Microsoft anuncia primeiros PCs a serem lançados nativamente com chip Pluton seguro

À medida que as organizações continuam lutando para saber como gerenciar uma força de trabalho híbrida, a segurança fora do firewall corporativo continua a desempenhar um papel importante nas operações diárias de TI.

Após o lançamento do Windows 11 em outubro, que apresentava recursos destinados a permitir o trabalho híbrido, a Microsoft anunciou na semana passada os primeiros PCs com sua tecnologia de segurança de chip para nuvem Pluton. A tecnologia visa proteger os computadores de trabalhadores remotos e outros.

Na CES, a Microsoft anunciou que a Lenovo e a fabricante de chips AMD lançaram os primeiros laptops – o ThinkPad Z13 e o ThankPad Z16 – que vêm nativamente com os chips de segurança Pluton. O preço do ThinkPad Z13 começa em US$ 1.549, o preço do ThinkPad Z16 começa em US$ 2.099. Ambos os laptops estarão disponíveis em maio e a Lenovo disse que não há custo adicional associado ao chip Pluton interno.

O Pluton será desabilitado por padrão nas plataformas Lenovo ThinkPad 2022 (especificamente, Z13, Z16, T14, T16, T14s, P16s e X13 usando processadores AMD série 6000). Os clientes terão a capacidade de habilitar o Pluton por conta própria, disse um porta-voz da Lenovo.

Questionado sobre por que o chip foi inicialmente desativado, o porta-voz disse que os clientes corporativos “nos disseram que testam e avaliam extensivamente qualquer novo software ou recurso relacionado à segurança que será introduzido em sua rede e podem optar por habilitar o Pluton em seus dispositivos como acharem melhor. À medida que o Pluton for lançado no mercado e tivermos tempo para avaliar a demanda do cliente para habilitação de fábrica, revisaremos a habilitação”.

O processador Pluton visa oferecer maior proteção do que o Trusted Platform Module (TPM) existente, pois é um chip de segurança dedicado que lida com recursos de segurança como BitLocker, Windows Hello e System Guard.

O Windows 11 veio com uma infinidade de atualizações de segurança, entre as quais a incapacidade de desabilitar recursos existentes, como UEFI, livro seguro e o TPM criptográfico. O Windows 11 é um sistema operacional pronto para Zero Trust projetado para ser seguro do chip à nuvem, com verificações de segurança verificáveis incorporadas e ativadas por padrão.

O TPM 2.0 é usado para gerar e proteger chaves de criptografia, credenciais de usuário e outros dados confidenciais para que malware e invasores não possam acessar ou adulterar dados.

O chip Pluton é um processador de segurança desenvolvido especificamente por meio de um esforço conjunto entre a Microsoft e os principais fabricantes de silício, incluindo AMD e Qualcomm. Ele visa proteger os PCs contra alguns dos ataques de malware mais sofisticados, armazenando com mais segurança as credenciais do usuário (incluindo informações de impressão digital), identidades, dados pessoais e chaves de criptografia. O processador de segurança integrado reúne a funcionalidade do TPM 2.0 com a capacidade de atualizar e adicionar dinamicamente novos recursos de segurança de forma transparente por meio do Windows Update, o serviço da Microsoft que instala o software/firmware mais recente em um computador.

O “hardware e software totalmente integrados” ajuda a proteger contra vulnerabilidades de segurança, adicionando visibilidade e controle adicionais, e é mais adaptável às mudanças no cenário de ameaças, de acordo com a Microsoft.

O chip Pluton é integrado à matriz da CPU de um dispositivo e, portanto, é mais difícil para os invasores acessarem. As informações confidenciais armazenadas nele não podem ser removidas – mesmo que um invasor tenha instalado malware ou tenha posse física do PC – porque o chip está isolado do resto do sistema. O chip discreto também ajuda a evitar técnicas de ataque emergentes, como a execução especulativa (um ataque de canal lateral) que explora o comportamento e a funcionalidade da CPU.

O Pluton pode atuar como um TPM ou fornecer segurança adicional a um dispositivo em conjunto com um TPM discreto de terceiros, de acordo com Matt Wo, Porta-Voz da Microsoft Cybersecurity.

“Nossos parceiros têm a opção e a flexibilidade de oferecer o Pluton com ou sem um TPM de terceiros”, disse Wo, em resposta por e-mail ao Computerworld. “Quando o Pluton é configurado como um TPM, ele protege as chaves do BitLocker usadas para ajudar a criptografar e proteger os dados do cliente armazenados no sistema”.

Patrick Hevesi, Analista Vice-Presidente do Gartner, disse que o maior benefício do chip Pluton é a possível eliminação dos ataques de canal lateral físico contra canais de comunicação TPM-para-CPU independentes.

Os ataques de canal lateral não visam fraquezas nos próprios sistemas de criptografia; em vez disso, o malware procura por vazamentos de informações que possam indicar algo sobre a operação do sistema criptográfico. Por exemplo, ataques acústicos podem gravar o som das teclas de um usuário para roubar sua senha ou a radiação de campo eletromagnético (EMF) emitida por uma tela de computador pode ser usada para visualizar informações antes de serem criptografadas.

“Como o processo de segurança do Pluton será embutido nos chips System on a Chip (SoC), não deve haver como chegar ao canal sem destruir o chip”, disse Hevesi por e-mail. “Além disso, de acordo com as especificações da Microsoft, as chaves nunca sairão do limite da Pluton Security, o que ajudará a evitar ataques como execução especulativa e outros tipos de ataques importantes”.

Outro benefício da arquitetura Pluton é que a Microsoft controlará as atualizações de firmware para o processador de segurança e permitirá atualizações diretas do Windows Update; que permite à empresa controlar e proteger o código do firmware e continuar a adicionar novos recursos de segurança à medida que novas versões do Windows são lançadas, de acordo com Hevesi.

A Microsoft também poderá aprimorar os recursos de segurança de hardware e software, como inicialização segura, inicialização medida e segurança baseada em virtualização, diretamente em um único processador SoC.

“Isso ajudará a prevenir até mesmo ataques remotos que tentam alterar o kernel ou o processo de inicialização do sistema operacional. O chip Pluton ajudará a proteger dispositivos remotos por causa da camada física e das integrações de recursos de segurança baseados em software”, disse Hevesi. “Essa tecnologia também pode ser aplicada a dispositivos locais para possivelmente evitar ataques físicos internos e eles também adicionaram essa tecnologia ao Azure Sphere na nuvem”.

Nem todo mundo acredita que o novo chip Pluton é a segurança completa.

Michael Suby, Vice-Presidente de Pesquisa do serviço de pesquisa Security and Trust do IDC, disse que a plataforma SoC é um avanço útil que, a curto prazo, não mudará radicalmente as decisões de compra de PCs corporativos.

“Uma possível sequência de exploração de agentes de ameaças poderia se apossar clandestinamente do laptop do executivo, abrir o dispositivo e infectá-lo no nível do hardware e, em seguida, deixar o dispositivo, aparentemente imperturbável para o executivo e as possíveis equipes de segurança de TI também”, disse Suby.

Os novos laptops da Lenovo são equipados com processadores AMD Ryzen 6000 Series, que integram o chip Pluton Security em novos PCs com Windows 11. O chip Pluton foi desenvolvido com base na tecnologia usada há anos no Microsoft Xbox e no Microsoft Azure Sphere.

“À medida que avançamos para esta nova era de trabalho híbrido, você precisa de soluções de segurança modernas que ofereçam proteção de ponta a ponta de onde você estiver”, disse Wo. “O Windows 11 foi projetado para elevar o nível de segurança, pronto para uso, para permitir proteções como Windows Hello, criptografia de dispositivo, segurança baseada em virtualização (VBS), integridade de código protegida por hipervisor (HVCI) e inicialização segura – uma combinação que demonstrou reduzir o malware em 60%”.

A Microsoft disse que muitas das atualizações no Windows 11 e o design do chip colaborativo foram inspirados em temas de trabalho híbridos.

“Está claro que os últimos anos promoveram grandes aprendizados que nossos parceiros integraram ao design desses dispositivos. Esses aprendizados – e as novas formas de trabalhar – também influenciaram muitas das inovações no design do Windows 11”, disse Nicole Dezen, Vice-Presidente de Vendas de Parceiros de Dispositivos da Microsoft, em um post no blog.