News Nach Crowdstrike-Ausfall: BSI fordert verbesserten Absturzschutz für Windows
- Ersteller Andy
- Erstellt am
- Zur News: Nach Crowdstrike-Ausfall: BSI fordert verbesserten Absturzschutz für Windows
Accutrauma
Lt. Junior Grade
- Registriert
- Apr. 2021
- Beiträge
- 462
Da hatte MS einfach nicht geschnallt, was IBM mit sowas bei OS2 wollte. Denn hätte MS aufgepasst dann wäre Windows seltener neuinstaliert worden, oder wollte man gerade das um in aller Munde zu sein? Sowas wie bei OS2 war so einfach, Konsole booten, remark in die entsprechende Zeile der config.sys und gut war es.supermanlovers schrieb:
Robo32
Fleet Admiral
- Registriert
- Sep. 2006
- Beiträge
- 23.203
Die Öffnung der Kernelebene war nun mal eine Forderung der EU wegen "Wettbewerb" - das hat natürlich auch Folgen wovon keiner was hören wollte als MS das zur Sprache gebracht hat.
Wobei bei XP Treiber auf Kernelebene eben nichts ungewöhnliches waren...ExigeS2 schrieb:
Das scheitert ja nicht am Können, sondern am Wollen - wie soll man bloss erklären, das auch ein Backup Geld kostet...kachiri schrieb:
DragonScience
Lt. Junior Grade
- Registriert
- Mai 2013
- Beiträge
- 465
Ist schon irre. Wie ging na des mit früheren Windows Versionen ohne BSI Absturzschutz forderung ?
Welch ein Rätsel...
Welch ein Rätsel...
scooter010
Commander
- Registriert
- Sep. 2014
- Beiträge
- 2.744
Die Struktur von Windows erfordert, dass es Kernel Level Treiber gibt. Grafikkarten-Treiber müssen beispielsweise große Datenmengen ständig vom Userspace zur Graka und zurück übertragen. Daher gibt es Modi zur Datenübertragung, die ein tatsächliches Kopieren unnötig machen, es wird eher der Speicherbereich entweder sowohl für Userspace als auch Kernel zugreifbar gemacht oder der Bereich wird dem Userspace "genommen" und dem Kernel zugeordnet und der kümmert sich um das Übertragen per PCIe.
Es ist also nicht nur die EU Schuld, sondern auch Performance Gründe.
In Linux wird es deswegen, weil es nicht möglich ist dort Speicherbereiche ohne kopieren zu verschieben, immer mehr Latenz zwischen Userspace und Graka geben. Ob sich das in tatsälichen Leistungsdefiziten zeigt oder ob das in Zukunft dich irgendwie geht, sage ich nicht.
P.S.: Warum ist die EU "schuld"? Es gibt eine sinnvolle Änderung für einen lieberalen Markt und dann kommt ein Anbieter, der Scheiße verkauft und die Kunden sind zu faul/kosteneffizient, um vernünftiges supply-chain-management bzw. Konfigurationsmanagement zu machen und dann ist die EU schuld?
Diese Entwicklung war einerseits nicht absehbar, andererseits bin ich strickt gegen verdongelte Systeme. Mein Gerät, ich bin der der entsxheidet, an welcher Stelle welche Software läuft. Und wenn ich damit das System in das Gegenteil von dem verkehre, was der Hersteller gedacht hat.
Es ist also nicht nur die EU Schuld, sondern auch Performance Gründe.
In Linux wird es deswegen, weil es nicht möglich ist dort Speicherbereiche ohne kopieren zu verschieben, immer mehr Latenz zwischen Userspace und Graka geben. Ob sich das in tatsälichen Leistungsdefiziten zeigt oder ob das in Zukunft dich irgendwie geht, sage ich nicht.
P.S.: Warum ist die EU "schuld"? Es gibt eine sinnvolle Änderung für einen lieberalen Markt und dann kommt ein Anbieter, der Scheiße verkauft und die Kunden sind zu faul/kosteneffizient, um vernünftiges supply-chain-management bzw. Konfigurationsmanagement zu machen und dann ist die EU schuld?
Diese Entwicklung war einerseits nicht absehbar, andererseits bin ich strickt gegen verdongelte Systeme. Mein Gerät, ich bin der der entsxheidet, an welcher Stelle welche Software läuft. Und wenn ich damit das System in das Gegenteil von dem verkehre, was der Hersteller gedacht hat.
Zuletzt bearbeitet:
Ich wollte ja eigentlich gar nicht erst drauf eingehen weil du "einen Anteil dran" geschrieben hast, was ja faktisch korrekt ist.mfJade schrieb:
Habe dann aber doch auf Antworten geklickt, eben weil auf so einer tiefen Ebene Eingriffe stattfinden, die vorher einfach fucking intensiver getestet werden müssen?! Man macht es sich halt sehr leicht hier wieder die EU ins Spiel zu bringen.
Microsoft hat letztenendes seit Vista auch trotz EU Vorgaben viele Freifahrtscheine (Office und DSGVO) und dabei mehr als saftig verdient.
Im Kommentarbereich zum Google Project Green Light sind ja angeblich die Grünen daran Schuld, dass es keine "grünen Wellen" gibt. Aber klar, ist natürlich auch nur irgendein Narrativ.Bruzla schrieb:
roaddog1337
Lieutenant
- Registriert
- Apr. 2017
- Beiträge
- 595
einen Absturzschutz made in germany 
Gleich nach dem IT - Führerschein bekommt man seine Schutzausrüstung.
🪖
Gleich nach dem IT - Führerschein bekommt man seine Schutzausrüstung.
🪖
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.304
Dann schreiben die einen Brief in dem die MS sagen wie böse die darauf sind:Conqi schrieb:
Die Schuld an diesem Vorfall liegt klar bei CrowdStrike, sowohl was die Entwicklung als auch die Qualitätssicherung angeht.
Allerdings kann Microsoft hier durchaus Schnittstellen entwickeln, welche genau diejenigen Funktionen anbieten, welche die Software von CrowdStrike & Co. benötigen. Linux hat es mit "eBPF" vorgemacht, was Microsoft schon seit einiger Zeit auch in derselben Form in Windows implementieren möchte. Mittels eBPF ist es möglich, tief in die Netzwerkkommunikation und Systemaufrufe des Kernels einzugreifen, ohne dabei den ganzen Kernel wie durch einen Kernel-Treiber abschießen zu können. eBPF wurde zudem auch für einen hohen Durchsatz bzw. Performance entwickelt.
Allerdings ist Microsoft noch nicht so weit mit der Nachbildung. Hier lassen sich viele Informationen im Internet finden. Beispielsweise bei https://thenewstack.io/microsoft-brings-ebpf-to-windows/
Bei Linux hat die Entwicklung nun auch schon 10 Jahre gedauert, bis es wie in der heutigen Form an den vielen Stellen im Kernel implementiert war. Allerdings war zu Beginn der Entwicklung auch nicht ganz klar, wohin sich die eBPF-Technik bei Linux entwickelt. Die Ideen sind erst mit der Zeit gekommen. Da die Vorteile nun klar sind, sollte eine Nachbildung in Windows keine 10 Jahre dauern.
In Bezug auf den CrowdStrike-Vorfall wurde dies auch schon in einigen Artikeln erwähnt, wie beispielsweise auch bei heise.de
https://www.heise.de/hintergrund/Da...sachenforschung-und-erste-Lehren-9811045.html
Microsoft würde bestimmt nicht an der Nachbildung von eBPF für Windows arbeiten, wenn diese durch die Implementierung nicht einen Vorteil für Windows sehen würden, vor allem weil es ja eine doch recht aufwendige Entwicklung darstellt.
Dass bei Linux-Systemen mit CrowdStrike im April dieses Jahres trotz der vorhandenen eBPF-Technik auch zu einem Crash durch eine Fehlfunktion von CrowdStrike gekommen ist, lag hier nicht an der eBPF-Technik sondern schlicht daran, dass CrowdStrike diese nicht nutzt, obwohl es möglich wäre. Das mag der Historie der Entwicklung geschuldet sein, da es CrowdStrike für Linux auch schon länger gibt, und eBPF zu Beginn vermutlich nicht die benötigten Funktionen ermöglichte. Inzwischen spricht dem aber nichts mehr entgegen. Im Gegensatz zu Linux könnte Microsoft bei Windows die Nutzung der eBPF-Technik durch die Drittfirmen erzwingen. Es müssen nur allen Anbietern dieselben Funktionen zur Verfügung stehen, die Microsoft auch für den Defender verwendet.
Die Vorgabe von der EU an Microsoft, dieselbe Funktionalität bei den Sicherheitsfunktionen auch den Wettbewerbern zur Verfügung zu stellen, halte ich für Sinnvoll. Ansonsten hätte Windows hier noch ein weiteres Monopol innerhalb des Windows-Umfelds.
Allerdings kann Microsoft hier durchaus Schnittstellen entwickeln, welche genau diejenigen Funktionen anbieten, welche die Software von CrowdStrike & Co. benötigen. Linux hat es mit "eBPF" vorgemacht, was Microsoft schon seit einiger Zeit auch in derselben Form in Windows implementieren möchte. Mittels eBPF ist es möglich, tief in die Netzwerkkommunikation und Systemaufrufe des Kernels einzugreifen, ohne dabei den ganzen Kernel wie durch einen Kernel-Treiber abschießen zu können. eBPF wurde zudem auch für einen hohen Durchsatz bzw. Performance entwickelt.
Allerdings ist Microsoft noch nicht so weit mit der Nachbildung. Hier lassen sich viele Informationen im Internet finden. Beispielsweise bei https://thenewstack.io/microsoft-brings-ebpf-to-windows/
Bei Linux hat die Entwicklung nun auch schon 10 Jahre gedauert, bis es wie in der heutigen Form an den vielen Stellen im Kernel implementiert war. Allerdings war zu Beginn der Entwicklung auch nicht ganz klar, wohin sich die eBPF-Technik bei Linux entwickelt. Die Ideen sind erst mit der Zeit gekommen. Da die Vorteile nun klar sind, sollte eine Nachbildung in Windows keine 10 Jahre dauern.
In Bezug auf den CrowdStrike-Vorfall wurde dies auch schon in einigen Artikeln erwähnt, wie beispielsweise auch bei heise.de
https://www.heise.de/hintergrund/Da...sachenforschung-und-erste-Lehren-9811045.html
Microsoft würde bestimmt nicht an der Nachbildung von eBPF für Windows arbeiten, wenn diese durch die Implementierung nicht einen Vorteil für Windows sehen würden, vor allem weil es ja eine doch recht aufwendige Entwicklung darstellt.
Dass bei Linux-Systemen mit CrowdStrike im April dieses Jahres trotz der vorhandenen eBPF-Technik auch zu einem Crash durch eine Fehlfunktion von CrowdStrike gekommen ist, lag hier nicht an der eBPF-Technik sondern schlicht daran, dass CrowdStrike diese nicht nutzt, obwohl es möglich wäre. Das mag der Historie der Entwicklung geschuldet sein, da es CrowdStrike für Linux auch schon länger gibt, und eBPF zu Beginn vermutlich nicht die benötigten Funktionen ermöglichte. Inzwischen spricht dem aber nichts mehr entgegen. Im Gegensatz zu Linux könnte Microsoft bei Windows die Nutzung der eBPF-Technik durch die Drittfirmen erzwingen. Es müssen nur allen Anbietern dieselben Funktionen zur Verfügung stehen, die Microsoft auch für den Defender verwendet.
Die Vorgabe von der EU an Microsoft, dieselbe Funktionalität bei den Sicherheitsfunktionen auch den Wettbewerbern zur Verfügung zu stellen, halte ich für Sinnvoll. Ansonsten hätte Windows hier noch ein weiteres Monopol innerhalb des Windows-Umfelds.
gustlegga
Captain
- Registriert
- Nov. 2010
- Beiträge
- 3.772
Doppelte Systempartition wie bei meinem Oneplus 8T.SoDaTierchen schrieb:
Wollte Google ja mal generell bei Android, aber da haben sich die Hersteller quergelegt wegen ein paar läppischen Gigabyte Speicherplatz...
Dabei hat es nur Vorteile. OTA/Systemupdates bei denen das aktuell inaktive System gepatcht wird laufen im Hintergrund ab während man das Telefon ganz normal weiternutzen kann, und wenn es abgeschlossen ist wird nur ein Neustart benötigt wo auf die gepatchte Systempartition gewechselt wird. Kann das System 3mal nicht erfolgreich gebootet werden, wird automatisch wieder auf die andere Partition gewechselt.
Das Umschalten der aktiven Partition lässt sich notfalls auch sogar noch im Fastboot-Modus über ADB mit Kabel am PC erledigen wenn alle Stricke reissen
Gut, das Problem dabei ist bei Windows halt, System und Userspace laufen nicht auf separaten Partitionen wie bei Android/Linux.
Voodoo_Freak
Lieutenant
- Registriert
- Aug. 2005
- Beiträge
- 946
Wer? Muss Microsoft die kennen?
Das ist so nicht korrekt und entsprechend auch von Dave Plummer im Video falsch bzw. unvollständig wiedergegeben. GIbt sogar korrigierende Kommentare unter dem Video.Rickmer schrieb:
Die EU hat nie explizit den direkten Zugang zum Kernelspace bzw. die Öffnung des Kernels gefordert, das ist nur Microsofts Umsetzung der Fordferung. Microsoft wollte urpsrünglich eine spezielle API schaffen, die 3rd Party Sicherheitssoftware nutzen muss, während der Defender von Microsoft weiterhin direkten Zugriff auf den Kernelspace hat. Das hat die EU als Ungleichbehandlung des Wettbewerbs angesehen und im Prinzip nur "gleiche Bedingungen für Alle" vorgeschrieben. Die Vorgabe wäre auch erfüllt, wenn Microsoft ebenfalls die API statt direkten Kernelspace-Zugriff verwendet.
chillipepper
Lt. Junior Grade
- Registriert
- Dez. 2022
- Beiträge
- 356
Rickmer schrieb:@kicos018 nee, das hat wirklich Hintergrund.
Microsoft wollte zu Vista Zeiten gegen Kernel Level Treiber vorgehen und hat das Unterfangen wieder aufgegeben nachdem u.A. die EU hier Bedenken wegen Wettbewerb geäußert hatte.
Das wird u.A. in diesem Video beschrieben:
Letztens noch gelesen, Microsoft hätte einfach nur ein gut gemachtes API herausbringen und es selber für die eigenen Programme verwenden müssen.
Dann hätte da niemand Microsoft einen Strick draus drehen und Wettbewerbsverzerrung vorwerfen können.
Aber wie @mibbio schon schrieb, wollte M$ den Mitbewerb von Sicherheitssoftware auf nicht so leistungsfähige API umstellen, dann aber alleinig für das eigene Produkt Kernel Treiber verwenden. Nicht so dolle...
Man muss eine Story schon vollständig bringen @Rickmer ...
interesTED
Ensign
- Registriert
- Apr. 2017
- Beiträge
- 230
Habe ich auch nicht verstanden. Die PM vom BSI ist an der Stelle nicht eindeutig formuliert. Aus den Maßnahmen geht dann aber hervor:IV52 schrieb:
"Etablierung einer Zusammenarbeit des BSI mit Crowdstrike und Microsoft, um auch bei schwerwiegenden Fehlern des EDR-Tools ein Starten des Systems, mindestens in einem eingeschränkten Modus, zu ermöglichen"
Daraus könnte man lesen, dass es da explizit um Fehler der Crowdstrike Treiber geht. Inwiefern das mit der bestehenden Kernel Architektur umzusetzen ist, kann ich nicht beurteilen.
Ähnliche Themen
