Microsoft promuove i primi PC con chip di sicurezza Pluton
Mentre le organizzazioni continuano a dover gestire una forza lavoro ibrida, la sicurezza al di fuori del firewall aziendale continua a svolgere un ruolo enorme nelle operazioni IT quotidiane. Dopo il rilascio a ottobre di Windows 11, che vanta funzionalità volte proprio a consentire il lavoro ibrido, la scorsa settimana, nel corso del CES 2022 di Las Vegas, Microsoft ha annunciato i primi PC con a bordo il suo chip-to-cloud Pluton, che ha lo scopo di proteggere i computer di lavoratori remoti, ma non solo.
Lenovo e AMD hanno infatti lanciato il ThinkPad Z13 e il ThankPad Z16, i primi laptop al mondo che vengono forniti nativamente con i chip di sicurezza Pluton. Il prezzo per il ThinkPad Z13 parte da 1.549 dollari, mentre per il ThinkPad Z16 si parte da 2.099 dollari. Entrambi i laptop saranno disponibili a maggio e Lenovo ha affermato che non ci sono costi aggiuntivi associati al chip Pluton integrato.
Pluton sarà disabilitato per impostazione predefinita sui modelli ThinkPad della gamma 2022 (in particolare, Z13, Z16, T14, T16, T14, P16 e X13 che utilizzano processori AMD serie 6000) e dovrà essere quindi abilitato dagli utenti. Alla domanda sul motivo per cui il chip è inizialmente disabilitato, un portavoce di Lenovo ha affermato che i clienti aziendali “testano e valutano ampiamente qualsiasi nuovo software o funzionalità relativa alla sicurezza che verrà introdotta nella loro rete e possono scegliere di abilitare Pluton sui propri dispositivi come meglio credono. Man mano che Pluton raggiungerà sempre più utenti aziendali, esamineremo l’attivazione di default”.
Il processore Pluton mira a fornire una protezione maggiore rispetto al Trusted Platform Module (TPM) esistente, in quanto è un chip di sicurezza dedicato che gestisce funzionalità di sicurezza come BitLocker, Windows Hello e System Guard. Windows 11 è stato fornito con una miriade di aggiornamenti di sicurezza, non ultimo l’impossibilità di disabilitare le funzionalità esistenti come UEFI, Secure Book e TPM crittografico. Windows 11 è un sistema operativo predisposto per Zero Trust e progettato per essere protetto dal chip al cloud, con verifiche di sicurezza verificabili integrate e attivate per impostazione predefinita.
Il TPM 2.0 viene utilizzato per generare e proteggere chiavi di crittografia, credenziali utente e altri dati sensibili in modo che malware e aggressori non possano accedere o manomettere i dati. Il chip Pluton è invece un processore di sicurezza appositamente sviluppato grazie a uno sforzo congiunto tra Microsoft e i principali produttori di chip, tra cui AMD e Qualcomm.
Ha lo scopo di proteggere i PC da alcuni degli attacchi malware più sofisticati archiviando in modo più sicuro le credenziali degli utenti (incluse le informazioni sulle impronte digitali), le identità, i dati personali e le chiavi di crittografia. Questo processore di sicurezza unisce le funzionalità di TPM 2.0 con la capacità di aggiornare e aggiungere dinamicamente nuove funzionalità di sicurezza tramite Windows Update.
Secondo Microsoft, hardware e software strettamente integrati aiutano a proteggere dalle vulnerabilità della sicurezza aggiungendo visibilità e controllo aggiuntivi; una soluzione, insomma, più adattabile ai cambiamenti nel panorama delle minacce. Il chip Pluton è integrato nel die della CPU di un dispositivo ed è quindi più difficile da “raggiungere” per gli aggressori. Le informazioni memorizzate al suo interno non possono essere rimosse, anche se un utente malintenzionato ha installato malware o ha il possesso fisico del PC, perché il chip è isolato dal resto del sistema. Pluton aiuta anche a prevenire le tecniche di attacco emergenti, come l’esecuzione speculativa che sfrutta il comportamento e la funzionalità della CPU.
Pluton può fungere da TPM o fornire ulteriore sicurezza a un dispositivo insieme a un TPM discreto di terze parti, secondo Matt Wo, portavoce di Microsoft Cybersecurity. “I nostri partner hanno la scelta e la flessibilità nell’offrire Pluton con o senza un TPM di terze parti”, ha affermato Wo in una risposta via e-mail a Computerworld. “Quando Pluton è configurato come TPM, protegge le chiavi BitLocker utilizzate per crittografare e proteggere i dati dei clienti archiviati nel sistema”.
Patrick Hevesi, analista di Gartner, ha affermato che il più grande vantaggio del chip Pluton è la possibile eliminazione degli attacchi fisici contro i canali di comunicazione TPM-CPU. Questi attacchi di tipo side-channel non prendono di mira i punti deboli dei sistemi crittografici stessi; invece, il malware cerca fughe di informazioni che potrebbero indicare qualcosa sul funzionamento del sistema crittografico. Ad esempio, gli attacchi acustici possono registrare il suono dei tasti premuti da un utente per rubarne la passphrase, mentre la radiazione del campo elettromagnetico (EMF) emessa dallo schermo di un computer può essere utilizzata per visualizzare le informazioni prima che vengano crittografate.
“Dato che il processo di sicurezza di Pluton sarà integrato direttamente nel SoC di un PC, non dovrebbe esserci modo di accedere al canale senza distruggere il chip”, ha affermato Hevesi.” Un altro vantaggio dell’architettura Pluton è che Microsoft controllerà gli aggiornamenti del firmware al processore di sicurezza e consentirà aggiornamenti diretti da Windows Update; ciò consente alla stessa Microsoft di controllare e proteggere il codice del firmware e continuare ad aggiungere nuove funzionalità di sicurezza con il lancio di nuove versioni di Windows.
Microsoft sarà inoltre in grado di far progredire le funzionalità di sicurezza hardware e software come l’avvio protetto, l’avvio misurato e la sicurezza basata sulla virtualizzazione direttamente su un singolo processore SoC. “Ciò aiuterà a prevenire anche gli attacchi remoti che tentano di modificare il processo di avvio del kernel o del sistema operativo. Il chip Pluton aiuterà a proteggere i dispositivi remoti grazie sia al livello fisico, sia alle integrazioni delle funzionalità di sicurezza basate sul software”, ha affermato Hevesi. “Questa tecnologia può essere applicata anche ai dispositivi in locale per prevenire eventuali attacchi fisici interni e Microsoft ha aggiunto questa tecnologia anche ad Azure Sphere nel cloud”.
“Mentre entriamo in questa nuova era del lavoro ibrido, c’èbisogno di moderne soluzioni di sicurezza che offrano protezione end-to-end ovunque siate”, ha affermato Wo. “Windows 11 è stato progettato per alzare il livello della sicurezza e per abilitare protezioni come Windows Hello, Device Encryption, virtualization-based security (VBS), hypervisor-protected code integrity (HVCI) e Secure Boot: una combinazione che ha dimostrato di ridurre il malware del 60%“.
Microsoft ha infine affermato che molti degli aggiornamenti di Windows 11 e il design di Pluton sono stati ispirati dalle problematiche relative al lavoro ibrido. “È chiaro che gli ultimi anni sono serviti a noi e ai nostri partner per integrare importanti innovazioni nella progettazione di questi dispositivi. Le lezioni imparate dallo scoppio della pandemia a oggi e i nuovi modi di lavorare, hanno influenzato anche molte delle innovazioni nella progettazione di Windows 11″, ha affermato Nicole Dezen, vicepresidente di Microsoft Device Partner Sales, in un post sul blog.