hoe kan dat ik had all een blauw scherm 2 dagen van te voren ruim 24 uur er voor in Rotterdam..en na reset opnieuw starten was het weg....door crouwdstryke..gedoe..nooit eerder gehad op mijn nieuwe pc...en dat eerst na installatie Windows 11...en beveiliging software en dan pas internet stekker er in veiliger kan toch.niet...zou je denken?

Ja het is leuk om er een naampje aan te geven, maar wat veel interessanter is hoe die update "op een miljard computers" kon worden uitgerold zonder eerst deugdelijk getest te zijn.
Het minimum wat je toch wilt is dat updates geleidelijk worden uitgerold en dat er een noodknop is om dit proces te stoppen bij een dergelijke "logicafout".

Ik dacht eerst dat de extensie .SYS een driver was, maar dat blijkt volgens CrowdStrike niet het geval.
Het zijn Channel Files en degene met 291 zijn specifiek gerelateerd aan "Named Pipes"
Wel vreemd dat er zoveel nullen in staan.

Nog nooit van testen, qa en gefaseerde rollout gehoord bij Crowdstrike?

Ongelofelijk dat een bedrijf met zo'n hoog technisch niveau zo iets de deur uit kan laten gaan.

Mag hopen dat een aantal managers een andere baan kunnen gaan zoeken.

@crowdstike

"Elk aspect en facet denkbaar in automatisering, is 100% voorpelbaar, manipuleerbaar, voor iedere betrokkene...."

Zo ook :
De logicafout van 'crowdstrike'....

Niet testen!

De logicafout in de wereld van de automatiseerder die zijn getroffen?
Niet testen!

Zie de hele exercitie als een kwaliteitstest en je weet hoe Nederland er voor staat kwalitatief. #Bedroevend klaarblijkelijk.

ZO zie je maar weer dat commercie een groter gevaar is dan #cybercriminaliteit....

Het is misschien niet gezegd dat dit door crowdstrike kwam natuurlijk.

En, jongens en meisjes, zie hier de reden om niet zomaar alles blind te updaten.
Daarom volgen we het principe van OTAP https://nl.wikipedia.org/wiki/OTAP

Nou ja, je moet ze wel nageven dat ze hun firma naam hebben waargemaakt. Crowd Strike. Dat is wel heel goed gelukt. Kan zo de volgende James Bond film in. Zelfs Ernst Blofeld is nog nooit zover gekomen met sabotage wereldwijd.

Een beetje spartelen en smoesjes heeft dan weing zin denk ik. Het is niet zo een klein beetje laf en zielig.

Als je de schade wereldwijd inschat, dan past het niet op je chequeboek denk ik. En ook niet meer op je scherm. Dus beter de deuren sluiten, de boeken ook. Zakelijk, intellectuele eigendom mag je niet uit de boedel onttrekken. Maar je kunt wel overnieuw beginnen met je mensen die wel wat kunnen. Want capaciteiten behoren niet tot de boedel.

Ik denk ook goede lab omgevingen opzetten. Want heel de wereld als je testplatform misbruiken mag wel een keertje over zijn. En dan zeggen, ja maar we hebben een updeet. Hallo.

CrowsStrike lijkt inderdaad een flinke steek te hebben laten vallen met testen. Erg lastig met security software die zo diep op het systeem moet ingrijpen dat het bijna rootkit achtige gedragingen heeft.

Gebruikers/systeembeheerders zijn ook niet helemaal vrij van blaam:
- Blind vertrouwen op automatische updates
- Direct in productie uitrollen over alle PC's
- Creëren van een monocultuur waardoor alles omvalt

Die updates komen meerdere keren per dag volgens crowdstrike. Veel succes met Uw OTAP straat.

Dit ziet eruit als een citaat, maar wie of wat citeer je hier?

Het zit hem niet zozeer in een OTAP maar meer weten en begrijpen dat de meesten in de automatisering, vandaag de dag, geen idee (meer) hebben van de essentie en wetmatigheden van automatiseren. Dan gaan ze uit van allerlei, vaak commerciële, standaarden maar kunnen bijna niet verder door en nadenken.

Daar zit denk ik, het grootste hiaat in het geheel. Crowdstrike is er alleen maar weer de zoveelste demo daarvan....

In dit geval was het kennelijk heel simpel te testen.
Het is geen obscuur geval wat alleen in specifieke configuraties een probleem is, want dan zouden er niet wijd en zijd zoveel computers plat zijn.
Ik dacht eerst "het gebeurt pas bij een reboot" maar dat kan ook niet want heel veel van die betrokken systemen worden niet regelmatig gereboot.
Afijn, prutswerk.


Ik ken dat product niet maar het is niet zeker dat het wel door de locale beheerder instelbare features biedt voor een geleidelijke rollout.
Dat moet allemaal nog boven water komen.
Als het allemaal "voor uw bestwil en veiligheid zo snel mogelijk geinstalleerd wordt" (waar het op lijkt) dan treft alleen CrowdStrike de blaam, niet de lokale beheerders.

Wat me nou nog steeds niet duidelijk is, dat is of dat dit probleem nou nog vanzelf weg gaat desnoods met acties van een eindgebruiker.
Dwz, "doe hem even uit en aan" (desnoods 15 keer).
Niet "start op in safe mode en gooi een bestand weg waarvan we je nog niet eens de exacte naam kunnen geven", dat kan de gemiddelde eindgebruiker op een laptop al niet eens, laat staan dat dit in een (semi-)embedded situatie "even" kan worden uitgevoerd.

En dat moet allemaal ongecontroleerd massaal over het hele computer-park uitgerold worden zodra die updastes er zijn?
Want dat is veilig? Als de leverancier (of iemand anders) maar roept: "Het is goed genoeg."

Ik zou me rot schamen als leidinggevende, security officer of beheerder die dit klakkeloos als procedure doorgevoerd hebben, zonder enig protest.
Dat zou dan minimaal een opdracht van en ondertekend door de directie moeten zijn, waarbij ze duidelijk hebben kunnen lezen wat de consequenties kunnen zijn. Geen: "wir habe es nicht gewusst" excuses toegestaan.

En dan ook nog geen goede (analoge) fallback oplossing hebben, als het een keer goed fout gaat.
Tenenkrommend.

Als je iets plaatst in de kernel onder root dan is het niet handig omdat vaker te updaten. Eenvoudiger dan dat is het niet.
Gaat er iets mis dan hoort er een veilige toestand te ontstaan. Terugval naar Windows defender zou automatisch moeten kunnen verlopen.

Ik ben het zowaar met je eens, alleen windows gebruikt geen root maar admin. In ieder geval een snapshot voor elke update en natuurlijk eerst op 1 standaard windows machine. Monitoring piept als het niet opstart.

Misschien horen we nog dat er getest was voor patch dinsdag en windows niet meer backwards compatible werd.

Het begint er nu meer op te lijken dat er geen software geupdate is, maar dat er al defecte software geinstalleerd was die crashte doordat er een definitiebestand geupdate werd.

Dit soort producten en bedrijven bestaat van de mythe dat Windows Defender waardeloos is en dat je daar dus je bedrijf niet aan wilt ophangen. "Terugval naar Windows Defender" is een zwaktebod voor die lui.

The complete write-up and explenation of this programmer and quality control error can be read here: https://x.com/Perpetualmaniac/status/1814376668095754753, NULL pointer from the memory unsafe C++ language.

You wonder how much more will shortly be updated of Crowdstrike's code, as iot is doubtful that the programmer created this (part of the) module didn't write any other part too...

tis natuurlijk een tweekanten snijdend mes, en die moet je identificeren en voorkomen..
beheerders willen niet verantwoordelijk zijn dat een stukje malware doorglipt in de week van testen en zijn blij dat de verantwoordelijkheid ligt bij een club, die nu dus blijkt, daar niet mee om kan gaan...
bootloop en bsod is een bijwerking die een 1ste weeks stagiare nog zou herkennen, binnen 1 dag.

Bij een BSoD of een bootloop heb je ook heel weinig aan Windows Defender. Te weinig, te laat.

Teruggaan naar een herstelpunt gebeurde niet (automatisch), en werd ook niet geadviseerd.
Het betreffende programma controleerde haar eigen code of data ook niet op fouten (voor gebruik).

Wel kwam er het workdaround/advies om elke apparaat in safe mode te starten en een data-bestand (met een sys extentie) fysiek te verwijderen. Wat arbeidsintensief kan worden bij grote organisaties.

Hoe de definitieve fix werkt, is nog niet bekend gemaakt.

Dit had vookomen kunnen worden, door te testen. Zowel bij de leverancier als bij de klanten. Er zijn teveel machines "gelijktijdig" gecrasht, dat de fout niet op bestaande testomgevingen reproduceerbaar zou zijn. Ook vooraf.

En dat is er ook nog het gebrek aan analoge alternatieven, als zoiets als nu gebeurt. Bedrijven waren aan het spartelen.
Zou de bedrijfsschade (reputatie en financieel) nog steeds opwegen tegen de kosten van een analoog alternatief bij storing?

Diezelfde discussie werd gevoerd over anti-diefstal software (LoJack) die op je laptop kon installeren. Ook daar werd nogal diep ingegrepen in het OS. Maar het probleem is dat de gebruiker daar niet altijd weet van heeft. Van CrowdStrike wist ik dat ook niet, totdat het falen van deze software bekend werd.

Erik Westhovens heeft een heel ander verhaal. Zie DutchIT Channel.

https://www.dutchitchannel.nl/news/464047/erik-westhovens-crowdstrike-zal-moeten-onderzoeken-of-er-geen-sprake-is-van-supplychain-attack

In deze alerts zaten twee meldingen. de eerste dat er malicious content was gevonden (een infostealer) en de tweede dat er malicious connecties waren naar Ip adressen met een slechte reputatie. In de tijdlijn kan ik dan zien dat de alert getriggerd werd door de service. CSagent.sys was de eerste met de infostealer waarvan we nu weten dat het een false positive is. Het is gewoon functionaliteit van de system driver.
De tweede lijkt een downloader te zijn die content download van een delivery network. Echter lijkt het naar een IP adres met een bad reputation. Helaas kunnen we dat IP adres niet zien omdat de testmachines meteen een bluescreen geven en de sensor data dan weg is.
Crowdstrike zal zeker moeten gaan onderzoeken of er hier geen sprake is van een supplychain attack.

Het probleem zat kennelijk in een configuratiebestand (ondanks de extensie .sys) van een groep "channel files" waar meerdere keren per dag updates in worden aangebracht om direct op nieuwe dreigingen te kunnen reageren. Dan is er weinig tijd om bij klanten te testen.

Ze zijn tot nu toe niet duidelijk in hoe het nou precies is misgegaan, dat onderzoeken ze nog, maar dan hoort ook tot de mogelijkheden dat er wel degelijk getest is maar dat het bestand is beschadigd tussen testen en publiceren. Als dat het is dan wordt kennelijk geen digitaal ondertekende checksum van de daadwerkelijk geteste versie van het bestand gebruikt om te controleren of wat uiteindelijk de deur uitgaat nog hetzelfde is, en is dat een punt waarop ze hun proces moeten verbeteren.

Ik weet niet of dit is hoe het zit, maar het is een mogelijkheid, en dat maakt het iets te vroeg om te concluderen dat er niet getest is, al is dat natuurlijk net zo goed een mogelijkheid. We moeten denk ik het onderzoek dat ze doen nog even afwachten om te horen wat er nou precies is gebeurd. En ik denk dat ze hun reputatie ernstig zouden beschadigen als ze niet open kaart zouden spelen, dus ik denk dat de kans best groot is dat ze ermee naar buiten treden.

Ik ken CrowdStrike en zijn leverancier verder niet, maar in het algemeen weet ik wel dat zelfs organisaties die hun zaakjes erg goed voor elkaar hebben altijd wel érgens iets hebben dat toch niet klopt. Mensen zijn veel beter in nadenken over hoe iets wel moet werken dan in nadenken over alle mogelijke manieren waarop er iets mis kan gaan. Er gaan af en toe dingen fout op een manier waar domweg niemand nog op was gekomen. Een goede organisatie leert al doende, documenteert wat ze leren, gebruikt die documentatie voortaan en wordt zo steeds professioneler. Maar ik betwijfel of er waar dan ook een organisatie ooit heeft bereikt dat ze absoluut feilloos zijn. En dit kan alles zijn van een schokkende blunder die dat bedrijf nooit had mogen maken tot een ongeluk dat in zo'n extreem klein hoekje zit dat het niet zo gek is dat ze er domweg nog niet op waren gekomen.