Se il chip è scrivibile dal sistema operativo, il malware può scrivere anche su di esso, quindi non sarebbe di aiuto lì.
Inoltre, il software anti-malware deve gestire le minacce che hanno solo poche ore di vita. Dovendo riavviare il computer per aggiornare il software anti-malware in esecuzione sul proprio hardware, faremo schifo, quindi dobbiamo essere in grado di aggiornarlo dal sistema operativo. Se riusciamo a scrivere sul chip dal sistema operativo, anche il malware.
Per rendere un anti-malware hardware sicuro, devi prima cambiare l'attività principale del programma. Il software anti-malware ha fondamentalmente un elenco di software dannoso. Se un programma si trova in quell'elenco, viene bloccato e rimosso. Altrimenti, lo lasciamo correre. Ogni volta che viene scritto un nuovo malware, dobbiamo aggiungerlo alla lista. Pertanto, il software può essere solo reattivo, con la necessità di aggiornare l'elenco (enorme) tutto il tempo.
Se, d'altra parte, hai un elenco di programmi che possono essere eseguiti e blocca tutto il resto non è necessario aggiornare tale elenco per tutto il tempo; solo quando vuoi eseguire un nuovo programma. Qualsiasi malware, sconosciuto o conosciuto, verrebbe bloccato da questo rifiuto implicito. Per molti ambienti sensibili non si installa un nuovo codice ogni giorno. ATM ha bisogno di eseguire un pezzo di software. Nient'altro. L'elenco in sostanza non cambierà.
Il problema è che non esiste un elenco generalmente fattibile di programmi OK. Dovresti avere una lista relativamente piccola dei programmi che devi essere in grado di eseguire sul tuo computer, che deve essere fatta apposta per te, o dovresti avere un enorme elenco di programmi che chiunque vorrebbe mai voglia di correre.
Per generare quell'elenco, il modo più semplice sarebbe aggiungere tutti i programmi possibili e rimuovere quelli negativi, il che equivale a ciò che fa oggi il software anti-malware, piuttosto che negare implicitamente. Semplicemente non è possibile ottenere un elenco di tutti i programmi non dannosi che verranno mai scritti senza includere quelli che non saranno.
Potrebbe funzionare, se lo fai bene. Ma generalmente non è fattibile. Inoltre, sarebbe davvero una cosa terribile cambiare negazione implicita per le aziende anti-malware che cercano di vendere servizi in abbonamento.
Per quanto riguarda il livello di privilegio extra; a volte devi aumentare i privilegi e, se puoi, il malware lo farà. E l'impossibilità di modificare i file di sistema, hai appena aggiunto un altro livello. Il livello superiore avrà ancora quel problema.