ComputerBase Menü
Aktuelles

News CrowdStrike: Update legt PCs & Server weltweit lahm, Workarounds helfen

Unnu schrieb:
Kurz: Chaos Engineering at its best.
Und das tötet recht schnell, völlig egal ob WIN oder Linux.
Und auch ob wir da noch Security-Tools drüber Sprinkeln oder nicht ist meist recht egal, weil die Basics nicht stimmen.
Zum Vergrößern anklicken....
Spezialisierung nennt man das, ist von den Firmen so gewollt und schafft auch sichere Arbeitsplätze, zumindest solange der Betrieb nicht auf andere Plattformen wechselt. ;)
 
Unnu schrieb:
Kurz: Chaos Engineering at its best.
Zum Vergrößern anklicken....
Gewachsene Strukturen, deren Backbone Sprachen wie Cobol bilden. Ergebnis, kuscheliger Mix aus etwas Legacy (Cobol ist so schön handlich), etwas mehr Modernes™ und dann ganz viel CLOUD!!!™ und, nicht zu vergessen, 12 Dutzend Microservices™.

Ein Schelm, wer da Arges denkt :D.

Da kann nur ganz viel kognitive Dissonanz helfen, das nicht sehen zu wollen.
 
  • Gefällt mir
Reaktionen: Unnu
Es ist hier doch sehr aufschlußreich und interessant.

Ich habe in einem meiner früheren Posts einen Test eingefügt, um zu sehen, wer fachlich eigentlich weiß, was ich geschrieben habe. Hierzu nun die Auflösung: Es gibt eine Mutex und eine Semaphore. eine sog. Mutex bzw. Mutex-Semaphore übermittelt ein einzelnes Bit. Ich wollte in dem genannten Post damit jedoch eine komplette Speicheradresse eines Shared Mem übergeben. Wie? Mit Morsen? Beim Thema Schnittstellen reden wir explizit und ausschließlich über Kommunikation zwischen unterschiedlichen Prozessen, die in unterschielichen (Security)Kontexten ablaufen. Bei den Fehlern, die ein Entwickler der Sicherheitslösung hingelegt hat, muß man sich dessen bewußt sein und zudem auch in diesem Umfeld bewerten. Das Nichtprüfen eines Zeigers auf NULL mag ja in einem normalem Programm fatal sein. Aber auf Betriebssystemebene ist dies indiskutabel. In der Schule wäre das ein "Sechs. Setzen" gewesen.

Alle der hier Postenden antworteten mir höchst erbost bzw. empört. Man echauffierte sich über vieles. Nur den Fehler entdeckte keiner. Alle haben hier versagt. Aber Versuche, persönlich zu werden gab es einige. Wozu? Man hätte dies eigentlich fachlich einfach gekonnt. Ich hatte ja die Möglichkeit höchstselbst geliefert.

Letztlich läßt sich hier sagen, daß so ziemlich niemand Ahnung von dem Thema hat, worüber er schreibt und als Quintessenz wird je lauter gebrüllt, umso weniger Kenntnisse sind vorhanden. Ernst nehmen kann ich solche User und dieses Verhalten nicht. Ich will solche User auch nicht ernst nehmen. Denn dies würde bedeute,. daß ich ihnen Fachkenntnis zuschreibe, die die Personen garnicht haben.

Jetzt kann gerne jeder lospoltern. Ich jedoch bin hier gänzlich raus. Wenn ich mit jemandem diskutiere, dann fachlich auf dem entsprechenden Level. Und das ist hier nicht möglich.
 
xexex schrieb:
Wirklich eine Frage? Wie stellst du denn fest, dass sich gerade ein Hacker an deinem System vergnügt und deinen Linux Server als Zwischenstation für einen Angriff oder Datenabgriff nutzt?
Zum Vergrößern anklicken....
Mit regelmäßigen Updates und indem man die sorgfältig überlegten Voreinstellungen nicht leichtfertig so ändert, dass Systeme exponierter werden als notwendig.
Insbesondere die Hersteller von Enterprise Linux-Varianten sind sehr auf Sicherheit und sinnvolles Maß bedacht.

xexex schrieb:
Es ist ja nicht so als wären Linux Server im Ansatz "sicher", wie unzählige Sicherheitslücken in den letzten Jahren aufgezeigt haben. Sogar ganz im Gegenteil.
Zum Vergrößern anklicken....
Kein Betriebssystem ist pauschal sicher, dafür ist es viel zu komplex. Sicherheitslücken gibt es überall.
Die Kernfrage ist, wie schwerwiegend sind sie und wie einfach lassen sie sich ausnutzen.
Weder für noch wider deiner strammen Behauptungen habe ich etwas recherchieren können.
Ergänzung ()

derchris schrieb:
Ist der CrowdStrike CEO nicht der CTO von McAfee damals, der 2010 schon die ganzen Windows XP gekillt hat? (aber hat auf den anderen 31 Seiten sicher schon wer erwähnt)
Zum Vergrößern anklicken....

Crowdstrike broke Debian and Rocky Linux months ago but no one noticed ;)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: s1ave77 und Unnu
Crowdstrike hat mittlerweile eine vorläufige Analyse verfasst:
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Dort wird näher erläutert, wie Falcon Updates bekommt. Die Updates teilen sich in zwei Teile auf: Sensor-Content und Rapid-Response-Content. Zum Sensor-Content heißt es dort unter anderem:

Customers then have the option of selecting which parts of their fleet should install the latest sensor release (‘N’), or one version older (‘N-1’) or two versions older (‘N-2’) through Sensor Update Policies.
Zum Vergrößern anklicken....
Den Sensor-Content kann man also gestaffelt ausrollen.

Das Problem betraf aber den Rapid-Response-Content. Dort fehlt die Möglichkeit, das Update gestaffelt auszurollen. Zumindest wird diese in der Beschreibung nicht erwähnt.

Interessant sind die Schlussfolgerungen die Crowdstrike macht:
How Do We Prevent This From Happening Again?

Software Resiliency and Testing

  • Improve Rapid Response Content testing by using testing types such as:
    • Local developer testing
    • Content update and rollback testing
    • Stress testing, fuzzing and fault injection
    • Stability testing
    • Content interface testing
  • Add additional validation checks to the Content Validator for Rapid Response Content. A new check is in process to guard against this type of problematic content from being deployed in the future.
  • Enhance existing error handling in the Content Interpreter.
Rapid Response Content Deployment

  • Implement a staggered deployment strategy for Rapid Response Content in which updates are gradually deployed to larger portions of the sensor base, starting with a canary deployment.
  • Improve monitoring for both sensor and system performance, collecting feedback during Rapid Response Content deployment to guide a phased rollout.
  • Provide customers with greater control over the delivery of Rapid Response Content updates by allowing granular selection of when and where these updates are deployed.
  • Provide content update details via release notes, which customers can subscribe to.
Zum Vergrößern anklicken....
Das ist schon harter Tobak. Das hätte alles bereits jetzt implementiert sein müssen. Aber nee, kostet ja Geld.
 
  • Gefällt mir
Reaktionen: s1ave77 und Unnu
Evil E-Lex schrieb:
Das ist schon harter Tobak.
Zum Vergrößern anklicken....
Aber hallo!
Und sowas läuft dann auf kritischen Infrastrukturen.

Wobei sie ja ein Staging hatten, nur leider ein Fehlerhaftes.
Dass allerdings kein Canary lief, ist ein Unding.

Ich bin mittlerweile absolut dafür, dass Software-Hersteller bei grobem unterlassen direkt in die Haftung genommen werden.

So kann das einfach nicht weitergehen.
 
  • Gefällt mir
Reaktionen: s1ave77
Ist ja schon Wahnsinn, die Klimakleber sollen nun bis zu 5 Jahre Knast bekommen, entstandener Schaden ist geringfügig weniger, als bei diesem Debakel bei Crownstrike, aber wird die Firma belangt? Natürlich nicht, ist Software, kann man nichts tun.:freak:
 
  • Gefällt mir
Reaktionen: knoxxi, Miuwa, Irv und 2 andere
Das lief alles solange so gut, man sind wir gut, was kann jetzt noch schiefgehen ....
 
Den 10 USD Uber Gutschein ist schon ein Hohn erster Güte. Die könnten sie sich dahin schieben, wo niemals die Sonne scheint.
 
  • Gefällt mir
Reaktionen: Xiaolong, Kuristina und Mensch_lein
Mensch_lein schrieb:
https://www.tagesschau.de/wirtschaft/crowdstrike-it-panne-essensgutschein-10-dollar-100.html
Zum Vergrößern anklicken....
Ist ja goldig. Ein bisschen wie das Klatschen für die Pflegekräften vor ein paar Jahren.

Mensch_lein schrieb:
https://www.heise.de/news/Globaler-...ike-und-Microsoft-in-die-Pflicht-9811854.html
Zum Vergrößern anklicken....
Aus https://blog.fefe.de/?ts=985fe611:
Also, liebes BSI. Ich finde auch, dass Microsoft und Crowdstrike in die Pflicht genommen werden sollten. Microsoft sollte endlich für ihre Ranzsoftware haften, und Crowdstrike sollte für die Schäden aufkommen, inklusive der Gehälter der IT-Leute, die hinter ihnen herräumen mussten. Das soll ruhig mehrere Milliarden kosten, Crowdstrike hat eine unfassbar große Marktkapitalisierung.

Aber stoppt da nicht. Nehmt als nächstes das BSI in die Pflicht. Es soll bitte von diesem pseudowissenschaftlichen Esoterik-Scheiß weg und evidenzbasiert arbeiten.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Unnu und Mensch_lein
derchris schrieb:
Puhhhh, welcher eingefleischert Linux Admin würde Crowdstrike einsetzen? Die 2 bis 3 Leute machen halt nicht so ein Lärm wie Millionen Windows Customer.
Zum Vergrößern anklicken....
Aus eigener Entscheidung sehr wahrscheinlich nur sehr wenige. Die Entscheidung fällt aber wie so oft nicht dort, wo technische Kompetenz ist.
Ich kann sagen, für den Bereich der kritischen Infrastruktur (Banken, Versicherungen, Energieversorgung, Gesungheitswesen etc) schreibt das BSI solche Sicherheitslösungen pauschal vor - unabhängig vom Betriebssystem. Wie sinnvoll die Pauschalisierung ist, darüber lässt sich trefflich streiten.
 
nazgul77 schrieb:
Ich kann sagen, für den Bereich der kritischen Infrastruktur (Banken, Versicherungen, Energieversorgung, Gesungheitswesen etc) schreibt das BSI solche Sicherheitslösungen pauschal vor - unabhängig vom Betriebssystem. Wie sinnvoll die Pauschalisierung ist, darüber lässt sich trefflich streiten.
Zum Vergrößern anklicken....
Ein Hacker kann völlig unabhängig vom Betriebssystem eine Sicherheitslücke ausnutzen, ein System übernehmen und es unbemerkt als Einfallstor für das Firmennetz nutzen, wieso sollten hier Unterschiede gemacht werden? Ist es nicht in vielen Firmen so, dass gerade Linux Server oft exponiert im Netz stehen, weil dort irgendwelche öffentlich zugängliche Dienste drauf laufen?
Ergänzung ()

nazgul77 schrieb:
Die Entscheidung fällt aber wie so oft nicht dort, wo technische Kompetenz ist.
Zum Vergrößern anklicken....
Beim Stichwort "technische Kompetenz" wäre ich grundsätzlich ganz vorsichtig, denn "gesundes Halbwissen" ist keine wirkliche "Kompetenz" und dominiert trotzdem in den meisten Betrieben. Mal anders gefragt, wie viele Personen in deinem Umfeld kennst du, die wirklich eine Schulung und ein Zertifikat von Redhat oder Suse ihr eigen nennen und nicht nur "Tante Google" zu Rate ziehen?
 
Zuletzt bearbeitet:
Statt 10€ Gutschein hätte man lieber 12 Monate McAfee anbieten sollen.
 
  • Gefällt mir
Reaktionen: the-pollox
xexex schrieb:
Ist es nicht in vielen Firmen so, dass gerade Linux Server oft exponiert im Netz stehen, weil dort irgendwelche öffentlich zugängliche Dienste drauf laufen?
Zum Vergrößern anklicken....
Ich kenne nur eine Handvoll Firmen von innen, und dort steht immer eine kommerzielle WAF zwischen Internet und den Linux Servern mit öffentlich zugänglichen Diensten.


xexex schrieb:
Beim Stichwort "technische Kompetenz" wäre ich grundsätzlich ganz vorsichtig, denn "gesundes Halbwissen" ist keine wirkliche "Kompetenz" und dominiert trotzdem in den meisten Betrieben. Mal anders gefragt, wie viele Personen in deinem Umfeld kennst du, die wirklich eine Schulung und ein Zertifikat von Redhat oder Suse ihr eigen nennen und nicht nur "Tante Google" zu Rate ziehen?
Zum Vergrößern anklicken....
In meinem beruflichen Umfeld haben die meisten ein Zertifikat von Suse, LPI oder Red hat. Ich selbst den Red Hat Engineer. Und trotzdem befrage auch ich fallbezogen Tante DuckDuck.
 
Mensch_lein schrieb:
Ist ja schon Wahnsinn, die Klimakleber sollen nun bis zu 5 Jahre Knast bekommen:freak:
Zum Vergrößern anklicken....
Weil die Klimakleber hier mit Vorsatz handeln ? Mir wäre nicht bewusst das Crowdstrike mit absicht einen Bug released hätte.
xexex schrieb:
Ein Hacker kann völlig unabhängig vom Betriebssystem eine Sicherheitslücke ausnutzen, ein System übernehmen und es unbemerkt als Einfallstor für das Firmennetz nutzen, wieso sollten hier Unterschiede gemacht werden?
Zum Vergrößern anklicken....
Genau! Viele vergessen hier das man mit 5 Server vielleicht noch brain.exe oder den manuellen Log review machen kann. Bei 1000+ wird es aber ohne Zentrale Software einfach unmöglich.
xexex schrieb:
wirklich eine Schulung und ein Zertifikat von Redhat oder Suse ihr eigen nennen und nicht nur "Tante Google" zu Rate ziehen?
Zum Vergrößern anklicken....
Ich hoffe niemand nimmt diese Zertifikate ernst. Das ist auch nix anderes als ein wertloser Stempel. Wer als ITler kein (insert random Suchmaschine) SearXNG nutzt hat seinen Job verfehlt.
 
M-X schrieb:
Ich hoffe niemand nimmt diese Zertifikate ernst. Das ist auch nix anderes als ein wertloser Stempel. Wer als ITler kein (insert random Suchmaschine) SearXNG nutzt hat seinen Job verfehlt.
Zum Vergrößern anklicken....
Ich hoffe jeder, gerade im Linux Umfeld, nimmt diese Zertifizierungen ernst, denn nur so schreibt nicht ein "Blödmann" von einem anderen ab und wiederholt seine Fehler. Die Linux Distributionen sind ein Wildwuchs an Konfigurationen, schon alleine SELinux ist eine Geschichte für sich. Hat man die nicht verstanden, sondern geht nach Guide A, wie man seinen Webserver vermeintlich "sicher" machen sollte, handelt man mit Bananen.

Natürlich darf jeder die Suchmaschine seiner Wahl nutzen, um kleinere Dinge nachzuschlagen, aber nicht darum wie man Container, Datenbanken oder Webserver, passend zur Distribution absichert. Das klappt schon unter Windows nicht, hier tummeln sich ebenfalls seit Jahren Leute mit gesundem Halbwissen und hohen Mitteilungsbedürfnis herum, unter Linux wird es aber nur noch schlimmer, weil jede Distribution noch eigene Konzepte mitbringt und auch wieder verwirft.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz