Trusted Platform Module in Windows 11, una necessità di sicurezza: funzioni ed effetti | Agenda Digitale

le novità

Trusted Platform Module in Windows 11, una necessità di sicurezza: funzioni ed effetti

Con l’adozione del Trusted Platform Module 2.0 in tutti i sistemi Windows 11 si potranno prevenire accessi di attori malevoli, rilevare agevolmente intrusioni e limitare i danni. Un’importante innovazione in termini di sicurezza, ma darà avvio alla transizione del sistema Windows verso un ecosistema simile a quello Apple?

05 Lug 2021
Lorenzo Damiano

Analista Hermes Bay

L’introduzione del Trusted Platform Module 2.0 tra i requisiti della nuova versione di Windows è stata sicuramente una delle novità più importanti, oggetto di dibattito tra addetti ai lavori e consumatori, ma che potrebbe segnare l’inizio di una rinnovata attenzione alla sicurezza anche per il settore consumer.

La presentazione dell’ultima iterazione del sistema operativo di casa Microsoft ha colpito soprattutto per uno specifico requisito hardware legato non tanto a necessità prestazionali quanto di sicurezza.

Molti di quanti avevano lanciato l’app “Controllo integrità del PC”, rilasciata appositamente per controllare di rientrare nei requisiti minimi, sono rimasti stupiti dalla non compatibilità di sistemi anche piuttosto recenti, ma che difettavano del TPM (Trusted Platform Module) 2.0, oppure non ce l’avevano attivato da BIOS.

Windows 11 più sicuro con TPM 2.0, ma non corriamo a cambiare pc

Le necessità che hanno portato al nuovo approccio

La novità del requisito e la non completa chiarezza da parte di Microsoft, che inizialmente aveva indicato come necessaria solo la versione 1.2, hanno in definitiva portato al ritiro dell’app e al rilascio di una dichiarazione esplicativa dei motivi che hanno portato a questa decisione dalla portata possibilmente rivoluzionaria. Non solo, al di là dell’inclusione o meno del modulo in questione, almeno inizialmente è stata segnalata la compatibilità con i soli processori a partire dall’ottava generazione Intel o dalla serie AMD Ryzen 3000, escludendo addirittura dispositivi tuttora presenti nella lineup Microsoft.

WHITEPAPER
Scopri Digital Workspace: la guida ai servizi gestiti che abilitano lo smart working!
CIO
Dematerializzazione

Come riferito dalla stessa azienda, tale scelta è stata giustificata da 3 necessità:

  1. Sicurezza: è necessario hardware specifico quali il TPM per poter abilitare protezioni quali l’autenticazione di Windows Hello, la cifratura del dispositivo, la Virtualization-Based-Security (VBS), la Hypervisor-Protected Code Integrity (HVCI) e il Secure Boot.
  2. Affidabilità: solo i più recenti processori che adottano i requisiti dei nuovi driver Windows possono garantire aggiornamenti e affidabilità senza generare errori di sistema.
  3. Compatibilità: l’innalzamento dei requisiti di velocità del processore, della memoria RAM e di quella di archiviazione sono finalizzate a garantire un’esperienza d’uso soddisfacente che combaci con gli attuali requisiti di sistema della suite Office e di Microsoft Teams.

Specialmente il primo principio è sicuramente stato alla base della scelta innovativa compiuta dalla compagnia di Redmond. Finora, i sistemi avanzati di protezione erano stati appannaggio unicamente dei sistemi Windows professionali, ma con Windows 11 saranno inclusi anche nelle versioni base del sistema operativo, comprendendo così la ben più vasta platea di utenza consumer.

Tale linea d’azione era stata già tracciata con il lancio del programma “Secured-core PC” che imponeva una serie di stringenti requisiti hardware che permettessero di porre al riparo i sistemi specialmente dagli attacchi al firmware. Rivolgendosi a dispositivi in uso a operatori di settori critici quali sanità, istituzioni governative e finanza, o comunque che trattano dati sensibili di alto valore, il programma nasceva dall’esigenza di contrastare tali attacchi così difficili da rilevare ed eliminare per via dei maggiori privilegi di cui gode il firmware rispetto al sistema operativo. Negli anni tra il 2017 e il 2019, infatti, il NIST statunitense ne aveva rilevato un incremento di ben 5 volte, nonché un uso specifico da parte di gruppi state-sponsored quale l’APT28, provocando danni spesso persistenti anche a fronte di procedure di pulizia completa dei sistemi, reinstallazione del sistema operativo o finanche sostituzione degli hard-disk.

È probabile che questa importante decisione sia stata anche in questo caso introdotta in risposta a specifiche problematiche manifestatesi negli ultimi anni, specialmente nel 2020 pandemico che ha visto un improvviso e massiccio ricorso allo smart working. Il trasferimento di tutte le attività in remoto, online e attraverso il cloud, si è rivelato una sfida importante per la sicurezza dei sistemi, dal momento che il perimetro di sicurezza informatico di aziende e istituzioni si è frammentato ed esteso verso i sistemi personali di lavoratori e cittadini. Ciò ha contribuito, tra le altre cose, ai noti aumenti di attacchi cyber, specialmente di tipo ransomware, a campagne di spionaggio e sottrazione dati quali i casi SolarWinds ed Exchange, o rischi per le infrastrutture critiche come nel caso dell’impianto idrico in Florida violato grazie ad un software per l’accesso remoto, o dell’impianto nucleare sudcoreano violato grazie a una vulnerabilità della VPN. La risposta a casi del genere potrebbe venire proprio dall’aumentare la sicurezza dei sistemi imponendo requisiti hardware che permettano di mettere al sicuro dati sensibili, credenziali d’accesso e password, nonché impedire escalation di privilegi limitando quindi la portata di eventuali attacchi.

Le funzioni più importanti del chip TPM

Ciò sarà reso possibile dal citato chip TPM, che già figurava tra i requisiti dei sistemi certificati Microsoft sin dal 2015 nella versione 1.2 e che da allora è stato implementato sia direttamente sulla scheda madre (incluso nei sistemi embedded o da aggiungere nei sistemi assemblati) che all’interno dei processori stessi secondo la declinazione proprietaria di Intel o AMD, ma che spesso risulta disattivato di default e attivabile dal BIOS. Tale modulo crittografico, che nella versione 2.0 utilizza il più sicuro algoritmo SHA-2 a 256 bit, permette non solo di conservare in maniera sicura e non accessibile lato software (e quindi anche da eventuali malware) credenziali quali chiavi crittografiche, password, pin o dati biometrici utilizzati da Windows Hello, ma soprattutto di abilitare funzioni di protezione avanzate finora riservate ai soli sistemi professionali. Ad esempio, il Secure Boot permette di controllare che il sistema si avvii sulla base del codice originale e che non vi siano state manomissioni, mentre la Virtualization Based Security (VBS) permette non solo di isolare funzionalità delicate dal resto del sistema operativo, ma anche di permettere di sfruttare in sicurezza nuove funzioni di Windows 11 quali l’utilizzo di app Android. Tra le funzioni più importanti, specialmente in ottica di connessioni da remoto per lo smart working e accesso sicuro alle reti aziendali, ritroviamo quelle che consentono di implementare un approccio di tipo zero-trust che possa sfruttare la maggior sicurezza fornita da hardware dedicato che può controllare, ed eventualmente limitare, l’accesso a sistemi non riconosciuti o sfiduciati. È la stessa Microsoft a presentare quest’ultimo elemento come la chiave per mettere in sicurezza i sistemi messi alla prova dal cambio di paradigma degli ultimi anni e implementare le misure richieste dall’ordine esecutivo sulla cybersecurity firmato dal Presidente Biden lo scorso mese.

La società ha condensato i fondamenti dello zero-trust, così come delineati dal NIST, in tre semplici principi: verificare esplicitamente, usare l’accesso meno privilegiato e presumere una violazione. Seguendo questo approccio, che sarà reso possibile per tutti i sistemi con Windows 11 grazie all’adozione del TPM, sarà possibile prevenire accessi di attori malevoli, nonché rilevare agevolmente intrusioni e limitare i danni delle violazioni. Le aziende potranno far connettere i propri dipendenti in sicurezza, impedendo o revocando gli accessi, nonché impedire che attacchi come quelli degli ultimi mesi possano diffondersi a tutta la rete aziendale.

Conclusioni

Pur consci dell’importanza di tale innovazione in termini di sicurezza, in molti temono che questo possa essere solo l’inizio di una transizione del sistema Windows verso un ecosistema simile a quello Apple, che già implementa soluzioni simili, finalizzate alla costruzione di un ambiente più sicuro al riparo da attacchi a discapito della completa libertà e customizzazione degli utenti.

Non solo fees, utenti Apple in lockdown da sempre: tutti i limiti (assurdi) dell’iPhone

@RIPRODUZIONE RISERVATA

Articolo 1 di 4