere en «root of trust», ved å sjekke at all firmware er som den skal være.

En dedikert sikkerhetsprosessor

Kameleons ProSPU er laget for bruk i servere og datasentre, og tar sikte på å utbedre problemene som stammer fra TPM-brikkenes (og lignende maskinvare) bruk av programvare.

Der TPM-brikkene er passive, noe som gjør at angripere får en mulighet til å infiltrere systemet, er ProSPU sjefen for systemet, og foretar aktiv monitorering for å sikre at hvert element i oppstartsprosessen er autentisk. Mange brikker på markedet foretar allerede en slik sikker oppstart, innrømmer Myszne, men per nå finnes det ingenting som «snuser rundt i alle forskjellige områder».

I tillegg til å aktivt holde styr på oppstartsprosessen, vil ProSPU tilby kryptofunksjonalitet til programvare (den kan for eksempel lage krypteringsnøkler, la brukere holde orden på nøklene, kryptere og dekryptere), og sikkerhet når programvare kjøres, slik at angrep kan identifiseres og forhindres.

Siden ProSPU har direkte tilgang til minnet, under OS-nivå, så vil ikke hackere ha mulighet til å se hva som foregår i brikken. Siden den ikke tar i bruk API-er for å få tilgang, er det ingenting en angriper kan infisere.

«Det første en angriper gjør er å prøve å forstå systemet og forsvaret det har. I dette tilfellet kjøres forsvaret på et helt annet system, med en direkte tilgang til maskinvaren på et nivå som ligger under programvaren», sier Myszne.

«Angriperen vet ikke hva som foregår, og må nå prøve å gjøre et angrep på systemet uten å ha noen forståelse av hvordan det forsvares. Siden angripere gjerne ikke liker risiko, så går de videre til et annet mål.»

Fremtiden innen maskinvarebasert sikkerhet

Da Myszne blir spurt om han mener Microsoft gjorde et feilsteg når de krevde TPM 2.0-støtte i Windows 11, så nikker han.

«Hvis jeg jobbet med et operativsystem for bedrifter, så, ja, men for et generisk OS som Windows, så er det et hasardspill, for det kommer til å dukke opp problemer», sier han.

«Normalt sett er TPM slått av, siden de er vanskelige å håndtere. Du er nødt til å vite hva du driver med, ellers kan du risikere å ødelegge datamaskinen. Hvor mange vet nok til å rote rundt i BIOS på en trygg måte?»

Selv om Myszne innrømmer at TPM-funksjonalitet er bedre enn ingenting, rent sikkerhetsmessig, mener han at kombinasjonen av dårlige brukeropplevelser og et utilstrekkelig sikkerhetsnivå fører til at systemkravet vil bli trøbbel enn det er verdt.

«Systemet er ikke en énbrikkeenhet, slik det pleide å være for 20 år siden. Maskinvarebasert sikkerhetsinfrastruktur må utvikle seg for å tilfredsstille behovene vi har i dag, og behovene vi har fem til ti år frem i tid.»

Kameleon forventer at en alfaversjon av ProSPU vil være ferdig innen 2021 er omme, og at brikkene vil sitte i servere innen første halvdel av 2022. Selv om bruksområdene er mest prekære i datasentre, siden risikoen er såpass konsentrert, spår Myszne at ProSPU-aktig maskinvare kommer til å dryppe ned til forbrukere og markeder innen bil- og annen industri innen det har gått 2-3 år.

«Det er mye der ute som må beskyttes», sier han.