CrowdStrike komt met eindrapport over oorzaak wereldwijde computerstoring
CrowdStrike heeft het eindrapport uitgebracht over de oorzaak van de wereldwijde computerstoring die het vorige maand veroorzaakte. Het cybersecuritybedrijf kwam eind juli al met voorlopige bevindingen waarin het stelde dat een bug ervoor zorgde dat een defecte update voor de Falcon-beveiligingssoftware niet werd opgemerkt. Het nu gepubliceerde rapport geeft meer technische details, maar maakt ook duidelijk dat er niet goed werd getest.
Zo werden onder andere een logicafout, out-of-bounds read, verschillen tussen verwachte en aangeboden invoer niet opgemerkt en parameters in updates niet goed getest. Verder werden updates niet gefaseerd onder klanten uitgerold. In het rapport stelt CrowdStrike dat het in de toekomst meer en uitgebreider zal gaan testen. Daarnaast wijst het ook naar de aankondiging van Microsoft dat beveiligingssoftware niet voor alle onderdelen in kernelmode zou moeten draaien.
Door met kernelrechten te draaien wil beveiligingssoftware voorkomen dat malafide gebruikers met adminrechten of malware de software kunnen uitschakelen. In het geval van een crash of probleem met de beveiligingssoftware heeft dit echter grote gevolgen voor het systeem, omdat een herstart niet mogelijk is zoals bij gebruikersapplicaties kan.
Microsoft wil dat beveiligingssoftware vaker gebruikmaakt van usermode. CrowdStrike zegt dit te zullen ondersteunen als Microsoft support hiervoor in Windows beschikbaar maakt. Wanneer dat zal zijn is onduidelijk. "Veel werk moet nog voor het Windows-ecosysteem worden verricht om een robuust beveiligingsproduct te ondersteunen dat voor tenminste een deel van de functionaliteit niet afhankelijk is van een kerneldriver", aldus het cybersecuritybedrijf.
-Did they bought it??
Ja je kunt allerlei oorzaken aangeven en geavanceerde rollout scenario's bedenken (wat ZEKER ook een goed idee is voor meer obscure problemen) maar in dit geval blijft er toch wel het schrijnende feit staan wat niet eens benoemd wordt in dat rapport: sorry mensen, we hebben het niet eens hier lokaal op een test PC'tje geinstalleerd voor we het de wereld over stuurden...
Immers Microsoft heeft dat eerder als project opgestart en toen "de concurrerende securitybedrijven" daar lucht van kregen zijn ze naar de EU gestapt en die heeft het toen verboden.
Waar IT bedrijven wel vaak de mist mee ingaan is dat ze menen dingen als wanprestatie, aanprakelijkheid, gevolgschade, roekeloos handelen allemaal uit kunnen schakelen met gebruikersovereenkomsten.
Maar zo werkt het dus niet. Als ik iemand per ongeluk dood sla dan blijft het doodslag. Ook als ik die persoon eerst even op een OK knop zou laten klikken om van alle rechten af te zien.
-Did they bought it??
https://www.crowdstrike.com/wp-content/uploads/2024/08/Channel-File-291-Incident-Root-Cause-Analysis-08.06.2024.pdf
Ze geven gewoon netjes toe dat het hun software probleem was.
Ik zie werkelijk niks mis met de RCA vergeleken met andere die ik voorbij zie komen van vendors.
Het enige wat dan nog komt is de juridische punt en komma ne*kerij. Met uiteindelijk een rechter die kijkt naar de wet en omstandigheden. Dit zal ongetwijfeld nog een aantal jaren gaan duren voor een definitieve uitslag er is.
Wellicht koopt CrowdStrijk de boel af met een banaan en een lollie.
.
Ja je kunt allerlei oorzaken aangeven en geavanceerde rollout scenario's bedenken (wat ZEKER ook een goed idee is voor meer obscure problemen) maar in dit geval blijft er toch wel het schrijnende feit staan wat niet eens benoemd wordt in dat rapport: sorry mensen, we hebben het niet eens hier lokaal op een test PC'tje geinstalleerd voor we het de wereld over stuurden....
Ik schopte mijn software ook gewoon de straat op. Hoorde ik niks, dan was het goed. Kreeg ik gezeur, dan haalde ik de gemelde foutjes eruit en schopte ik het weer de straat op.
Immers Microsoft heeft dat eerder als project opgestart en toen "de concurrerende securitybedrijven" daar lucht van kregen zijn ze naar de EU gestapt en die heeft het toen verboden.
Een bedrijf met een grote macht in een markt (hier: besturingssystemen) mag die macht niet gebruiken om zichzelf een voorsprong te geven in een andere markt (hier: beveiligingssoftware). Dat is gewoon basaal mededingingsrecht en dat dit zou wringen had Microsoft op zijn sloffen moeten zien aankomen. Wat de vraag oproept of ze zich daar niet volledig van bewust waren en dus bewust hebben geprobeerd om de wet te ontduiken.
Dus het is al nalatigheid in testen van de driver....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
