Manite se windowsa ljudi, svaki dan je neki show s njima.
Kako izbjeći da se "slučaj CrowdStrike" ponovi ili
- poruka: 14
- |
- čitano: 6.803
- |
- moderatori:
vincimus
- +/- sve poruke
- ravni prikaz
- starije poruke gore
Migracije takvih sustava mogu trajati godinama i biti iznimno skupe.
Ovaj lik iskaće iz paštete na Linkeinu i svugdje u HR IT security svijetu ko da je najveći guru. Nemam pojma tko je i čime je zaslužio takav status, možda stvarno je to utemeljeno, ne bi tu sudio... ali...
Od početka ublažuje iz nekog razloga ovu katastrofu i drži stranu Crowdstrikeu. So my 2cc
"Uređivanje politika ažuriranja: Tvrtka omogućava isključivanje automatskih ažuriranja. Preporučuje se čekanje na potvrdu stabilnosti nove verzije prije implementacije kako bi se izbjegle slične situacije."
- Od AV i EDR softvera očekuješ da se ažurira stalno i ne možeš provjeravati i testirati svaki update, to nonsense.
Opsežno testiranje: Potrebno je provoditi temeljita testiranja novih ažuriranja na različitim verzijama operativnih sustava i konfiguracijama prije puštanja u produkciju. Ovakav pristup osigurava da ažuriranja budu stabilna i kompatibilna s različitim sustavima.
- Kome to govoriš? Reci to Crowdstrikeu.
Bacio je par floskula, a sve se svelo na obranu Crowdstrike-a.
"Iako je vidljiv pad dionica CrowdStrikea, ne vjerujem da će to značajno utjecati na njihovu reputaciju. Brzo su reagirali na incident, pojavili se u medijima poput CNN-a i SkyNewsa te jasno objasnili da je problem nastao zbog greške u ažuriranju softvera, a ne zbog cyber napada. Također, odmah su izolirali grešku, što je pomoglo u smirivanju panike. Na svojim partnerskim portalima kontinuirano su obavještavali klijente o trenutnoj situaciji."
- Ta firma je svojim nemarom da testira update na vrlo osnovnom nivou kakav bi trebao biti normalan i za firme koje rade produkte koji utječu puno manje na sustave i firme koje ih koriste izazvala neviđeni kaos i štetu koja se mjeri u milijardama. Ako ne budu snosili nikakve posljedice, onda idemo rađe svi ponovno na papir, pisaće mašine i sl.
Ovaj lik iskaće iz paštete na Linkeinu i svugdje u HR IT security svijetu ko da je najveći guru. Nemam pojma tko je i čime je zaslužio takav status, možda stvarno je to utemeljeno, ne bi tu sudio... ali...
Od početka ublažuje iz nekog razloga ovu katastrofu i drži stranu Crowdstrikeu. So my 2cc
"Uređivanje politika ažuriranja: Tvrtka omogućava isključivanje automatskih ažuriranja. Preporučuje se čekanje na potvrdu stabilnosti nove verzije prije implementacije kako bi se izbjegle slične situacije."
- Od AV i EDR softvera očekuješ da se ažurira stalno i ne možeš provjeravati i testirati svaki update, to nonsense.
Opsežno testiranje: Potrebno je provoditi temeljita testiranja novih ažuriranja na različitim verzijama operativnih sustava i konfiguracijama prije puštanja u produkciju. Ovakav pristup osigurava da ažuriranja budu stabilna i kompatibilna s različitim sustavima.
- Kome to govoriš? Reci to Crowdstrikeu.
Bacio je par floskula, a sve se svelo na obranu Crowdstrike-a.
"Iako je vidljiv pad dionica CrowdStrikea, ne vjerujem da će to značajno utjecati na njihovu reputaciju. Brzo su reagirali na incident, pojavili se u medijima poput CNN-a i SkyNewsa te jasno objasnili da je problem nastao zbog greške u ažuriranju softvera, a ne zbog cyber napada. Također, odmah su izolirali grešku, što je pomoglo u smirivanju panike. Na svojim partnerskim portalima kontinuirano su obavještavali klijente o trenutnoj situaciji."
- Ta firma je svojim nemarom da testira update na vrlo osnovnom nivou kakav bi trebao biti normalan i za firme koje rade produkte koji utječu puno manje na sustave i firme koje ih koriste izazvala neviđeni kaos i štetu koja se mjeri u milijardama. Ako ne budu snosili nikakve posljedice, onda idemo rađe svi ponovno na papir, pisaće mašine i sl.
Nije samo Crowdstrike pedro. Teški FAIL i Microsofta, i svakog tko je slijepo vjerovao Crowdstrike-u.
Inače bi ovakve BSOD-e ismijavali, ali šteta je nesaglediva pa i nije baš smiješno.
Važno je napomenuti da su ovom greškom bili zahvaćeni samo Windows sustavi, dok su CrowdStrike agenti za operativne sustave poput macOS-a i Linuxa radili bez greške.
Koliko god se pljucalo po MacOSu i Mac gadgetima onako popratno, tu problema bilo nije ! Ali da je UVIJEK prisutan pod obvezno ljudski faktor, uopće nisam posumnjao !
Opet, istina, moglo se je to dogoditi i ”njima”, ostaje gorkoslatki okus u ustima uz spoznaju; ”nitko nije neranjiv, svatko je podložan __________!!!!!!!!
U prazninu staviti komentar, pojam po volji!
Da, to da Windows, čak ni server OS, nakon toliko verzija nema funkciju da ga izvuče iz BSOD loop-a je katastrofa sama za sebe.
,,
Opsežno testiranje: Potrebno je provoditi temeljita testiranja novih ažuriranja na različitim verzijama operativnih sustava i konfiguracijama prije puštanja u produkciju. Ovakav pristup osigurava da ažuriranja budu stabilna i kompatibilna s različitim sustavima.
- Kome to govoriš? Reci to Crowdstrikeu.
..
-da, jer to je njihov posao koji naplaćuju..
+ ne bilo koji os, server, kao što to nije bilo koja konfiguracija-hw.. dakle nije egzotika, naprotiv, pogodilo je većinu-generički istih..
Da, to da Windows, čak ni server OS, nakon toliko verzija nema funkciju da ga izvuče iz BSOD loop-a je katastrofa sama za sebe.
-ima, no naravno admin mora doći ručno.. tj ima klasičan rollback za sve ostalo, no ovo je sigurnosni dio koji ima posebne ovlasti i mora biti siguran-ispravan, to je osnovni uvjet.. i oni ga skenjkaju..
-priče o umanjenju štete.. kao ništa se nije dogodilo (osim što je pola svijeta stalo..) i ne vide to ni mediji kao problem? .. dok se o 'krađi' gdpr podataka kao adresara kokodače.. možda 'mudro' šute kako ne bi pokazali neznanje ili sezona krastavaca pa sve može proći.. stvarno je degutantno kako stručnjaci na tvu blago kritiziraju crowd-grešku, umjesto da u svakoj rečenici ponove, da je to njihov propust-greška koja se ne smije dogoditi i za koju moraju biti odgovorni-sankcionirani, ne pepelom nego kaznom, novcem, gubitkom ugovora-posla i prava, kao kad liječnik nesavjesno liječi i izgubi licencu, tj ako ovo nije razlog za gubitak što je? + naknada svih izazvanih troškova što mora gurnuti u bankrot, tj u ovom slučaju ne vidim razloga za zaštitnu klauzulu koja služi upravo tome da ne bankrotira biz.. no u ovom slučaju mora, jer su napravili grešku koja se ne može tolerirati u tom dijelu biza.. kao npr korupcija u sudstvu-policiji.. nulta tolerancija mora biti, dok je simboličko posipanje pepela već izostalo, ni mahanje prstom od nadležnih i još čudnije oštećenih.. (no i za to postoji objašnjenje, interesi-nato-sec.sustav i tad se šuti..).
edit.. ili, naslov.. kako izbjeći da se ponovi? odgovornim radom, kaznom kad se propust napravi, jer u ovom slučaju nisu ništa testirali.. ni jedan test, jer da jesu, ne bi bilo masovno-generički-server.. nije to egzotika i kućni juzer-os..
-ubiru ozbiljan novac, rutinski, sad postoji razlog da ga njima uzmu jer ne rade svoj posao, točnije umjesto sigurnosti-zaštite, rade štetu.. i da nisu sigurnosni biz bili bi odgovorni i snosili trošak nastale štete, osim u ovakvim slučajevima kad se to kao zaboravi, jer su u igri 'viši interesi' vlasništvo-država-nato-cia.. zato se o tome šuti, tj do sad u medijima uopće nema pitanja o naknadi štete ili tužbi.. zašto? jer šef ne želi..
Nema u medijima zato što mali igrači neće ništa pokretati a veliki ne kokodaču nego se to radi u tišini i ići će prema nagodbama prije nego se ide u sudske procese.
Ako si ikada sudjelovao u takvim procesima a ja osobno jesam tada znaš koliko vremena treba da se napravi procjena štete prije nego se ide u potraživanje direktne i indirektne štete a sve što se navodi kao takvo mora biti obrazloženo dokazima u suprotnom će na sudu biti osporeno i izbačeno iz iznosa koji se potražuje i riskiraš da se sudac poljulja i za ono što stoji i ispravno je.
Neki od njih možda imaju i police osiguranja za vanredne situacije pa se u sudski proces javlja i treća strana što dodatno komplicira dogovore i procjene na koje netko polaže pravo kako jedni za naplatu tako drugi za isplatu. Mediji su tu obična piskarala koji nemaju pristupa u postupke i mogu samo mlatiti praznu slamu i nagađati sve ostalo će biti iza zatvorenih vrata.
Savjet "nemojte koristiti automatska osvježavanja" u potpunoj je suprotnosti s onime što sigurnosni stručnjaci i tvrtke koje proizvode sigurnosna rješenja stalno tupe - automatska ažuriranja moraju biti stalno uključena jer se niti može pouzdati u to da će čovjek redovno ručno raditi ažuriranja, niti je dopustivo imati dodatne odgode s obzirom da sigurnosni sustavi s kašnjenjem odgovaraju na postojeće prijetnje detektirane u svijetu tako da ako se uvedu dodatno kašnjenje, onda smisao svega postaje upitna.
Djelatnici koji se brinu za sigurnosne sustave tvrtki sad su, kratkoročno, između čekića i nakovnja - traži se od njih da definiraju kako će izbjeći ovakve probleme u budućnosti, a opet ako isključe automatiku štićeni sustavi im postaju ranjivi(ji).
U nekim napisima ovdje spominjao se subjektivni ton gospodina Lea Valentića. Doista, meni subjektivno također zvuči kao da napis pokušava umanjiti značaj ovog incidenta i ozbiljnost pogreške tvrtke CrowdStrike.
Stoga sam napravio brzinsko istraživanje: gospodin Valentić radio je u tvrtki Infigo IS nešto manje od 3 godine, a postao je samostalan unutar zadnjih godinu dana. Na stranicama tvrtke Infigo IS, prvi partner na popisu jest CrowdStrike (stanje 20.7.).
Da pojasnim svoj stav: tvrtka Infigo IS nije napravila nikakvu pogrešku nudeći sustave tvrtke CrowdStrike - ti sustavi očito su vrlo popularni u svijetu (iako su "milijarde pogođenih računala" pretjerane).
Nadalje, postoji tek mogućnost da je gospodin Leo Valentić tijekom rada u navedenoj tvrtki bio u svakodnevnom kontaktu s tim sustavom te da posljedično ima određene sentimentalne veze prema tom sustavu.
Nemam nikakvih dokaza da je gospodin Valentić doista radio sa sustavom CrowdStrike, na tu mogućnost navodi me isključivo pristrani ton napisa.
Konačno, jedina pogreška koju ovdje vidim jest na strani urednika.
Možda nije trebalo pozvati stručnjaka, koji je možda sudjelovao u distribuciji proizvoda tvrtke CrowdStrike, da komentira propuste te tvrtke.
Bilo bi lijepo i da je uočen pristran stav samog napisa prije objavljivanja.
Bug nije poznat po nepristranosti. Uvijek guraaju iste tvrtke, ljude i proizvode.
- par problema.. ili 'generičkih' pravila za 'sve', što je realno nemoguće-loše, jer nikad pravila za različite potrebe ne mogu biti ista, nevažna firma ili aviokompanija, pekara-kafić ili lanac trgovina s kartičnim plaćanjem i bankama.. bolnice i ostali mali-veliki juzeri..
-ne postoji jednaka sigurnosna potreba za sve klase juzera, od same fizičke zaštite (zaštitari s oružjem) do soft levela pa i pravila za 'pravi' backup, koliko često, gdje-kako se čuva backup i redundancija kritičnih sustava do pomoćnog generatora .. mali nemaju takve potrebe ni resurse, to rade veliki-kritični, kao bolnice.
-pogođeni su ms-windows SERVERI .. tj to je ono što takve firme-institucije imaju, server, nevažno je pojedino korisničko računalo jer se to računalo nema kamo spojiti ako servera nema .. a u pravilu se koristi kao AD-server (ostalo lin..)
-i to oni serveri firme koji imaju ugovor s crowdstrikeom, praktički nema veze s ms-om osim samog osa, kao što loše-pogrešno gorivo na benzinskoj nema veze s proizvođačem-branom auta.. i isti rezultat, ne radi.
-prave velike firme-institucije, moraju imati i odgovarajućeg admina, koji sve to zna, predvidi, .. i test, kao što ima i wsus, tj nikad u takvim poslovima ne ide direktno nego kroz firmin server.. tj to je tako kad se svi drže pravila igre, kriterija-standarda i raspolažu odgovarajućim resursima.. no postoje i uhljebi, postoji štednja, postoje zaposlenici koji 'samo hrane svinje'.. (iz vica o muji..).. i sve je ok dok nema problema.
-drugi problem je što ovaj tip-klasa zaštite, ažuriranje-uzrok-bug.. ne smije postojati, ne u takvom bizu, mora biti 100% testirano.. a nije ni 1%, jer to nije egzotika, nije juzersko računalo, to su 'generički' serveri i bug je pogodio sve jednako, time je jasno da testiranje uopće nije napravljeno .. a mora biti, jer je to prvi-glavni kriterij, ne novac, ne izdati nešto do datuma kao božićna prodaja-deadline.. dok takav tip softa ima maximalan level pristupa, certifikate i može sve, upravo zato mora biti 100% ispravan-testiran.. a ovaj nije uopće jer da je primijetilo bi se na prvom testu, jer opet, nije to egzotika-računalo..
-kvaka-22, sva ostala ažuriranja se mogu lokalno u firmi testirati-postponati propagiranje ažuriranja kako admin želi pa čak i juzer .. no ovo su toplevel prioriteti, kao policija-hitna-vatrogasci s rotirkom.. oni imaju prednost i mogu, tj kao zeroday zakrpe koje iz tog razloga preskaču pametan kriterij redosljeda-testiranja na za to pripremljenom testbed-u.. tj zato to mora biti 100%, ne 99,9999.. a u ovom slučaju nije ni 1%.. da je tako s gorivom, auti bi stajali na cestama, da je tako s lijekovima ljudi bi umirali svake minute.. postoje važniji kriteriji a za sigurnosni soft je to 100% autentičnost i provjerenost.. kao što tome služe i certifikati ili policijska značka, ne smije postojati fejk ili bez odgovarajućeg protokola koji uključuje test .. u ovom primjeru testa jednostavno nije bilo a takav primjer eliminira admina iz takve odluke jer je to tad ugovorna politika firme-institucije, tj tad 'ja' (kao admin) ne odlučujem po svom mišljenju-kriteriju, nego za taj soft-ažuriranje postoji prioritet, kao što postoji za vozila s rotirkom u prometu.. tad normalna pravila prometa ne vrijede tj ne kao za ostale vozače koji se tad moraju skloniti-propustiti.. to su pravila koja i admin mora poštivati ako zna svoj posao i ponovo, zato to mora biti 100% točno-testirano. Za sve ostalo bi lako pljucnuo admine tih firmi, osim za ovaj slučaj jer je po pravilima izuzetak, tj po pravilima ima prednost prolaza jednako kao rotirka na cesti.. a ako je u tom vozilu nešto loše...