Se pensiamo alla cyber sicurezza di un endpoint, solitamente ci vengono in mente Firewall, soluzioni antivirus, sistema di prevenzione delle intrusioni e così via. Questa prospettiva omette però una parte importante del panorama dei cyber rischi, dato che gli attaccanti potrebbero cercare di colpire i firmware o l'hardware stesso o l'hypervisor di un sistema basato sulle macchine virtuali: in pratica non si tiene in considerazione la sicurezza di ciò che sta "al di sotto" del Kernel.

Per Kernel intendiamo il nucleo centrale, il core, di un sistema operativo: è un software che fornisce ai processi che vengono eseguiti su una macchina l'accesso sicuro, organizzato e controllato all'hardware. E' una componente estremamente delicata dell'endpoint, che ovviamente è bersagliata da varie tipologie di attacco. Vediamoli alcuni

La DMA di una CPU è un meccanismo nel quale le periferiche accedono direttamente alla memoria interna per scambiare dati senza coinvolgere unità di controllo. In questo attacco, un attaccante ottiene l'accesso al sistema tramite le porte DMA (Direct Memory Access) portando un attacco che deve avvenire a livello fisico, tramite USB o dispositivi FireWire appositamente approntati allo scopo: se l'attacco ha successo, l'attore può ottenere l'accesso all'intera memoria fisica. Oltre a poter ottenere le chiavi di criptazione, l'intruso può compromettere sia il firmware che l'hardware ma anche compromettere il sistema operativo. 

Sui sistemi operativi che vengono caricati tramite MBR (Master Boot Record), l'attaccante può compromettere l'MBR stesso ed eseguire codice arbitrario sul sistema: molto spesso questi tipi di attacchi riescono ad essere portati senza essere intercettati dalle soluzioni di sicurezza. In alcuni casi gli attaccanti hanno compromesso anche il VBR (Volum Boot Record) e eseguito una "rootkit injection", ovvero l'iniezione nel sistema di rootkit, che altro non sono che software dannosi utilizzati per ottenere i privilegi di amministrazione di un sistema. Anche alcuni ransomware hanno usato questa tecnica per accedere ai sistemi e criptare i dati. 

In tempo recenti, i ricercatori hanno dimostrato la possibilità di attacco con Rootkit UEFI: in questo caso è possibile compromettere il firmware e infettare il sistema durante l'update del BIOS. Il boot sicuro UEFI può essere bypassato tramite modifiche e compromissioni della tabella UEFI.

Questi sono tre esempi di attacchi "Below Kernel" che possono fornire all'attaccante numerose possibilità per compromettere un sistema. Per proteggersi da queste tipologie di attacchi sia Intel che

AMD (noti vendor di chip e chipset) hanno equipaggiato i propri processori con una serie di funzioni di sicurezza integrate. Un esempio è il Trusted Platform Module, che fornisce funzioni di sicurezza a livello di hardware. Un chip TPM è un cripto-processore sicuro pensato per compiere operazioni di crittografia. Alcune piattaforme recenti usano questo chip per il Secure Boot. 

I processori Intel hanno abilitato l'SGX (Software Guard Extensions), che può essere usato per impostare regioni private della memoria fisica, rendendo così possibile controllare l'accesso ai dati in quella memoria. I processori AMD hanno funzioni conosciute come SME (Secure Memory Encription) che criptano i contenuti della memoria fisica. Entrambi i vendor hanno anche introdotto l'AES NI (AES New Instruction) nei propri processori, così da consentire ai processori di eseguire la criptazioen AES. 

Per approfondire, scarica qui il White Paper - Seqrite cybersecurity below the kernel