Zastanawiam się, czy wprowadzenie interfejsu w kernelu Windows rzeczywiście rozwiązałoby ten problem.
Przede wszystkim, jak zmusić producentów software’u do użycia nowego mechanizmu?
Firmy z pewnością znajdą mnóstwo powodów, by nadal integrować software na poziomie jądra: szybszą implementację nowych typów “sensorów”, lepszą wydajność, brak interfejsu w starszych wersjach Windows, itd.
Jeśli nie da się systemowo wyciąć dostępu do trybu kernela, część software’u nadal będzie rozpakowywać w nim malware, bo tak jest zwyczajnie łatwiej i taniej (dopóki coś nie wybuchnie i trzeba będzie wypłacić odszkodowania).
Nie pokładałbym też nadziei, że system certyfikacji sterowników Microsoftu (WHQL) może wykryć takie przypadki.
Przypomnę tutaj sytuację sprzed kilku lat, gdy oficjalny driver FTDI (udostępniony przez Windows Update) uszkadzał podróbki układów tej firmy.
Ewentualnie techniki niczym z malware’u, ingerujące w mechanizm ochrony pamięci Windows, w rozwiązaniach do wykrywania nieuczciwych graczy.
Chyba tylko perspektywa pozwów i wysokich kar może coś zmienić w tej kwestii.
Pozostaje pytanie, czy CrowdStrike poniesie jakieś konsekwencje po ostatniej wpadce.