Microsoft išče načine, da se Crowdstrike ne bi ponovil

Microsoft je sporočil, da bo 10. septembra na svojem sedežu v Redmondu organiziral Windows Endpoint Security Ecosystem Summit, na katerega so vabljeni predstavljeni državnih organov in podjetij za informacijsko varnost. Iskali bodo rešitve, ki bodo v prihodnosti preprečile fiaske, kot ga je povzročil hrošč v programu Crowdstrike Falcon, zaradi katerega se je ustavilo 8,5 milijona računalnikov.

Možnosti je več, kakršnakoli fundamentalna sprememba v delovanju Windows ali dostopu do jedra pa bi bila tudi priznanje, da trenutna ureditev ni dobra in da bi jo lahko bili spremenili že prej. Ključna težava je dostop do jedra (ring 0), ki ga ima programska oprema proizvajalcev, kakršen je Crowdstrike. Napake in hrošči na tem nivoju povzročijo modri zaslon smrti, kar predstavlja tveganje za celoten sistem. Falcon je tekel v jedru, hkrati pa je bral podatke iz običajne datoteke na disku, ki jo je pridobival s posodobitvami.

Ena izmed rešitev, ki jo Apple že uporablja, je zaklep jedra. Apple dostopa do jedra ne dovoljuje, Microsoft pa po lastnih navedbah tega ne sme storiti, ker naj bi se leta 2009 tako dogovoril z Evropsko komisijo. A iz Bruslja so večkrat dejali, da to ne drži. Microsoft lahko stori karkoli, dokler bo spoštoval evropsko zakonodajo in ne bo oviral konkurence. Zaklep jedra je ena izmed možnosti, če je enakovredno izvedena za vse akterje, vključno z Microsoftovim lastnim Defenderjem. Prav tako bi zaklep jedra ohromil programe, ki bi tekli v uporabniškem načinu, ker ne bi imeli več celovitega vpogleda v delovanje sistema, temveč bi bili odvisni od Microsoftovih API-jev.

Seveda obstajajo tudi druge rešitve, denimo rigoroznejše testiranje programov in uvedba dodatnih varovalk. A kakorkoli bo Microsoft spremenil, bo močno vplivalo na obstoječe programe. Proizvajalci jih bodo morali nadgraditi, uporabniki pa posodobiti, kar bo tudi povzročilo določene stroške.