image

CrowdStrike: defecte update door bug in controlesysteem niet opgemerkt

woensdag 24 juli 2024, 10:11 door Redactie, 32 reacties

De defecte update van CrowdStrike die afgelopen vrijdag wereldwijd voor computerstoringen zorgde werd door een bug in het controlesysteem niet opgemerkt, zo laat het securitybedrijf in een korte analyse weten. CrowdStrike brengt verschillende soorten updates uit voor de Falcon Sensor-beveiligingssoftware. In het geval van 'Template Types', waarmee de software nieuwe dreigingen kan detecteren, vinden er validatiecontroles via de 'Content Validator' plaats.

Afgelopen vrijdag rolde CrowdStrike twee nieuwe templates uit, waaronder één met 'problematische contentdata'. Door een bug werd dit niet door de Content Validator opgemerkt, zo legt het securitybedrijf uit. Wanneer de content door de CrowdStrike-software werd geladen ontstond er een 'out-of-bounds memory read', wat leidde tot een blue screen of death op Windowssystemen.

Naar aanleiding van de wereldwijde storing kondigt CrowdStrike aan dat het updates uitgebreider gaat testen. Ook gaat het bedrijf een 'staggered deployment strategy' hanteren, waarbij updates geleidelijk onder alle klanten worden uitgerold. Tevens zal ook de monitoring worden verbeterd en krijgen klanten meer controle over waar en wanneer updates mogen worden uitgerold. Als laatste zullen updates van release notes worden voorzien, zodat klanten weten wat die doen.

Reacties (32)
24-07-2024, 10:17 door Anoniem
en krijgen klanten meer controle over waar en wanneer updates mogen worden uitgerold.
Oh, edele goden... Dank U dat ik weer iets te vertellen heb op MIJN computer. Dank U, dank U!
24-07-2024, 10:35 door Anoniem
Door Anoniem:
en krijgen klanten meer controle over waar en wanneer updates mogen worden uitgerold.
Oh, edele goden... Dank U dat ik weer iets te vertellen heb op MIJN computer. Dank U, dank U!

Draai je Crowdstrike dan?
24-07-2024, 10:37 door Anoniem
Door Anoniem:
en krijgen klanten meer controle over waar en wanneer updates mogen worden uitgerold.
Oh, edele goden... Dank U dat ik weer iets te vertellen heb op MIJN computer. Dank U, dank U!

Maar wel aan de late kant.
24-07-2024, 10:44 door Anoniem
Afgelopen vrijdag rolde CrowdStrike twee nieuwe templates uit, waaronder één met 'problematische contentdata'. Door een bug werd dit niet door de Content Validator opgemerkt, zo legt het securitybedrijf uit.
Ok maar dat is niet alleen een bug, dat is ook een fout ontwerp!
Je moet niet de content valideren maar het EFFECT. Dwz je hebt testsystemen die de nieuwe file inladen, en dan ga je testen of het goed werkt. Worden de nieuwe dreigingen die je gezien had inderdaad opgemerkt, EN blijft het systeem waarop je de update geinstalleerd hebt goed werken.
Dat laatste is lastig, ik kan me indenken dat je wat geautomatiseerde acties uitvoert zoals het openen van Word en Excel, een internet browser een pagina laat bezoeken, etc. Dat mag dan geen detectie geven, en al helemaal geen BSOD natuurlijk.
Als ze dat gedaan hadden dan was er niet eens uitgerold.

En dan nog, ik vind dat als ze die "staggered deployment strategy" implementeren (wie had er niet gedacht dat dat standaard al zou gebeuren in zo'n Enterprise product???) er ook feedback moet zijn. Als een klant de update geinstalleerd heeft moet het systeem een paar minuten later een health update sturen. "alles OK hier".
Komen die updates na de eerste deployment ring niet in voldoende mate binnen, dan trek je meteen aan de noodrem.

Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.
24-07-2024, 10:50 door Anoniem
Door Anoniem:
Afgelopen vrijdag rolde CrowdStrike twee nieuwe templates uit, waaronder één met 'problematische contentdata'. Door een bug werd dit niet door de Content Validator opgemerkt, zo legt het securitybedrijf uit.
Ok maar dat is niet alleen een bug, dat is ook een fout ontwerp!
Je moet niet de content valideren maar het EFFECT. Dwz je hebt testsystemen die de nieuwe file inladen, en dan ga je testen of het goed werkt. Worden de nieuwe dreigingen die je gezien had inderdaad opgemerkt, EN blijft het systeem waarop je de update geinstalleerd hebt goed werken.
Dat laatste is lastig, ik kan me indenken dat je wat geautomatiseerde acties uitvoert zoals het openen van Word en Excel, een internet browser een pagina laat bezoeken, etc. Dat mag dan geen detectie geven, en al helemaal geen BSOD natuurlijk.
Als ze dat gedaan hadden dan was er niet eens uitgerold.

En dan nog, ik vind dat als ze die "staggered deployment strategy" implementeren (wie had er niet gedacht dat dat standaard al zou gebeuren in zo'n Enterprise product???) er ook feedback moet zijn. Als een klant de update geinstalleerd heeft moet het systeem een paar minuten later een health update sturen. "alles OK hier".
Komen die updates na de eerste deployment ring niet in voldoende mate binnen, dan trek je meteen aan de noodrem.

Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Ja die maatregelen ter verbetering had elke ict'er hier ook wel kunnen bedenken; en dan voordat het product op de markt komt. Ik mis nog de mededeling "Ivm het falen op alle gebieden heeft het management zijn bonussen ingeleverd"

Wat je stelt over de nette pakken is helemaal waar, IBM/RedHat stuurt in de sales trainingen expliciet aan op overtuigen van de doelgroep en dat zijn idd geen technische mensen. Vroeger 1 keer in pak naar een klant gegaan en die hadden daardoor weinig vertrouwen in mijn oplossend vermogen, daarna maar gewoon in hoodie met sneakers.
24-07-2024, 10:52 door Anoniem
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

En dan gaan ze niet met 'verkopers' praten, maar staan ze alleen bij de koffie automaat met een stel andere zwarte t-shirts gelijk te hebben, want de boel van het begin af aan de goede kant op sturen vergt energie en planning en praten met mensen , en daar zijn ze niet voor .

Wanneer de jochies die het zo goed weten die mond niet alleen op een IT forum maar ook op kantoor zouden opentrekken hadden ze eens kans om (sommige) dingen te voorkomen.
24-07-2024, 11:00 door Anoniem
Dit klinkt als een ongeloofwaardig verhaal.
Hoe kan er dan 2 soorten ContentData worden aangeleverd voor C-00000291-00000000-00000032.sys?
Er kwam een goede versie uit van 35404 bytes en een foute versie van 41004 bytes.
Beide smaken hiervan staan in VirusTotal waarvan de eerste goed is en de tweede de foutieve. De bijbehorende hashes:
e84f66e2fe2c44ee244db4ee2e0cf04413e8f6d171df56870d9aca96131ed526
ad492bc8b884f9c9a5ce0c96087e722a2732cdb31612e092cdbf4a9555b44362

Ook de Root Cause is nog steeds niet opgelost, want de csagent.sys driver kan nog steeds een crash maken met een BSOD, als je daar verkeerde data neer zet.
24-07-2024, 11:18 door Anoniem
Door bug in controlesysteem. Dat gelooft niemand. Dat ze geen staggered deployment strategy hebben is typisch iets voor een omhoog gevallen bedrijf. Als je niet eens een BSOD kan detecteren is er iets goed mis en dan die arrogante houding over klanten krijgen meer controle over waar en wanneer updates mogen worden uitgerold. Klanten zijn dus niet meer in control en notes over de laatste updates waren niet nodig want wij ontzorgen jullie, behalve als er een probleem is! Zo kan ik dat ook als 1 pitter.
24-07-2024, 11:20 door Anoniem
Monkey training makes monkey do.

Geen goed geconfigureerde of beveiligde testomgeving
Hopelijk gebeurt het nu allemaal wat robuuster.
24-07-2024, 11:27 door Anoniem
Gruwelijk gebrek aan kwaliteitscontrole.
24-07-2024, 11:50 door Anoniem
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

En dan gaan ze niet met 'verkopers' praten, maar staan ze alleen bij de koffie automaat met een stel andere zwarte t-shirts gelijk te hebben, want de boel van het begin af aan de goede kant op sturen vergt energie en planning en praten met mensen , en daar zijn ze niet voor .

Wanneer de jochies die het zo goed weten die mond niet alleen op een IT forum maar ook op kantoor zouden opentrekken hadden ze eens kans om (sommige) dingen te voorkomen.

Wat een aannames weer.
24-07-2024, 11:50 door Anoniem
Door Anoniem:
Door Anoniem:
Afgelopen vrijdag rolde CrowdStrike twee nieuwe templates uit, waaronder één met 'problematische contentdata'. Door een bug werd dit niet door de Content Validator opgemerkt, zo legt het securitybedrijf uit.
Ok maar dat is niet alleen een bug, dat is ook een fout ontwerp!
Je moet niet de content valideren maar het EFFECT. Dwz je hebt testsystemen die de nieuwe file inladen, en dan ga je testen of het goed werkt. Worden de nieuwe dreigingen die je gezien had inderdaad opgemerkt, EN blijft het systeem waarop je de update geinstalleerd hebt goed werken.
Dat laatste is lastig, ik kan me indenken dat je wat geautomatiseerde acties uitvoert zoals het openen van Word en Excel, een internet browser een pagina laat bezoeken, etc. Dat mag dan geen detectie geven, en al helemaal geen BSOD natuurlijk.
Als ze dat gedaan hadden dan was er niet eens uitgerold.

En dan nog, ik vind dat als ze die "staggered deployment strategy" implementeren (wie had er niet gedacht dat dat standaard al zou gebeuren in zo'n Enterprise product???) er ook feedback moet zijn. Als een klant de update geinstalleerd heeft moet het systeem een paar minuten later een health update sturen. "alles OK hier".
Komen die updates na de eerste deployment ring niet in voldoende mate binnen, dan trek je meteen aan de noodrem.

Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Ja die maatregelen ter verbetering had elke ict'er hier ook wel kunnen bedenken; en dan voordat het product op de markt komt. Ik mis nog de mededeling "Ivm het falen op alle gebieden heeft het management zijn bonussen ingeleverd"

Wat je stelt over de nette pakken is helemaal waar, IBM/RedHat stuurt in de sales trainingen expliciet aan op overtuigen van de doelgroep en dat zijn idd geen technische mensen. Vroeger 1 keer in pak naar een klant gegaan en die hadden daardoor weinig vertrouwen in mijn oplossend vermogen, daarna maar gewoon in hoodie met sneakers.
Het verschil is wel dat wat de IBM/Redhat sales beweert waar is.
24-07-2024, 11:52 door Anoniem
Door Anoniem: Gruwelijk gebrek aan kwaliteitscontrole.
Blijkbaar werken daar dus helemaal niet de knapste koppen zoals ergens wordt beweerd. Pure marketing. Hoort een beetje bij dat ouderwetse eco systeem.
24-07-2024, 12:07 door Anoniem
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

Mijn ervaring toen ik nog in dat soort overleggen werd toegelaten was dat ik gelabeld werd als de doemdenker, de negatieveling.
Ik kreeg dan later wel gelijk maar dan was die verkoper al nergens meer te bekennen en was het allemaal "achteraf is het makkelijk praten".

Ik denk dan ook dat er inderdaad bij het maken van de afspraak (zoals al iemand anders reageerde) aangestuurd wordt op een management-level overleg waarin geen techneuten mogen zitten. Want die leveren geen positieve input.
24-07-2024, 12:14 door Anoniem
Door Anoniem: Dit klinkt als een ongeloofwaardig verhaal.
Hoe kan er dan 2 soorten ContentData worden aangeleverd voor C-00000291-00000000-00000032.sys?
Er kwam een goede versie uit van 35404 bytes en een foute versie van 41004 bytes.
Beide smaken hiervan staan in VirusTotal waarvan de eerste goed is en de tweede de foutieve. De bijbehorende hashes:
e84f66e2fe2c44ee244db4ee2e0cf04413e8f6d171df56870d9aca96131ed526
ad492bc8b884f9c9a5ce0c96087e722a2732cdb31612e092cdbf4a9555b44362

Ook de Root Cause is nog steeds niet opgelost, want de csagent.sys driver kan nog steeds een crash maken met een BSOD, als je daar verkeerde data neer zet.

Volgens CrowdStike:
What Happened on July 19, 2024?
On July 19, 2024, two additional IPC Template Instances were deployed. Due to a bug in the Content Validator, one of the two Template Instances passed validation despite containing problematic content data.

Mijn enige verklaring is dan dat de goede versie van C-00000291-00000000-00000032.sys uit een andere Cloud regio van CrowdStrike komt dan de foutieve versie.
24-07-2024, 13:43 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

Mijn ervaring toen ik nog in dat soort overleggen werd toegelaten was dat ik gelabeld werd als de doemdenker, de negatieveling.
Ik kreeg dan later wel gelijk maar dan was die verkoper al nergens meer te bekennen en was het allemaal "achteraf is het makkelijk praten".

Ik denk dan ook dat er inderdaad bij het maken van de afspraak (zoals al iemand anders reageerde) aangestuurd wordt op een management-level overleg waarin geen techneuten mogen zitten. Want die leveren geen positieve input.

Je bedoelt:
Die techneuten zijn kritisch en stellen lastige vragen waar zo'n verkoper ook niet altijd het antwoord op weet (op zich niet erg) of wil geven (wel erg).
24-07-2024, 13:47 door karma4
Door Anoniem: Dit klinkt als een ongeloofwaardig verhaal.
Hoe kan er dan 2 soorten ContentData worden aangeleverd voor C-00000291-00000000-00000032.sys?
...
Ook de Root Cause is nog steeds niet opgelost, want de csagent.sys driver kan nog steeds een crash maken met een BSOD, als je daar verkeerde data neer zet.
Nope en Yes.

Nope: de csagent.sys is geen code is de klassieke betekenis. Het zijn parameters voor een patroon- engine met de duiding 291. De werkelijke code van die engine is maanden terug (maart) uitgerold. Daar zat onvoldoende testen bij op ophalen van features voor de engine. Bij het ophalen van de features zat er nog een variatie in welke niet beeld was.
Het aantal permutaties van configuraties is onbeheersbaar. Daarom wordt er ingezet op module testen waarbij alle features op willekeurige waarden getest worden op betrouwbaarheid.

Yes: Dit soort software draait op elk OS op kernniveau, het is beter een scheiding aan te brengen voor wat kernel en wat middleware / tools is. Dat bestaat (nog) niet.
Shellshock was een overeenkomstige iets met hetzelfde gebrek in scheiden van lagen. Er zijn er veel meer.
24-07-2024, 13:57 door Anoniem
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

En dan gaan ze niet met 'verkopers' praten, maar staan ze alleen bij de koffie automaat met een stel andere zwarte t-shirts gelijk te hebben, want de boel van het begin af aan de goede kant op sturen vergt energie en planning en praten met mensen , en daar zijn ze niet voor .

Wanneer de jochies die het zo goed weten die mond niet alleen op een IT forum maar ook op kantoor zouden opentrekken hadden ze eens kans om (sommige) dingen te voorkomen.
Je kletst. Management wil die dingen niet horen want ze zijn zelf onderdeel van het probleem (laten zich fêteren door Microsoft en consorten)
24-07-2024, 14:12 door walmare - Bijgewerkt: 24-07-2024, 14:13
CrowdStrike: defecte update door bug in controlesysteem niet opgemerkt
Vreselijk ook dat Microsoft windows een UNSIGNED driver die ook nog eens verplicht moet worden opgestart in kernel mode (vandaar de bootloop) toestaat!! Kennelijk is men heel bang voor walware en vertrouwt men windows zelf niet. Wat een failliet ecosysteem. Hier gaan we nog veel ellende mee beleven.
Verstandige beheerders weten wat er te doen staat.
24-07-2024, 14:39 door Anoniem
Door walmare:
CrowdStrike: defecte update door bug in controlesysteem niet opgemerkt
Vreselijk ook dat Microsoft windows een UNSIGNED driver die ook nog eens verplicht moet worden opgestart in kernel mode (vandaar de bootloop) toestaat!! Kennelijk is men heel bang voor walware en vertrouwt men windows zelf niet. Wat een failliet ecosysteem. Hier gaan we nog veel ellende mee beleven.
Verstandige beheerders weten wat er te doen staat.

Csagent.sys is wel degelijk een SIGNED driver, maar de Channel File 291 die wordt gebruikt door deze driver is dat niet.
24-07-2024, 15:32 door Anoniem
Door karma4:
Yes: Dit soort software draait op elk OS op kernniveau, het is beter een scheiding aan te brengen voor wat kernel en wat middleware / tools is. Dat bestaat (nog) niet.
Shellshock was een overeenkomstige iets met hetzelfde gebrek in scheiden van lagen. Er zijn er veel meer.

Dat is niet zo. In MacOS werkt het wel zo. Dus het bestaat wel.
En Microsoft was ook bezig dat te ontwikkelen, een framework voor malware detectie waarbij zij de kernel kant deden en de antivirusfabrikanten alleen de data aanleveren.
Echter, toen zijn er een paar van de gevestigde antivirustoko's, waarvan er meerdere in de EU zitten, naar de EU gestapt met het alarmerende bericht dat zij hierdoor hun concurrentiepositie zouden verliezen en toen heeft de EU een verbod aan Microsoft gegeven om die nieuwe techniek, in ieder geval in de EU, te gebruiken.
Microsoft werd verplicht om kernel-level software aangeleverd door antivirustoko's te blijven supporten, waarmee het idee van een universele engine in Windows die door Microsoft ontworpen en gevalideerd was beeindigd was.

Blijft wel vreemd dat de gesignede driver van CrowdStrike, inclusief NULL-pointer dereferencing bug, door Microsoft van een WHQL certificaat voorzien is.
Maar goed, ik had altijd al het idee dat die certificatie niet meer dan een wassen neus was, en ook niet kon zijn.
24-07-2024, 15:43 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

En dan gaan ze niet met 'verkopers' praten, maar staan ze alleen bij de koffie automaat met een stel andere zwarte t-shirts gelijk te hebben, want de boel van het begin af aan de goede kant op sturen vergt energie en planning en praten met mensen , en daar zijn ze niet voor .

Wanneer de jochies die het zo goed weten die mond niet alleen op een IT forum maar ook op kantoor zouden opentrekken hadden ze eens kans om (sommige) dingen te voorkomen.

Wat een aannames weer.

nee hoor, ervaring en observatie van 'ons' soort mensen. Dat wegduiken achter scherm en toetsenbord zie je er echt heel veel doen .

Achteraf betweterij geen gebrek, maar zelf tactisch/strategisch werken ho-maar
24-07-2024, 16:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

Mijn ervaring toen ik nog in dat soort overleggen werd toegelaten was dat ik gelabeld werd als de doemdenker, de negatieveling.
Ik kreeg dan later wel gelijk maar dan was die verkoper al nergens meer te bekennen en was het allemaal "achteraf is het makkelijk praten".

Ik denk dan ook dat er inderdaad bij het maken van de afspraak (zoals al iemand anders reageerde) aangestuurd wordt op een management-level overleg waarin geen techneuten mogen zitten. Want die leveren geen positieve input.

De kern van je probleem is al "toegelaten WORDEN".

Als je gewerkt had aan je reputatie (en aan een historie van bewezen resultaat) bepaalde jij welke vendoren er uberhaupt langskwamen.

Je snapt (misschien) wel dat alleen maar aanschuiven en roepen "gaat toch niet werken" "ik heb nog nooit wat goeds gezien" inderdaad niet productief is.

jouw taak (tenminste -als je inderdaad een technisch LEIDER bent) is zorgen dat een zeker probleem (bijvoorbeeld : scannen op malware op alle devices) *opgelost* wordt met de beste tools . Bij voorkeur voordat de praktijk die noodzaak heeft laten zien.

Alleen maar 'mogen' aanschuiven als de leverancier al aan boord is - dan zit je achteraan en kun je (amper) meer bijsturen.

Management zit er voor _resultaat_ en is alleen maar blij als iemand uit de technische hoek effectief dat resultaat weet te bereiken.
24-07-2024, 17:48 door Anoniem
Microsoft, which offers an alternative to CrowdStrike known as Windows Defender, agreed in 2009 to allow several security providers to install software at the kernel level amid a European competition investigation.

https://www.dailymail.co.uk/news/article-13662349/Microsoft-EU-red-tape-global-meltdown-Crowdstrike.html

In contrast, Apple blocked access to the kernel on its Mac computers in 2020, which it said would improve security and reliability.
24-07-2024, 18:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Kijk het probleem is: aan de tafel bij de manager waar de verkoper in zijn nette pak het verhaal vertelt is het allemaal geweldig meneer, we gaan u beveiligen en ontzorgen.
Laat je een IT'er in die ruimte binnen dan wordt het een heel ander verhaal. Daarom gebeurt dat ook meestal niet.

Nee, dat gebeurt niet omdat die zelfbenoemde experts structureel wegrennen voor 'meeting' 'overleg' want dat is :"allemaal tijdverspilling en ze zijn bezig met "echt" werk (brandje blussen) " .

En dan gaan ze niet met 'verkopers' praten, maar staan ze alleen bij de koffie automaat met een stel andere zwarte t-shirts gelijk te hebben, want de boel van het begin af aan de goede kant op sturen vergt energie en planning en praten met mensen , en daar zijn ze niet voor .

Wanneer de jochies die het zo goed weten die mond niet alleen op een IT forum maar ook op kantoor zouden opentrekken hadden ze eens kans om (sommige) dingen te voorkomen.

Wat een aannames weer.

nee hoor, ervaring en observatie van 'ons' soort mensen. Dat wegduiken achter scherm en toetsenbord zie je er echt heel veel doen .

Achteraf betweterij geen gebrek, maar zelf tactisch/strategisch werken ho-maar

Want die techneuten die jij geobserveerd hebt, zijn ook aangenomen om tactisch en startegisch te opereren.
Dat staat in hun functiebeschrijving?
Ja: Dan zijn de verkeerde mensen aangenomen.
Nee: dan moet je dat ook niet verwachten.

De techneuten die ik ken en ervaring mee heb, waren we pro-actief en stelden "lastige" vragen. Iets waar managers niet altijd gecharmeerd van waren. Want het zette de "vrolijke" (ons kent ons) gesprekken soms op scherp.
Maar het waren wel altijd goede, gerichte vragen. Die pijnpunten of aandachtspunten aan het licht brachten.
De antwoorden daar-en-tegen lieten nog wel eens te wensen over.
Gedegen inhoudelijk kennis is ook niet aan alle verkopers besteed. (is mijn ervaring)

Misschien moet je eens wat meer rondkijken? Goede techneuten zijn er wel.

En nee, techneuten zijn niet altijd even praatgraag. Dat doen de managers wel. Die zijn daar voor aangenomen.
Maar als zulke techneuten vragen gaan stellen, moet je echt luisteren. En zelf ook doorvragen. Dan is het belangrijk.
En bespreek dat soort zaken intern goed voor met die techneuten. Dat helpt ook.
24-07-2024, 19:03 door karma4
Door Anoniem:
Dat is niet zo. In MacOS werkt het wel zo. Dus het bestaat wel.
Dan kan je eenvoudig aangeven waar dat in the principals of operation beschreven door Apple staat. Gezocht en nooit gevonden.
Daarmee plaats ik je bewering als onwaar.

Bij microsoft ook nageplozen. Daar staan tegenstrijdige adviezen.
Wil je snel aan de slag gebruik dan local system. Die mag vrij veel.
Wil je echt iets veilig neerzetten mwt least privileges gebruik dan service accounts. Dat is meer werk en wordt tussen sales en afname te vaak genegeerd.


Blijft wel vreemd dat de gesignede driver van CrowdStrike, inclusief NULL-pointer dereferencing bug, door Microsoft van een WHQL certificaat voorzien is.
Maar goed, ik had altijd al het idee dat die certificatie niet meer dan een wassen neus was, en ook niet kon zijn.
Een certificaat is hier helemaal niet aan de orde.
Het genoemde sys bestand is namelijk geen code in de klassieke vorm.
Een eigen vorm van ai pseudocode.
Kortom je hebt de hele keten van afhankelijkheden niet door. Kijk een naar saf calls en sys*.man datasets.
Zelfde werkingswijze
24-07-2024, 19:39 door Anoniem
Door karma4:
Door Anoniem: Dit klinkt als een ongeloofwaardig verhaal.
Hoe kan er dan 2 soorten ContentData worden aangeleverd voor C-00000291-00000000-00000032.sys?
...
Ook de Root Cause is nog steeds niet opgelost, want de csagent.sys driver kan nog steeds een crash maken met een BSOD, als je daar verkeerde data neer zet.
Nope en Yes.

Nope: de csagent.sys is geen code is de klassieke betekenis. Het zijn parameters voor een patroon- engine met de duiding 291. De werkelijke code van die engine is maanden terug (maart) uitgerold. Daar zat onvoldoende testen bij op ophalen van features voor de engine. Bij het ophalen van de features zat er nog een variatie in welke niet beeld was.
Het aantal permutaties van configuraties is onbeheersbaar. Daarom wordt er ingezet op module testen waarbij alle features op willekeurige waarden getest worden op betrouwbaarheid.

Yes: Dit soort software draait op elk OS op kernniveau, het is beter een scheiding aan te brengen voor wat kernel en wat middleware / tools is. Dat bestaat (nog) niet.
Shellshock was een overeenkomstige iets met hetzelfde gebrek in scheiden van lagen. Er zijn er veel meer.
Je weet niet waar je over praat. Shellshock was een software bug 10j geleden en heeft niets met gebrek aan gescheiden lagen te maken en helemaal niets met deze windowqs crash
24-07-2024, 22:08 door Anoniem
CrowdStrike, the cybersecurity firm that crashed millions of computers with a botched update all over the world last week, is offering its partners a $10 Uber Eats gift card as an apology

https://techcrunch.com/2024/07/24/crowdstrike-offers-a-10-apology-gift-card-to-say-sorry-for-outage/

Zijn dit nu Phishing mails of zijn dit echte mails van CrowdStrike?
25-07-2024, 06:01 door Anoniem
Ik kan het weer lezen. Er zat even een bug in mijn browser, waardoor ik niet kon zien dat er een bug in de testsoftware zat, die op zijn beurt weer een bug niet had gezien die de halve wereld plat legde. Het was wel twee dagen updaten en daarna nog drie om mijn backups terug te zetten. Ik had gehoopt sneller, maar dat balkje dat duurde een eeuw.

Waar zijn we nou mee bezig dames, maar zeker ook heren?

Samen zijn we toch slim genoeg?
25-07-2024, 11:23 door Anoniem
Door Anoniem: CrowdStrike, the cybersecurity firm that crashed millions of computers with a botched update all over the world last week, is offering its partners a $10 Uber Eats gift card as an apology

https://techcrunch.com/2024/07/24/crowdstrike-offers-a-10-apology-gift-card-to-say-sorry-for-outage/

Zijn dit nu Phishing mails of zijn dit echte mails van CrowdStrike?


CrowdStrike to vendors: Sorry for the global tech outage. Here’s a $10 Uber Eats voucher

https://edition.cnn.com/2024/07/24/business/crowdstrike-outage-uber-eats/index.html
25-07-2024, 14:28 door EKTB
Door Anoniem:
en krijgen klanten meer controle over waar en wanneer updates mogen worden uitgerold.
Oh, edele goden... Dank U dat ik weer iets te vertellen heb op MIJN computer. Dank U, dank U!
Niet zo dom kletsen anonymous andy, CrowdStrike levert geen software voor particulieren.
25-07-2024, 19:15 door karma4
Door Anoniem:
Je weet niet waar je over praat. Shellshock was een software bug 10j geleden en heeft niets met gebrek aan gescheiden lagen te maken en helemaal niets met deze windowqs crash
Je mist ook dasr weer het nodige.
De parsing op een laag niveau, kernel, om iets aan een webserver andere laag, door te geven zou niwt met dit te maken hebben?

Kernel process dat voor het gemak een complete shell gebruikt is nu hetzelde als wat met crowdstrike gebeurd is. Was die fout met shellshock in een kernel panic gekomen dan had je hetzelfde resultast
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.