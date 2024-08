Microsoft popsal, jak se mohou omezit incidenty podobné těm, který dne 19. července způsobila vadná aktualizace bezpečnostního softwaru od firmy Crowdstrike, která je považovaná za o největší výpadek informačních technologií v historii.

Crowdstrike slibuje, že zkvalitní testování, aktualizace bude ověřovat více metodami a zlepší zvládání chyb v klíčové komponentně svého softwaru.

Microsoft rovněž schytal kritiku a po vypuknutí krize povolal přes pět tisíc podpůrných inženýrů a inženýrek, aby pomohli s řešením následků. Stabilitu Windows je potřeba posílit, shodují se John Cable, viceprezident oddělení Windows Servicing and Delivery, a David Weston, viceprezident oddělení Enterprise and OS Security. Microsoft chce spolupracovat s výrobci, aby antiviry a spol. modernizovaly svoje přístupy.

Proč se používá jádrový režim

Bezpečnostní řešení včetně toho od Crowdstriku dnes ve Windows využívají ovladače, které mají přístup k jádru operačního systému. Tahle architektura má dle Microsoftu několik výhod:

Ovladač startuje mezi prvními, takže může detekovat rootkity a bootkity. Bezpečnostní programy takto i prověřují síťové informace nebo blokují nové procesy či soubory.

Režim jádra může být rychlejší řešení, vyplatí se zejména při analýze síťových aktivit. Microsoft posiluje výkon alternativních řešení.

Režim jádra poskytuje bezpečnostním produktům ochranu před neoprávněnými zásahy zvenčí. Malware ho tak nemůže vypnout.

Popsané výhody jdou na úkor spolehlivosti. Kód běžící v jádrovém režimu se v případě problémů nemůže jednoduše ukončit a znovu spustit, jako je tomu v případě uživatelských aplikací. Problém v režimu jádra tedy může poškodit chod celého systému. Windows tím nejsou specifické, jde o univerzální problematiku.



Microsoft hodlá nadále poskytovat integrovaná bezpečnostní řešení

Konkurenční macOS bezpečnostní a další produkty z režimu jádra vyhnal před několika lety. Antiviry v tomto režimu mj. paradoxně představují bezpečnostní riziko – i antiviry mají zranitelná místa, které mohou být využita pro útok malwaru. Apple změnu přístupu vnímal jako výrazné posílení zabezpečení macOS. Antivirům nabídl alternativní prostředí, takže mohou nadále fungovat v uživatelském prostoru, kde přitom neohrožují (v takové míře) bezpečnost a stabilitu systému.

Omezené možnosti Windows

Aspoň na papíře by Microsoft mohl udělat něco podobného. Jak nedávno vyšlo najevo, možná by to udělal už dávno, ale brání mu v tom starší dohoda s Evropskou komisí. Nechtěla totiž, aby Microsoft tímto antiviry odřízl. Změna by pro vývojářské společnosti byla nákladná, ale macOS ukazuje, že by o své podnikání nutně nepřišly.

Kdyby antiviry chtěly, jádru Windows by se už vyhnuly. Případně ho mohou omezit na nejnutnější případy. Ochranu proti zásahům zvenčí totiž neposkytuje jen režim jádra, Microsoft v uplynulých letech vyvinul alternativní řešení pro uživatelský režim. Nejen antiviry mohou sáhnout po ochraně založené na odděleném virtualizovaném prostředí (VBS).

VBS najdeme i ve Windows 10, standardně je ale technologie zapnutá až ve Windows 11 (i tady najdeme výjimky.) Je to ta technologie, která se projevuje velkou režií na starších procesorech. I ona je důvodem, proč Jedenáctky oficiálně požadují relativně mladé modely procesorů.

VBS s kombinaci s dalšími řešeními poskytují alternativní cesty, jak zamezit malwaru, aby bezpečnostní program vypnul. Redmondští nabízí i zvláštní přístup speciálně pro antiviry, díky němuž se spouštět brzy a díky tomu detekovat rootkity a bootkity. V tomto případě jde o funkci z éry Windows 8.



Antiviry mohou režim jádra využívat jen omezeně, ukazuje Microsoft

Stejně tak Windows nabízí rozhraní pro skenování souborů, které neběží v režimu jádra. Microsoft tedy říká, že antiviry režim jádra využívat nemusí, případně jen minimálně.

David Weston ve svém příspěvku z konce července nicméně netvrdí, že Windows antivirům v přístupu k jádru zamezí. Chce posílit používání nabízených ochran a přístupů mimo oblast jádra Windows. Chce, aby antiviry modernizovaly svou architekturu. Působí to, že si na ně ale nenachystal velkou páku.

Pokud budou antiviry nadále používat režim jádra, prostor pro nestabilitu způsobenou chybami na jejich straně tu zůstane. Microsoft v této souvislosti upozorňuje na vlastní (integrovaná) bezpečnostní řešení. Nevíme, jestli Microsoft jedná s Evropskou unií o tom, že by antiviry od jádra odstřihl úplně.

S ohledem na předchozí vyjádření předpokládáme, že právě obava z právních tahanic Microsoftu brání v tom, aby zaujal dramatičtější přístup k režimu jádra.

Zdroje: CNBC | Crowdstrike | The Guardian | Microsoft Security Blog | Windows IT Pro Blog | Zdnet