News CrowdStrike: Update legt PCs & Server weltweit lahm, Workarounds helfen

[Rickmer]

windows sei dank

???

Einfach mal das Problem auf Windows schieben weil CrowdStrike scheiße gebaut hat ist schon etwas dreist.

 

[Ja_Ge]

Sorry aber wer Fritzbox zusammen mir Crowdstrike erwähnt scheint nicht zu verstehen über welche Größenordnungen wir hier reden. Auch sind Cryptotrojaner nicht dafür bekannt durch eine Firewall geblockt zu werden (kopfschüttel).

Bitte bei meiner Antwort den Sarkasmus Detektor einschalten und noch mal lesen

 

[xexex]

Bitte korrigieren, wenn ich falsch liege.

Du liegst falsch! Wenn es dich tatsächlich interessiert, das Video erklärt eigentlich die meisten Funktionen.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Rickmer]

Auch Cloud bzw. online Update Produkte können und sollten vorab getestet werden.

Aus Interesse - hat CrowdStrike für Desktops / Laptops eine Art von Patchmanagment?

Ist ja nicht alles nur VDI und TCs.

 

[Gudihl]

Sind es nicht zwei Probleme? Eines von Cloudstrike und eines von Microsoft (siehe Update 11:51 Uhr)?

Sollte die Überschrift nicht angepasst werden? "CrowdStrike-Update und Microsoft-Fehlkonfiguration legen weltweit PCs und Server mit Windows lahm"

 

[ayngush]

Leute, das Problem ist nicht Cloud Computing oder Neo IT, sondern das falsche(!) Verständnis von agiler Softwareentwicklung. Commit early, push often - and break everything. Testing ist kein Teil von Scrum. feste Release-Zyklen kontakarieren TDD. Weil, was ist denn, wenn dein Test fehlschlägt und du die Timeline nicht mehr einhalten kannst? Die Kunst Software zu bauen, zu testen und dann erst fertige Software auszurollen ist abhanden gekommen. Man verlässt sich viel zu sehr auf zu einseitige Testmethoden (insbesondere automatisierte Unit Tests), manuelle Testszenarien sind zu zu teuer - und eventuell auch zu langsam für ein modernes Sicherheitsprogramm?

Welche Lösung es für diese Problem gibt kann ich auch noch nicht ableiten. Ein Ansatz wäre es, wenn man den Kunden uns seine Bedürfnisse wieder in den Mittelpunkt des unternehmerischen Denken und Handeln stellen würde und nicht ausschließlich den "Markt" und die Eigentümer (Aktionäre) durch Geschwindigkeit und Flexibilität befriedigt. Das kostet eventuell ein paar Extrarunden aber hey... Bis heute lief es ja bei Crowstrike (am Markt).

 

[Ja_Ge]

Aus Interesse - hat CrowdStrike für Desktops / Laptops eine Art von Patchmanagment?

Ist ja nicht alles nur VDI und TCs.

Nein, wie viele dieser Produkte mit Realtime-Updates über das Internet leider nicht haben. Das macht es für eine IT ja so arbeitsintensiv und teuer vorab-Tests zu fahren. Möglich ist das schon, aber nicht jede Geschäftsführung möchte das bezahlen.

 

[|Moppel|]

Ich nehme an die Frage wurde schon gestellt aber warum rollte jemand Updates in kritischer Infrastruktur aus ohne es vorher zu testen?

Bevor ich alle Leitstellenrechner Update lass ich das doch mal in einer Dev Umgebung laufen?

 

[TomH22]

Scheinbar hat die Cloud bei einigen das Denken eingenebelt und die Betreiber verkaufen ihre Lösungen gerne, als etwas um was man sich gar nicht mehr kümmern muss und einem jegliche Arbeit abnimmt.

Das hat nichts unbedingt mit "Denken einnebeln" zu tun, sondern auch damit, das IT Abteilungen unter enormen Druck stehen. Sie sollen auf der einen Seite das Unternehmen vor allen Cyber-Gefahren sicher schützen, aber andererseits dar es nicht zu viel kosten. Und selbst wenn man genug Geld hat, wachsen kompetente Security Spezialisten nicht auf Bäumen. Also bleibt einem nichts anderes übrig, als zu einer managed-EDR Lösung wie CrowdStrike zu greifen.

Erinnert mich an unsere ISO 9001:2015 Zulassung und der Punkt Chancen und Risikenbewertung für diverse Sachen wo man manchmal denkt, wasn Schmarrn. Aber im Endeffekt dann doch seine Berechtigung hat.

Ja, und wenn man die Bewertung gemacht hat, dann kommt man eventuell zum Ergebnis, dass das Risiko durch den Einsatz einer solchen Software geringer ist, als die Risiken die ohne entstehen würden.

Software wie CrowdStrike soll unter anderem Ransomware Attacken verhindern. Wenn man das Problem heute mit einer Ransomware Attacke vergleicht, ist es auf das Einzelne Unternehmen bezogen, vermutlich sehr viel weniger schlimm, denn die Systeme sind nur nicht mehr bootfähig aber nicht kompromitiert.

Die öffentliche Aufmerksamkeit kommt dadurch, dass es viele Unternehmen gleichzeitig betrifft. Das ist aber für das einzelne Unternehmen nicht relevant.


Scheinbar lässt sich das Problem ja grundsätzlich relativ leicht reparieren, der große Impact entsteht dadurch, das ein Admin das händisch Vor-Ort am betroffenen Rechner machen muss. Und das hat bei vielen betroffenen Geräten halt eine lange Lead-Time zur Folge.

 

[DriveByFM]

Eine Entschuldigung für die Probleme liefert der Chef des Unternehmens nicht.

Irgendwie traurig, oder ist sowas in dem Bereich normal?

 

[ayngush]

Für was soll er denn um Entschuldigung bitten? Er hat doch nichts falsch gemacht.

 

[Taron]

Er hat doch nichts falsch gemacht.

Er ist aber Repräsentant des Unternehmens. Und dazu gehört auch Kommunikation mit der Öffentlichkeit im Falle von Ausnahmesituationen.

 

[Cool Master]

Aufwand? Wie viele Leute willst du dafür abstellen die zig Systeme zu warten und zu prüfen?

Also, genau wie ich sagte. Einfach nur eine Frage des Kapitals, wie ich sagte.

 

[luda]

Und die Behörden werden belächelt, aber da lob ich mir meinen Arbeitgeber. Bei der BA läuft den ganzen Tag alles reibungslos. Wäre auch schlimm wenn nicht.. 😄

 

[RavensRunner]

So wird also ein weltweites backdoor System installiert.
Skynet bist du es?

Passt ja zu den Verschwörungstheorien - 3ter Weltkrieg steht vor der Tür, gibt keine Pflanzen mehr die nicht genverändert sind und dann gibt's noch kein Internet und elektronisches Geld.

Ich geh schonmal in den Keller um die Mistgabel mit Red Dot und Taschenlampe zu versehen.

 

[Wechhe]

Falls es jemand interessiert, scheint es wohl einen weiteren Workaround zu geben, um das händische Fixen zu automatisieren:

https://gist.github.com/whichbuffer/7830c73711589dcf9e7a5217797ca617

 

[Tastaturberuf]

Finde die Werbung auf ihrer Webseite sehr ehrlich: "62 minutes could bring your business down" 😁

 

[Popey900]

Ich hatte auch den BSOD auf meinem Firmen Gerät. Aber ein Neustart hat geholfen. Wohl glück gehabt.

 

[PegasusHunter]

haben bei unseren betroffenen Kunden im Betrieb den bekannten Workaround erfolgreich umsetzen können. (:

Jo , abgesicherter Modus und Treiber löschen ? oder Linux Dualboot/ Linux Stick und dann den Treiber in Windows löschen, von Linux aus.. oder was machen richtige Profis bei solchen Herausforderungen ? Weiss das jemand? sind doch hier alle Profis, oder? Würde mich echt interessieren. Haben solche Anbieter ne extra Versicherung? oder steht im Vertrag, dass keine Nachforderungen gestellt werden können? Gibt es für Unternehmen auch hochwertige Sicherheitssoftware oder sind das alles nur Frickelbuden? Warum gibt es keine Reservesysteme, die sich nach dem 10. Reboot selbst starten ? Ist alles wirklich so kompliziert?
Über weiterführende Links und Informationen zum nachlesen würde ich mich sehr freuen. Das klingt alles so stümperhaft, dass es meine Neugier geweckt hat.

 

[flaphoschi]

cool eine firma die damit wirbt den geschäftsbetrieb abzusichern, endgeräte zu schützen usw., bewirkt genau das gegenteil

Das ist bei Sicherheitssoftware üblich. Die Menschen wollen Ihre IT nicht absichern, sonder das Problem mit Geld lösen (sich also aus der Verantwortung freikaufen). Das zieht dann entsprechend - seit dreißig Jahren - ein entsprechendes Klientel an Anbietern an.

Und wenn der Kunde spannt, das eine Blacklist niemals funktionieren konnte? Security-Theater! Irgendwas mit Heuristik (Zufallsgenerator…), Threat-Intelligence, Patch-Management durch die Virensoftware (ganz schlechte Idee), Advanced-Threat-Intelligence und zunehmend AI-APT-Defence. Bald mobiles Quantum-Computing?


Joah. Oder keinen Port aufmachen? Das VPN nicht mit der Domäne verbinden (CheckPoint und der Admin des Windows ActiveDirectory…schnauf) und die Updates manuell kontrollieren. Manuell! Es gibt keinen Grund in kritische Systeme automatisch Updates einzuspielen. Und nur das erlauben, was deklariert wurde (gute alte Dateirechte und moderne CGroups und Namespaces -> Container bzw. Flatpak).

Allgemein hilft es kein Windows, kein Azure*/Exchange und kein Active-Directory zu nutzen. Die schlaueren lassen so Sachen wie SMB sein. Und wenn es doch Windows sein soll, nur den Scanner von Microsoft. Minimiert das undefinierte Verhalten.

Es gibt da dieses BSD und Linux. Und dann teure Admins und ein System

Hauptproblem an dem Schlangenöl der Sicherheitssoftware ist ja, dass es die Probleme schafft die es verhindern soll. undefiniertes Verhalten, hohe Systemlast, mehr Sicherheitslücken. Allein die Idee, dass die kompetenter sind als die Programmierer von Linux, Microsoft und Apple ist irrig.

* Microsoft so „Ihr Daten müssen zu uns. Die sind sonst schon weg. Sie sind quasi schin gehackt!“. Microsoft fünf Minuten später „Ihre Daten hat jetzt der Chinese. Softwarefehler. Kann man nichts machen.“

PS: Wenn Ihr Scanner einsetzt, dann auf dem Mail- bzw. Dateiserver. Da kommt ungefragt Zeug rein. Und wenn das der Scsnner hinfällt, gibt es hoffentlich einen Admin der sicher hauptberuflich nur darum kümmert. Kein undefiniertes Verhalten auf Laptops, Desktops und Anwendungsservern.