ThinkPad Z mới của Lenovo sẽ được trang bị chip bảo mật do Microsoft thiết kế, hứa hẹn bịt mọi kẽ hở hiện tại

Vào tháng 11 năm 2020, Microsoft từng giới thiệu Pluton, bộ xử lý bảo mật được công ty thiết kế để ngăn chặn một số hình thức tấn công tinh vi của hacker. Vào thứ ba vừa qua, AMD cho biết họ sẽ tích hợp con chip này vào các CPU Ryzen sắp ra mắt để sử dụng trên dòng laptop ThinkPad Z của Lenovo.

Hiện tại Microsoft đã sử dụng Pluton để bảo mật cho những chiếc Xbox One và bộ vi điều khiển Azure Sphere để chống lại các cuộc tấn công thông qua việc tiếp cận vật lý bằng cách mở hộp máy ra và hack vào phần cứng để vượt qua lớp bảo vệ. Các cuộc tấn công như vậy thường được người sở hữu thực hiện nhằm đánh lừa phần mềm của máy để cài các chương trình hoặc trò chơi một cách bất hợp pháp.

Giờ đây, Pluton sẽ được dùng để bảo mật máy tính PC chống lại các vụ hack vật lý được thiết kế để cài đặt malware hoặc ăn trộm khóa mã hóa cũng như các thông tin nhạy cảm khác. Trong khi nhiều hệ thống thiết bị khác đã có các module bảo vệ như Software Guard Extension của Intel để bảo mật dữ liệu, các dữ liệu bí mật vẫn rất yếu ớt trước những loại tấn công như vậy.

Bằng cách nghe trộm dữ liệu được truyền giữa chip CMOS và module TPM, hacker có thể lấy được các dữ liệu bí mật trong nó.

Một kiểu tấn công vật lý như vậy bao gồm việc đặt dây nối giữa chip TPM với các thiết bị khác để trích xuất dữ liệu khi chúng được truyền vào máy tính.

Tháng Tám năm ngoái, các nhà nghiên cứu phát hiện một cuộc tấc công như vậy và chỉ mất 30 phút để chiếm được mã khóa BitLocker từ chiếc máy tính Lenovo được thiết lập mã hóa bảo vệ ổ đĩa bằng chip TPM, thiết lập bảo vệ mật khẩu trong BIOS và SecureBoot UEFI. Cuộc tấn công được thực hiện bằng cách nghe trộm kết nối giữa chip TPM và chip CMOS – điều này cho thấy việc khóa mã laptop bằng các lớp bảo mật cao nhất hiện nay vẫn chưa đủ.

Một cách tiếp cận mới
Pluton được Microsoft thiết kế để sửa chữa các kẽ hở đó. Nó được tích hợp trực tiếp vào CPU, nơi nó lưu giữ các khóa mã hóa và các dữ liệu bí mật khác một cách biệt lập với các thành phần hệ thống khác. Microsoft cho biết dữ liệu lưu trữ trong đó sẽ không thể bị loại bỏ, ngay cả khi một kẻ tấn công cài đặt malware hoặc có toàn quyền tiếp cận vật lý với PC.

Một trong các biện pháp để bảo vệ cho các dữ liệu này khóa mã hóa Secure Hardware Cryptography Key hay SHACK. Nó giúp đảm bảo các khóa mã hóa không bị tiết lộ ra bên ngoài phần cứng được bảo vệ, ngay cả với bản thân firmware Pluton. Pluton sẽ được cập nhật firmware tự động thông qua Windows Update. Bằng cách tích hợp chặt chẽ phần cứng và phần mềm, Microsoft kỳ vọng Pluton sẽ được cài đặt các bản vá bảo mật một cách liền mạch.

Chip bảo mật Pluton của Microsoft sẽ được tích hợp thẳng lên CPU, thay vì là một bộ phận riêng biệt trong bản mạch

Theo ông Joseph FitzPatrick, một hacker phần cứng và nhà nghiên cứu chuyên sâu về bảo mật firmware tại SecuringHardware.com, Pluton sẽ ngăn chặn mọi người chạy phần mềm đã được chỉnh sửa mà không được nhà phát triển cho phép.

"Lợi ích của nó là làm các hệ điều hành x86 bảo mật và ổn định hơn bằng cách dùng các rào cản chặt chẽ hơn". Tuy vậy, FitzPatrick cho rằng: "Nhược điểm của nó là những lời phàn nàn thường thấy về các rào cản chặt chẽ này."

Hiện tại, các chip bảo mật TPM có một giới hạn rất cơ bản – chúng không bao giờ được thiết kế để chống lại các cuộc tấn công vật lý. Theo thời gian, Microsoft và các hãng khác bắt đầu sử dụng BitLocker như một nơi lưu trữ các khóa mã hóa của BitLocker và các công cụ khác. Cách tiếp cận này an toàn hơn so với việc lưu trữ khóa mã hóa trên ổ đĩa, nhưng như các nhà nghiên cứu đã chứng minh, các chip này vẫn chưa đủ khi đối đầu với các hacker hiện nay.

Trước Microsoft, Apple và Google đã thực hiện cách tiếp cận tương tự bằng các chip bảo mật T2 và Titan. Các chip này cung cấp một số lớp bảo vệ chống lại các cuộc tấn công vật lý, nhưng về cơ bản, cả hai đều được gắn trên các bản mạch của hệ thống. Ngược lại, Pluton được tích hợp trực tiếp lên CPU giúp cải thiện hơn nữa khả năng bảo mật dữ liệu.

Theo Microsoft, dòng laptop ThinkPad Z sử dụng chip Ryzen được trang bị Pluton sẽ bắt đầu được xuất xưởng vào tháng Năm nay nay. Các phiên bản Z13 và Z16 sử dụng Pluton giống như một chip TPM sẽ giúp bảo vệ thông tin đăng nhập Windows Hello bằng cách cô lập chúng trước các hacker.

GenK